こんにちは、技術部ネットワーク課の上曽山です。
みなさんBIMI(Brand Indicators for Message Identification)をご存知でしょうか。
メール送信者の信頼性が確認出来たらメールボックスにブランドロゴを表示するという仕組みです。
メールセキュリティの仕組みは色々ありますが、その検証結果をエンドユーザーが確認するには敷居が高く、なかなか「なりすまし被害」は無くなりません。そこで誰でも平易にメール送信者の信頼性を確認出来るようBIMIが考案されました。
受信者に分かりやすく、送信者はブランディングに利用できる、いい仕組みだと思います。
今のところ一般的なメーラはBIMIに対応していませんが、GmailやYahooメール、Fastmailは対応済みになっています。
弊社はまだ対応する予定はありませんが、来るべき日に備え、メール送信者としてどのような対応が必要か確認しました。
一次情報
この記事は「BIMIワーキンググループ」の情報を元に確認した結果をまとめたものです。
公開方法
BIMIはDNSのTXTレコードとして公開します。
- BIMIレコード書式
<セレクター>._bimi.<ドメイン名> IN TXT v=BIMI1;l=<ブランドロゴのURL>;a=<VMCのURL>
※セレクターのデフォルトは「default」です。
※VMC(Verified Mark Certificate)とは、ブランドロゴの正当性を示すための証明書です。
- BIMIレコードの例
default._bimi.example.com. IN TXT "v=BIMI1;l=https://example.com/logo.svg;a=https://example.com/vmc.pem"
よく分からないという方はコチラのツールを使ってみてください。
↓の画像で警告が出ているのはドメイン名(example.com)の問題です。
BIMIの実装
BIMIを使ってブランドロゴを表示するために必要な条件は以下の通りです。
- メール送信者が信頼出来ること
- 規定フォーマットのロゴが公開されていること
- ロゴの正当な所有権が確認出来ること
メール送信者の信頼性
メール送信者の信頼性はDMARCレコードを使って確認します。
DMARCは以前も取り扱っているので詳しい話は省略します。
メールの送信経路が確認出来るよう適切に設定するのはもちろんのこと、BIMIを適用するためにはさらに以下の条件を満たす必要があります。
- DMARCのポリシーに「p=none」を設定していないこと
- サブドメインのポリシーに「sp=none」を設定していないこと
- ポリシーが「p=quarantine」の時、すべてのメールにポリシーが適用される(pct=100)こと
DMARCレコードが正しく設定されているかは前述のツールで確認できます。
ここでは自社テスト用ドメインに「p=none」を設定してどのようなメッセージが出るか見てみます。
問題点を具体的に指摘してくれるので対応に迷う事はなさそうです。
ブランドロゴのフォーマット
公開するブランドロゴについても決まりがあります。
- SVG Tiny PSフォーマットであること
- 環境によって画像の表示が変化しないよう配慮すること
- 正方形の画像
- 画像を中央に配置する
- ファイルサイズは32KB以下
- 背景色を透明にしない
他にも細かいルールがあります。詳しくはコチラでご確認ください。
そもそも、今のところSVG Tiny PSフォーマットで画像を作成するツールが無いので、SVG Tiny 1.2の画像を用意して変換ツールを使えば細かい点はクリア出来ると思います。
ロゴ所有権の正当性
ロゴの正当な所有者であることを証明するための手続きも必要です。
- ブランドロゴの商標登録
- VMCの取得
VMCはDigicertかEntrustで発行出来ます。
現在の実装ではVMCの公開はオプションとなっていますが、将来的に必須になるのではないかと思います。
メール送信者が対応すべきこと
BIMIの実装を踏まえて踏まえて、メール送信者が対応すべきことは以下の通りです。
- なりしましを防ぐためSPF、DKIM、DMARCを適切に設定する
- 既定のフォーマットに則ったブランドロゴを作成し商標登録する
- VMCを取得する
最後に
以上で紹介を終わります。
シナプスとしては、まずメールセキュリティを強固にする所から始める必要がありますので、BIMIに対応出来るのはまだまだ先になりそうです。