DMARCとは

DMARCは、Eメール認証、ポリシー、およびレポートプロトコルで、これによって企業は自社のドメインがなりすましやフィッシング詐欺などに不 正使用されるのを防ぐことができます。

概要

• DMARCは、DNSに保存されるTXTレコードで、Eメールの受信者が受信したメールの信頼性をチェックできるようにします。
• 企業の既存のインバウンド認証プロセスに適合し、メールがメール受信者 の知る送信者と「一致」しているか判断できるようにします。
• 企業は「不信」なメールの処理方法を3つのオプションから選択できます。

• “p = none”(何もしない)
• “p = quarantine”(隔離する)
• “p = reject”(拒否する)

• DMARCが正しく機能するには、事前にSPF(Sender Policy Framework) およびDKIM (Domainkeys Identified Mail)プロトコルがセットアップされている必要があります。
• 企業のDMARCレコードは、既存のインターネットベースの「ツール」 (例えば、valimail.com)から確認できます。

なぜDMARCなのか?

DMARCを導入することで、企業は4つの重要なメリットを享受できます。

• セキュリティ

  Eメールドメインの不正使用をブロックすることで、スパム、詐欺、フィッシングから保護します。

• 可視性

  インターネット上の誰が(何が)自分のドメインを使用してEメールを送信しているか、詳細なレポートを取得できます。

• 配信率

  配信率が5~10%向上し、EメールにSPAMのフラグが付けられるのを回避します。

• ブランドの保護

  アイデンティティをターゲットにした攻撃からブランドを保護します。

SPFのセットアップ方法:

• ドメインからEメールを送信するために使用されるIPアドレスを収集します。
  • Webサーバ
  • 社内メールサーバ
  • ISPのメールサーバ
  • サードパーティーのメールサーバ
• 送信側ドメインと非送信側ドメインの両方のリストを作成します。
• テキスト編集プログラム(Notepad ++、Vim、Nanoなど)を使用 して、各ドメインのSPFレコードを.txtで作成します。

  例1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

  例2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

• SPFをDNSに公開します。

  DNSを管理している場合は、SPFテキストを含む新しいTXTレコー ドを追加するだけです。

  DNSを管理していない場合は、レコードを追加するようサーバ管理者に依 頼します。

• DNSにレコードが追加されたら、SPFチェックツールを使用して確認します。

DKIMのセットアップ方法:

• DKIMセレクターを選択します。

  これは、単純なユーザー定義のテキスト文字列で、ドメイン名に追加され、DKIM公開鍵(「standard」など)を識別するために使用します。
  例: “standard._domain.example.com” = ホスト名

• 送信側ドメインと非送信側ドメインの両方のリストを作成します。
• テキスト編集プログラム(Notepad ++、Vim、Nanoなど)を使用 して、各ドメインのSPFレコードを.txtで作成します。

  例1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

  例2: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

• ドメイン用の公開鍵/秘密鍵ペアを生成します。
  • Windowsユーザーは、PUTTYGenを使用できます。
  • Linux、Macユーザーは、ssh-keygenを使用できます。
• 新しいTXTレコードを作成して公開します。

  DNS管理コンソールから、前述の鍵ペアの公開鍵を使用して新しいレコードを作成します。
  例: v=DKIM1; p=YourPublicKey

DMARC監視モードのセットアップ

• SPFとDKIMが正しくセットアップされていることを確認します。
• DNSレコードを作成します。

  DMARC “TXT”レコードの名前は、「_dmarc.your_domain.comのようにする必要があります。
  例: “v=DMARC1;p=none; rua=mailto:dmarcreports
  @your_domain. com”
  ドメインのDNSを管理している場合は、SPFやDKIMレコードと同様に「p=none」(監視モード)のDMARCレコードを作成します。
  DNSを管理していない場合は、DNSプロバイダーにDMARCレコー ドの作成を依頼します。

• DMARCチェックツールを使用してDMARCレコードをテストします。

  注意:通常、レプリケーションに24~48時間掛かります。
  DMARCチェックツール

DMARCレポートが提供するのはどのような情報か?

このレポートは、どれだけ多くの詐欺メッセージがそのドメインを使用しているか、そのメッセージの送信元はどこか、さらに DMARCの「隔離」または「拒否」ポリシーによって阻止されたかどうかをドメイン所有者に示します。

各受信者からのレポートは、XMLファイルで、次のフィールドで構成されています。

• 各IPアドレスからのメッセージ数
• これらのメールがDMARCポリシーによってどのように処理されたか
• これらのメッセージに対するSPFの結果
• これらのメッセージに対するDKIMの結果

XMLレポートは表示できますが、そのままでは不便です。
ドメイン所有者は、Valimailまたはその他のDMARCサービスプロバイダーの DMARCレポートプロセッサを使用してください。

適用する前にDMARCレポートを使用して環境を整える

DMARCレポートの分析には時間が掛かります。しかし、ドメイン所有者が送信者を見過ごしたり、誤認したりした場合、DMARCポリシーが適用に設定された時点で「正当」なメールをブロック(「隔離」または「拒否」)する可能性があり、その結果さらに時間のかかる問題が発生して、業務を妨げることになるかもしれません。

その代わりに、DMARCの適用を開始する前にいくつかの内部タスクを行うことをお勧めします。

• DMARCレポートで特定されたすべてのEメール送信者と関係者から指摘された他のすべての送信者のリストを作成します。
• 各サービス/Eメール送信者の所有者を特定します。
• 送信サービスを、承認、未承認、悪意があるのいずれかに分類します。
• DMARCレポートに表示されない可能性のある送信者が他にもいる かどうかを関係者の協力を得て特定します。
• 新しい送信者を識別するたびに、関係者に連絡します。
• 新しく正当なEメール送信者のIPアドレスが見つかるたびに、SPF レコードを更新します。

DMARCポリシーを「QUARANTINE(隔離)」に設定する

検疫モードをオンにすると、認証に失敗したメッセージは隔離されます。
通常、このメッセージはユーザーのスパムフォルダーに送られます。

DMARCの検疫の適用をセットアップする方法

• DNSサーバにログインし、DMARCレコードを検索します。
• 目的のドメインに関するDMARCレコードを開き、ポリシーを「p=none」から「p=quarantine」に更新します。
  
  例:“v=DMARC;p=quarantine;pct=10;
  rua=mailto:dmarcreports@ you_domain.com”
• フラグ「pct」(フィルターの対象になるメッセージの%)を追加します。10%から始めることをお勧めします。
• フィルターされるメッセージの割合を徐々に上げていき、より安心できるようになってきたら、「pct=100」(100%)にします。

  注意:BIMおよび認証マーク証明書標準を満たすには「pct=100」にする必要がありますが、独自のポリシーは「隔離」または「拒否」にすることができます。

DMARCポリシーを「REJECT」に設定する

DMARCの拒否ポリシーのセットアップ方法

• DNSコンソールを使用してDMARCレコードを開きます。
• 「p=quarantine」から「p=reject」に変更します。
  
  例: “v=DMARC;p=reject;pct=100;
  rua=mailto:dmarcreports@you_ domain.com
• レコードを保存します。

  ヒント:正当なEメールが拒否されたり削除されたりしないことを保証するために、この段階で監視を続けていることが特に重要です。