ヤフーは2022年9月6日、なりすましメール対策規格「BIMI(Brand Indicators for Message Identification、ビミ)」を導入したと発表した。GmailなどBIMIに対応しているメールソフトにYahoo!ロゴのアイコンが表示され、同社が発信元の正規のメールであることが一目で分かる。
ヤフーは、なりすましメール対策規格「BIMI(Brand Indicators for Message Identification、ビミ)」を導入した。同社が送信したメールをGmailなどBIMIに対応しているメールソフトで受信すると、メール送信者欄にYahoo!ロゴマークのアイコンを表示される。ヤフーが配信した正規のメールかどうかが一目で分かる(画面1)。
画面1:BIMI準拠のメールソフトが送信者であるYahoo!ロゴマークを表示している(出典:ヤフー)拡大画像表示
BIMIによるメールのなりすまし対策では、メール受信者が、PKIベンダーがメール送信者に発行する認証マーク証明書(Verified Mark Certificate、VMC)から、なりすましメールではないことを確認する仕組みをとる。ヤフーは、米DigiCertが発行したVMCを利用している(関連記事:TwoFive、なりすましメール対策規格「BIMI」認証マーク証明書を販売、DMARCと共に運用支援)。
メール送信側の企業は、BIMIで使用するロゴ画像(SVG形式)のURLと認証マーク証明書(pem形式)のURLを、共にDNSレコードに記載しておく。今回のヤフーもこれらの情報をDNSレコードに登録している。一方、メール受信側(メール受信サーバーとメールソフト)は、メール送信側企業のDNSサーバーからこれらの情報を取得する。こうして、認証マーク証明書の署名を検証し、メールソフトのメール送信者欄にロゴ画像のアイコンを表示する。
BIMIは、送信ドメイン認証技術のDMARC(Domain-based Message Authentication, Reporting & Conformance、ディーマーク)と組み合わせて使うことが前提である。DMARCはメール送信者を認証し、なりすましメールが受信者に届くことを防ぐ技術。一方のBIMIは、ロゴの表示によって開封前にメールの信頼性を確認できるようにする技術である(関連記事:日経225企業の半数がなりすましメール対策に「DMARC」を導入─TwoFive調査)。
BIMIの導入にあたっては、DMARCの設定内容を厳しく設定しておく必要がある。受信側で認証に失敗したメールに対する送信側によるポリシーとして、「none(何もしないで受け取る)」ではなく「quarantine(隔離)」または「reject(拒否)」の設定にする必要がある。ヤフーもquarantine(隔離)の設定でDMARCを運用している。
