Plus Addressingとは
日本語では「プラスアドレス」と言ったりするようです。
簡単に説明すると、メールアドレスの自分のローカルパートに「+好きな文字列」を追加しても、元のメールアドレスにメールが届くような仕組みです。
例えば、
hirano@example.jp
というメールアドレスを持っている場合、
hirano+hogehoge@example.jp
にメールを送っても、+以降が無視され、hirano@example.jpにメールが届きます。
gmailやM365などが、これに対応しています。
qmailがextension addressesという名前で「-」を使った同じ機能を前世紀から提供していますので、プロバイダによっては「+」ではない場合もあるかも知れません。
個人的には、かれこれ25年ほどこの技術を愛用しています。
Phishing・なりすまし対策
さて、これがどうやってなりすまし対策に使えるのか。
当たり前ですが、自分のメールアドレスを誰にも教えなければ、誰からもメールが来ることはありません。Qiitaからメールが送られてくるのは、Qiitaの会員になるときに、自分のメールアドレスをQiitaに登録したからです。
そこで、Qiitaにメールアドレスを登録するときに、例えば、
hirano+qiita@example.jp
のように、登録先のサービス名や会社名を「+」の後に追加します。
これで、Qiitaからメールが届くときは、
From: Qiita <なんたら@qiita.com>
To: hirano+qiita@example.jp
Subject: お知らせですよ
のように届きます。
フィルタリング機能か何かで、+qiitaはQiitaフォルダに振り分けられるように設定しておけば、Qiitaからのメールは全てQiitaフォルダに溜まります。
では、なりすましの場合はどうでしょうか。
From: 実は偽者 <なんたら@qiita.com>
To: hirano@example.jp
Subject: お知らせですよ
あるいは、
From: 実は偽者 <なんたら@qiita.com>
To: hirano+foobar-shop@example.jp
Subject: お知らせですよ
のようになると思います。
このメールがなりすましかどうか。
Fromのドメインを見て、DNSを引いて、DMARCを調べて、SPFも調べて・・・気が遠くなります。
Plus Addressingを使った、この方法なら、Toを見れば一目瞭然です。
+qiitaがToに入っていないので、Qiitaに登録したメールアドレスではありません。
つまり、Qiita以外のところから来たメールだとわかります。
自動的にフォルダに振り分けられるようにしていたのであれば、調べるまでもなく、見る機会さえないかも知れません。
もうひとつ、わかることがあります。
もし、hirano+foobar-shop@example.jp からQiitaを装ったメールが来たなら、foobar-shopはメールアドレスを漏洩させたのでしょう。
25年間もこの方式を使っていると、実際にいくつか見たことがあります。
なりすましの人が+qiitaを付けてきたら?
ま、そこまでしてこないと思いますが、心配なら+以降は別に連番でも適当な文字列でも構いませんので、わかりにくいものにしておけばいいですね。
振り分けルールでQiitaに入るようにさえ書いておけばいいだけですね。
まとめ
SPFやDKIM、DMARCをはじめとする、Fromドメインを中心とした送信ドメイン認証もすばらしいのですが、Plus Addressingを使用することで、もっとお手軽になりすましから身を守ることが出きます。
ぜひ、お試しください。