概要
2023年10月下旬から、三井住友カードからの電子メールが公式ブランドロゴ表示に対応しました。
技術的には、電子メールの送信ドメイン認証に関連するBIMI等に対応したというものです (DMARC Enforcement含む)。
近年、フィッシング被害が深刻なので、大手クレカ会社においてこのように詐称メール対策が進められるのは良いことです。
本記事では、三井住友カードユーザである私がBIMI等対応を祝し (?)、技術的なメモを交えながらその概要をまとめます。
注意
本記事の内容は個人的な調査結果や経験に基づいたものです。
正確かどうか、最新かどうかについては、公式情報等をお確かめください。
三井住友カードからの電子メールが公式ブランドロゴ表示に対応
出典:配信メールの公式ブランドロゴ表示に関して|クレジットカードの三井住友VISAカード
公式サイトでのアナウンスは以下のとおりです。
BIMI、ブランドアイコン(Yahoo!メール)に対応
上記の公式アナウンスより、以下に対応したことが分かります。
- BIMI
日本国内でよく使われている環境としてGmail、iCloudメールで確認可能 - ブランドアイコン
Yahoo!メールでのみ確認可能
いずれも、受信したメールボックス内でそのメールに "公式ブランドロゴ" (画像) が表示される機能です。
ドコモメール公式アカウント (ドコモメール) については省略
また、以下についても記載がありますが、これはおそらく以前から対応できていたのではないかと思います (詳細は不明ですが本記事では省略します、技術的にはSPF or DMARCが要件)。
- ドコモメール公式アカウント (ドコモメール独自)
三井住友カードからの正規メールかどうかを見分ける方法
BIMI (Gmail、iCloudメール等) の場合と、ブランドアイコン (Yahoo!メール独自) の場合、それぞれについて記載します。
※もしご協力いただける方がいらっしゃいましたら、iCloudメールや Yahoo!メールで三井住友カードの公式ブランドロゴが表示されている様子が分かる画像のご提供と本記事への掲載許可をいただけたりしますとありがたいです (当サイトの公式Xアカウントかお問い合わせまで)。
BIMIの確認 (Gmail、iCloudメール等)
まずBIMIの方から。
三井住友カードから届いたメールをGmailやiCloudメールで開いて、以下のように公式ロゴ画像が表示されていれば、(ある程度信頼できるレベルで) 正規メールであると判断できます。
正規メールというのは、本物の三井住友カード株式会社が送信したメールであるということです。
現状として、実用上は信頼して良いと思います (詐称メールでないことを100%保証するという意味ではありません)。
転送したメールでは公式ロゴ画像が表示されない場合あり
詳しい内容は省略しますが、以下のようになります。
三井住友カードから届いたメールを手動で (転送ボタンを押して) GmailやiCloudメールに転送して届いたメールには、公式ロゴ画像は表示されません (理由:手動転送されて届いたメールはSPF、DKIMともに認証失敗するのでDMARC認証が失敗するため)。
三井住友カードから届いたメールをGmailやiCloudメールに自動転送した場合には、転送後のメールにも基本的に公式ロゴ画像が表示されます (理由:自動転送されても (ヘッダFrom等が変更されなければ) DKIM署名が有効なままなのでDMARC認証が成功するため)。
BIMIの対象はvpass.ne.jpのみ
2023年11月20日時点で、BIMIについては @vpass.ne.jp から送信されるメールのみが対応しているようです (@contact.vpass.ne.jp等のサブドメインも含む)。
@smbc-card.com から送信されるメールについては、対応していません。
もう少し詳しく確認した結果については後述します。
ブランドアイコンの確認 (Yahoo!メール独自)
次に、ブランドアイコンです。
三井住友カードから届いたメールをYahoo!メールで開いて、上記のBIMIと同様に公式ロゴ画像が表示されていれば、BIMIと同様に、(ある程度信頼できるレベルで) 正規メールであると判断できます。
出典:- メールの安全性を表すアイコンについて
ブランドアイコンの対象はvpass.ne.jpとsmbc-card.com
2023年11月20日時点で、ブランドアイコンについては @vpass.ne.jp 、@smbc-card.com のどちらから送信されるメールでも対応しているようです (@contact.vpass.ne.jp等のサブドメインも含む)。
ブランドアイコンは登録制のようで、以下のように三井住友カードが登録されていることを確認できました。
出典:ブランドアイコン表示企業・サービス一覧 - Yahoo!メール
詳細 (技術的な話)
公開されている情報の範囲内で、BIMIやその関連技術の設定を確認していきます。
BIMI、DMARCのDNSレコード等を確認
BIMI、およびその必須要件となるDMARCについて、DNSレコードが設定されていることを確認してみます。
Windowsのコマンドプロンプトであれば、まず以下のように nslookup を実行し、TXTレコードを検索できるようにします。
> nslookup > set type=TXT
その後、以下のように各レコードを検索していきます。
vpass.ne.jpドメイン
三井住友カードからクレジットカード利用者に送信されるメールの送信元 (ヘッダFromアドレス) は、主にこのvpass.ne.jpドメインか、そのサブドメインのものです。
送信されるメールには、各種案内メールや、手続きの際の通知メールがあります。
BIMIレコード
以下のように、BIMIのためのTXTレコードを確認できます。
> default._bimi.vpass.ne.jp
…
権限のない回答:
default._bimi.vpass.ne.jp text =
"v=BIMI1; l=https://www.smbc-card.com/common/dynamic/memx/img/mail_icon/logo_visa.svg; a=https://www.smbc-card.com/common/dynamic/memx/img/mail_icon/logo_visa.pem"
BIMI関連リソース
上記より、以下のリソース情報を取得できます。
ロゴ画像 (公式ブランドロゴ)
https://www.smbc-card.com/common/dynamic/memx/img/mail_icon/logo_visa.svgロゴ画像が正当なものであることを証明するためのVMC (証明書)
https://www.smbc-card.com/common/dynamic/memx/img/mail_icon/logo_visa.pem
VMCについては、そのテキスト内容をWindows上で拡張子.crtで保存すると、内容を確認できます。
サブジェクトに日本語が使用されていたり、STREET =があったりします (詳細は、Supporting Documents - BIMI Groupの "VMC Requirements (Current)" 等を要参照)。
あと、手元のWindowsにルートCAが入ってないようで、証明書の検証がエラーとなりました。
DMARCレコード
以下のように、DMARCのためのTXTレコードを確認できます。
> _dmarc.vpass.ne.jp
…
権限のない回答:
_dmarc.vpass.ne.jp text =
"v=DMARC1; p=reject; rua=mailto:smbccard00001-ra@dmarc25.jp,mailto:dmarc-rua@report.securemx.jp"
p=rejectが設定されています。
ARヘッダの経過
今までに三井住友カードから届いたメールについて、時期をさかのぼってソース中のAuthentication-Results:ヘッダ(ARヘッダ)を確認してみます。
過去のメールのARヘッダを確認することで、Gmail側でそのメールを受信した時点で検証した送信ドメイン認証の結果を知ることができます。
2023年11月17日時点
最近のものです。
以下のようにp=REJECTが設定されています。前述のとおり、BIMIのロゴ画像も表示されたメールです。
2023年4月29日時点
次に、少し前のものです。
以下のように、既にp=REJECTが設定されていますが、このメールにはBIMIのロゴ画像が表示されません。
DMARCの設定は前述の2023年11月17日時点と同じですが、このメールをGmail側が受信した時点では、まだBIMIの設定はされていなかったものと推察されます。
2023年1月29日時点
さらに前のものです。
DMARCは設定されていますが、以下のようにp=NONEが設定されています。
この時点でのDNSレコードがどうなっていたのかは確認できませんが、この時期にはおそらくDMARCレポートを受信しながら検証していたものと推察されます。
ARヘッダの経過から分かること
上記より、DMARCのポリシーを p=NONE → p=REJECT と段階的に切り替えた後、しらばく経ってからBIMI対応が完了した、という流れを読み取れます。
smbc-card.comドメイン
前述のvpass.ne.jpとは別ドメインです。
各種案内メールや、手続きの際の通知メールには使われませんが、私が把握している限りでは、メール問い合わせ時の回答メールの送信元 (ヘッダFromアドレス) に使用されています。
本記事の作成時点では、このドメインはBIMIに対応しておらず、このドメインから受信したメールに公式ロゴ画像は表示されません。
BIMIレコード
以下のように、BIMIのためのTXTレコードは存在しません。
> default._bimi.smbc-card.com … *** UnKnown が default._bimi.smbc-card.com を見つけられません: Non-existent domain
DMARCレコード
以下のように、DMARCのためのTXTレコードを確認できます。
> _dmarc.smbc-card.com
…
権限のない回答:
_dmarc.smbc-card.com text =
"v=DMARC1; p=reject; sp=none; rua=mailto:smbccard00001-ra@dmarc25.jp,mailto:dmarc-rua@report.securemx.jp"
p=rejectが設定されています。
ARヘッダ等
Authentication-Results:ヘッダ(ARヘッダ)等を確認してみます。
私が確認したsmbc-card.comドメインからのメールは、Salesforceから送信されているようです。
SPFの認証も、smbc-card.comドメインでなく、salesforce.comドメインに対して行われています。
ドメイン間の差異
上記より、vpass.ne.jpドメインとsmbc-card.comドメインの差異は、使用しているシステム等の構成も関係してそうです。
三井住友カードのコンタクトセンターがSalesforceのシステムを使用しているらしい関係上、このような構成になっているという推測はできます。
smbc-card.comドメインについては、ブランドアイコン (Yahoo!メール独自) には対応済みですが、今後BIMI対応がされるのかどうかについては、微妙かもしれません。
(備考) ブランドアイコンの導入のしやすさ
ブランドアイコンの導入要件として、DMARCそのものは必須ではないのですが、DMARC Alignment相当 (DKIM or SPFの認証対象とするドメインが、ヘッダFromと一致していること) が必須にはなっているようです。
そのような独自の導入要件が、DMARC導入があまり進んでいない日本国内の事情をうまくフォローできているのかもしれません。
BIMIの方は、DMARCの正式導入 (DMARC Enforcement) が必須なので、ブランドアイコンに比べると、そのあたりの要件は厳しくなります。ただ国際的に認知されつつある規格ではあります。
BIMIについてもう少し詳しく確認する方法
Gmailでは、上記のように青いバッヂを選択し、詳細 (ヘルプ記事)を確認することもできます。
当サイトでは、BIMIについて以下の記事にまとめてあります。
(参考) 三井住友銀行もBIMIに対応
三井住友銀行からもBIMI対応のアナウンスが出ています。
おそらくSMBCグループ全体でBIMI対応を進めてきたのだと思います。
まとめ
本記事では、三井住友カードからの電子メールが公式ブランドロゴ表示に対応した点についてまとめてみました。
三井住友カードのいち利用者として、安心して電子メールを受け取れるように対応を進めてくれていることは嬉しいです。
クレジットカードの不正利用には気をつけましょう。
ちなみに余談ですが、楽天は2022年時点でBIMI対応できていたという点については、以下の記事で触れています。
送信ドメイン認証についての記事は以下です。
