この記事では、SPFレコードを簡単に最適化する方法をご紹介します。企業や中小企業で、顧客やパートナー、従業員との間でメッセージを送受信するためにメールドメインを所有している場合、受信サービスプロバイダーによって設定されたSPFレコードがデフォルトで存在している可能性が高いです。既存のSPFレコードがあっても、新たに作成する必要があっても、SPFレコードがメール配信の問題を起こさないようにするためには、SPFレコードをドメインに合わせて正しく最適化する必要があります。

メール受信者の中には、SPFを厳しく要求する人もいます。つまり、あなたのドメインにSPFレコードが発行されていない場合、あなたのメールは受信者の受信箱でスパムとしてマークされる可能性があるということです。さらに、SPFは、あなたのドメインを代表してメールを送信する未承認のソースを検出するのに役立ちます。

まず、SPFとは何か、なぜSPFが必要なのかを理解しましょう。

送信者ポリシーフレームワーク(SPF

SPFは、基本的に標準的な電子メール認証プロトコルであり、あなたのドメインからの電子メール送信を許可されたIPアドレスを指定します。SPFは、特定のドメインのDNSで公開されている送信許可ホストとIPアドレスのリストと送信者アドレスを比較して動作します。

SPFは、DMARC(Domain-based Message Authentication, Reporting and Conformance)とともに、メール配信時に偽造された送信者アドレスを検出し、なりすまし攻撃やフィッシング、メール詐欺などを防ぐために設計されています。

ホスティングプロバイダーがお客様のドメインに統合したデフォルトのSPFは、お客様のドメインから送信されるメールがSPFに対して認証されることを保証しますが、お客様のドメインから複数のサードパーティベンダーがメールを送信する場合、この既存のSPFレコードをお客様の要件に合わせて調整・変更する必要があることを知っておくことが重要です。どのようにすればよいのでしょうか?最も一般的な方法を2つご紹介しましょう。

  • 新しいSPFレコードの作成
  • 既存のSPFレコードの最適化

SPFレコードを最適化する方法の説明

全く新しいSPFレコードの作成

SPFレコードの作成とは、ドメインにSPFを設定するために、ドメインのDNSにTXTレコードを発行することです。これは、SPFレコードを最適化する方法を始める前の必須ステップです。認証を始めたばかりで、構文がよくわからない場合は、無料のオンラインSPFレコードジェネレータを使って、ドメインのSPFレコードを作成することができます。

正しい構文のSPFレコードエントリは以下のようになります。

v=spf1 ip4:38.146.237 include:example.com -all

v=spf1使用しているSPFのバージョンを指定する
IP4/IP6この仕組みでは、ドメインからのメール送信を許可された有効なIPアドレスを指定します。
インクルード受信側のサーバーに、指定したドメインのSPFレコードの値を含めるように指示する仕組みです。
-すべてこの仕組みにより、SPFに準拠していないメールを拒否することができます。これは、SPFレコードを公開する際に使用できる推奨タグです。ただし、SPF Soft Failを意味する~に置き換えることもできます(SPFに準拠していないメールはソフトフェイルとしてマークされますが、それでも受け入れられます)。また、+は、あらゆるサーバーがあなたのドメインに代わってメールを送信することを許可することを指定しますが、これは強く推奨されません。

すでにドメインにSPFを設定している場合は、無料のSPFレコードチェッカーを使って、SPFレコードを検索して検証し、問題を検出することもできます。

SPFを設定する際のよくある問題とエラー

1) 10個のDNSルックアップの制限 

ドメイン所有者がSPF認証プロトコルを設定・採用する際に直面する最も一般的な問題は、SPFにはDNSルックアップ数が10を超えてはならないという制限があることです。複数のサードパーティベンダーに依存しているドメインでは、10回のDNSルックアップの制限が簡単に超えてしまい、SPFが破損してSPF PermErrorが返されます。このような場合、受信サーバーは自動的にSPFレコードを無効にし、ブロックします。

DNSルックアップを開始するメカニズム。MX、A、INCLUDE、REDIRECT修飾子

2) SPFボイドルックアップ 

ボイドルックアップとは、NOERRORレスポンスまたはNXDOMAINレスポンス(ボイドアンサー)を返すDNSルックアップのことです。SPFを実装する際には、DNSルックアップがそもそもボイドアンサーを返さないようにすることが推奨されます。

3) SPF再帰的ループ

このエラーは、指定されたドメインのSPFレコードに、1つ以上のINCLUDE機構の再帰的な問題が含まれていることを示しています。これは、INCLUDEタグで指定されたドメインの1つに、SPFレコードに元のドメインのINCLUDEタグが含まれているドメインが含まれている場合に発生します。これにより、メールサーバがSPFレコードのDNS検索を継続的に行うという終わりのないループが発生します。その結果、最終的にはDNSルックアップの上限である10件を超えてしまい、SPFに失敗するメールが発生します。

4) シンタックスエラー 

SPFレコードがドメインのDNSに存在していても、構文エラーがあると意味がありません。SPF TXTレコードにドメイン名や機構名を入力する際に不要なホワイトスペースが含まれていると、受信サーバーが検索を行う際に余分なスペースの前の文字列が完全に無視され、SPFレコードが無効になります。

5) 同一ドメインに複数のSPFレコードがある場合

1つのドメインがDNSに登録できるSPF TXTエントリは1つだけです。お客様のドメインに複数のSPFレコードがある場合、受信サーバーはすべてのSPFレコードを無効にし、メールがSPFに失敗する原因となります。

6) SPFレコードの長さ 

DNSにおけるSPFレコードの最大長は255文字に制限されています。しかし、この制限を超えて、SPF用のTXTレコードに複数の文字列を連結して含めることができますが、DNSのクエリ応答に合わせて512文字の制限を超えることはできません(RFC 4408による)。これは後に修正されましたが、古いバージョンのDNSに依存している受信者は、長大なSPFレコードを含むドメインから送信されたメールを検証することができませんでした。

SPFレコードの最適化

SPFレコードを速やかに修正するために、以下のSPFのベストプラクティスを利用することができます。

  • あなたのSPFレコードに、メールソースを左から右に重要度の低い順に入力してみてください。
  • 廃止されたメールソースをDNSから削除
  • AやMXの代わりにIP4/IP6の仕組みを使う
  • INCLUDE機構の数をできるだけ少なくし、ネストしたインクルードを避けます。
  • DNSで同一ドメインのSPFレコードを複数発行しないこと
  • SPFレコードに余計な空白や構文エラーがないことを確認してください。

注意:SPFフラット化は、一度だけの対応ではないため、お勧めできません。メールサービスプロバイダがインフラを変更した場合、それに合わせてSPFレコードを毎回変更しなければなりません。

PowerSPFで簡単にできるSPFレコードの最適化

SPFレコードを最適化するために、上記のような修正を手動で行うこともできますが、手間をかけずにダイナミックなPowerSPFが自動的にすべての作業を行ってくれます。PowerSPFは、ワンクリックでSPFレコードを最適化することができ、以下のことが可能です。

  • 簡単に送信元を追加・削除できる
  • DNSを手動で変更することなく、簡単にレコードを更新することができます。
  • 最適化された自動SPFレコードをボタン一つで取得
  • DNSルックアップ数を常に10件以内に抑える
  • PermErrorの緩和に成功しました。
  • SPFレコードの構文エラーや設定の問題を解消
  • お客様に代わってSPF制限を解決する負担を軽減します

今すぐPowerDMARC登録して、SPFの制限に永遠に別れを告げましょう。  

メールが受信者のもとに届く率をメール到達率といいます。メールがスパムフォルダに入ってしまったり、受信サーバーでブロックされてしまったりすると、この率が低下したり、遅延したり、あるいは配信に失敗してしまうことがあります。メールがスパムと判定されることなく、希望する受信者の受信箱に届いたかどうかを測る重要なパラメータです。 電子メール認証は、電子メールの配信能力を長期的に大幅に改善するために、認証の初心者が頼ることのできるオプションの1つであることは間違いありません。

このブログでは、メールの配信率を簡単に向上させる方法や、すべてのメールチャネルでメッセージがスムーズに流れるようにするための業界のベスト・プラクティスについてご紹介しています。

メール認証とは何ですか?

メール認証とは、お客様のドメインからメールを送信することが許可されているすべての正規ソースに対して、お客様のメールの真正性を検証するために使用される技術です。さらに、電子メールの転送や変更に関わるメール転送エージェント(MTA)のドメイン所有権を検証するのにも役立ちます。

なぜメール認証が必要なのか?

電子メール転送のインターネット標準であるSimple Mail Transfer Protocol (SMTP)には、送受信される電子メールを認証する機能がないため、サイバー犯罪者はSMTPの安全なプロトコルの欠如を悪用することができます。これを利用して、フィッシング詐欺、BEC、ドメイン偽装などの攻撃を行い、お客様のブランドになりすまして、その評判や信用を傷つけることができます。電子メール認証は、なりすましや詐欺に対するドメインのセキュリティを強化し、受信サーバーに電子メールがDMARCに準拠しており、有効で信頼できるソースからのものであることを示します。また、お客様のドメインからメールを送信している未承認の悪意のあるIPアドレスのチェックポイントとしても機能します。

ブランドイメージを守り、サイバー脅威やBECを最小限に抑え、配信率を向上させるためには、メール認証が必須です。

メール認証のベストプラクティス

送信者ポリシーフレームワーク(SPF

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。お客様のドメインから送信されるすべてのメールには、お客様のサーバーとお客様のドメインで使用されているメールサービスプロバイダーを特定するIPアドレスがSPFレコードとしてお客様のDNS内に登録されています。受信者のメールサーバーは、SPFレコードと照らし合わせて電子メールを検証し、それに応じてSPF合格または不合格としてマークします。

SPFには10個のDNSルックアップ制限があり、これを超えるとPermErrorの結果が返され、SPFが失敗することがあるので注意が必要です。これは、PowerSPFを使用して常にルックアップ制限を下回るようにすることで軽減できます。

DomainKeys Identified Mail (DKIM)

DKIMは標準的な電子メール認証プロトコルで、秘密鍵を使って作成された暗号署名を割り当て、受信サーバーで電子メールを検証するもので、受信者は送信者のDNSから公開鍵を取得してメッセージを認証することができます。SPFと同様に、DKIM公開鍵もドメイン所有者のDNSにTXTレコードとして存在します。

DMARC(Domain-based Message Authentication, Reporting and Conformance)について

ドメイン所有者は、認証チェックに失敗したメールに対する受信サーバーの対応をコントロールする方法がないため、SPFとDKIMを実装するだけでは十分ではありません。

DMARCは、現在最も広く使用されている電子メール認証規格で、ドメイン所有者が受信サーバーに対して、SPFやDKIM、またはその両方に失敗したメッセージをどのように処理すべきかを指定できるように設計されています。これにより、ドメインを不正アクセスやメールスプーフィング攻撃から守ることができます。

DMARCはどのようにしてメールの配信能力を向上させるのか?

  • ドメインのDNSにDMARCレコードを公開すると、ドメインの所有者は、DMARCをサポートする受信サーバーに、そのドメインで受信した電子メールに関するフィードバックを送信するように要求します。これにより、受信サーバーは、あなたのドメインがDMARC、SPF、DKIMなどの電子メール用の安全なプロトコルと認証基準のサポートを拡張していることを自動的に示すことができます。
  • DMARC集約レポートは、メールエコシステムの可視性を高め、メール認証結果の確認、認証失敗の検出、配信問題の軽減を可能にします。
  • DMARCポリシーを徹底することで、ブランドを装った悪質なメールが受信者の受信箱に入るのを防ぐことができます。

メールの配信力を高めるためのその他のヒント

  • BIMIで受信者の受信箱にブランドを視覚的に認識させる
  • MTA-STS で送信中のメールのTLS暗号化を確保する。
  • TLS-RPTを利用した広範なレポート機能により、メール配信に関する問題を検出し、対応することができます。

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべてのメール認証のベストプラクティスを一つにまとめたメール認証SaaSプラットフォームです。今すぐPowerDMARCにサインアップして、私たちの強化された電子メールセキュリティと認証スイートで、電子メールの配信能力が大幅に改善されるのを目撃してください。

ビジネス・メール・コンプロマイズ(BEC)とは、電子メールのセキュリティ侵害やなりすまし攻撃の一種であり、商業、政府、非営利団体、中小企業、新興企業、多国籍企業などに影響を与え、ブランドや組織に悪影響を及ぼす可能性のある機密データを抽出するものです。スピアフィッシング、請求書詐欺、スプーフィングなどがBECの一例です。

サイバー犯罪者は、組織内の特定の人物、特にCEOなどの権威ある立場の人物や、信頼のおける顧客などを意図的に狙う策略の専門家です。BECによる世界的な経済的影響は甚大であり、特に米国がその中心的存在となっています。世界のBEC詐欺の被害状況についてはこちらをご覧ください。解決策は?DMARCに切り替えましょう。

DMARCとは何ですか?

DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、電子メール認証の業界標準である。この認証メカニズムは、SPFやDKIMの認証チェックに失敗したメールへの対応方法を受信サーバーに指定するものです。DMARCは、あなたのブランドがBEC攻撃の餌食になる可能性をかなりの割合で最小限に抑え、あなたのブランドの評判、機密情報、金融資産を保護するのに役立ちます。

DMARC認証は、ドメインを代表して送信されたメッセージを検証するために、これらの2つの標準的な認証プロトコルを使用するので、DMARCレコードを公開する前に、あなたのドメインにSPFとDKIMを実装する必要があることに注意してください。

無料のSPF Record GeneratorDKIM Record Generatorを使って、お客様のドメインのDNSで公開するレコードを生成することができます。

BEC対策のためにDMARCレコードを最適化するには?

お客様のドメインをビジネスメールの侵害から保護するとともに、認証結果を監視するための広範なレポートメカニズムを有効にし、お客様のメールエコシステムを完全に可視化するために、お客様のドメインのDNSで以下のDMARCレコード構文を公開することをお勧めします。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

DMARCレコードの生成時に使用されるタグの理解。

V(必須このメカニズムでは、プロトコルのバージョンを指定します。
p(必須このメカニズムは、使用中のDMARCポリシーを指定します。DMARCポリシーを設定することができます。

p=none(認証チェックに失敗した電子メールが受信者の受信箱に届くような、監視のみのDMARC)。 p=quarantine(認証チェックに失敗した電子メールが隔離されるか、スパムフォルダに格納されるような、強制のDMARC)。

p=reject(DMARCを最大限に強化し、認証チェックに失敗したメールは破棄されるか、まったく配信されない)。

しかし、このブログの目的である、BECからドメインを保護したい場合、最大限の保護を確保するためには、p=rejectが推奨されるポリシーです。

sp (オプションこのタグはサブドメインのポリシーを指定するもので、sp=none/quarantine/rejectに設定することで、メールがDMARC認証に失敗したすべてのサブドメインに対するポリシーを要求することができます。

このタグは、メインドメインとサブドメインに異なるポリシーを設定したい場合にのみ有効です。指定しない場合は、デフォルトですべてのサブドメインに同じポリシーが適用されます。

adkim (オプションこのメカニズムは、DKIM識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

Strict alignmentは、メールヘッダのDKIMシグネチャのd=フィールドが、fromヘッダのドメインと正確に一致しなければならないことを指定します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

aspf (オプション この機構は、SPF識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

ストリクト・アラインメントとは、「Return-path」ヘッダーのドメインが、「from」ヘッダーのドメインと完全に一致することを意味します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

ルア(任意ですがお勧めしますこのタグは、mailto:フィールドの後に指定されたアドレスに送信されるDMARC集約レポートを指定し、DMARCを通過したメールと失敗したメールについての洞察を提供します。
ruf(オプションだが推奨このタグは、mailto: フィールドの後に指定されたアドレスに送信される DMARC フォレンジックレポートを指定します。フォレンジックレポートは、認証失敗に関するより詳細な情報を提供するメッセージレベルのレポートです。これらのレポートには電子メールのコンテンツが含まれている可能性があるため、暗号化することが最善の方法です。
pct(オプションこのタグは、DMARCポリシーが適用されるメールの割合を指定します。デフォルト値は100に設定されています。
fo(オプションだが推奨DMARCレコードのフォレンジックオプションを設定することができます。

→DKIMとSPFが通らない、揃わない(0)

→DKIMやSPFが通らない、または揃わない(1)

→DKIMが通らない、揃わない(d)

→SPFが通らない、揃わない(S

推奨モードはfo=1で、DKIMまたはSPFの認証チェックにメールが失敗した場合、フォレンジックレポートを生成してドメインに送信することを指定します。

PowerDMARCの無料DMARCレコードジェネレーターを使ってDMARCレコードを生成することができ、希望する施行レベルに応じてフィールドを選択することができます。

なお、BECを最小限に抑え、なりすましやフィッシング攻撃からドメインを守ることができるのは、拒否の実施ポリシーだけです。

DMARCは、BECからビジネスを守るための有効な基準となりますが、DMARCを正しく実装するには労力とリソースが必要です。電子メール認証のパイオニアであるPowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスをひとつにまとめた電子メール認証SaaSプラットフォームであり、認証の初心者でも、認証の愛好家でもあります。私たちはあなたを支援します。

  • モニタリングからエンフォースメントへ瞬時に移行し、BECを抑える
  • 当社の集計レポートは、複雑なXMLファイルを読まなくても簡単に理解できるように、簡素化されたチャートやテーブルの形で生成されます。
  • フォレンジックレポートを暗号化し、お客様の情報を保護します。
  • 認証結果を7つのフォーマット(結果ごと、送信元ごと、組織ごと、ホストごと、詳細な統計情報、ジオロケーションレポート、国ごと)で、ユーザーフレンドリーなダッシュボード上に表示し、最適なユーザーエクスペリエンスを提供します。
  • SPFとDKIMの両方に対してメールを調整することで、100%のDMARCコンプライアンスを実現し、いずれかの認証チェックポイントに失敗したメールが受信箱に届かないようにする

DMARCはどのようにしてBECから守るのか?

DMARCポリシーを最大施行(p=reject)に設定すると同時に、DMARCは、なりすまし攻撃やドメイン乱用の可能性を減らすことで、メール詐欺からブランドを守ります。すべての受信メッセージは、SPFとDKIMのメール認証チェックで検証され、有効な送信元からのメッセージであることが確認されます。

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。受信側のメールサーバーは、SPFレコードに照らし合わせてメールを検証し、認証を行います。DKIMは、秘密鍵を使って作成された暗号化された署名を割り当て、受信サーバーで電子メールを検証します。受信者は、送信者のDNSから公開鍵を取得してメッセージを認証します。

拒否のポリシーを設定すると、認証チェックに失敗し、ブランドが偽装されていることを示す場合、メールは受信者のメールボックスに一切配信されません。これにより、なりすましやフィッシングなどのBEC攻撃を防ぐことができます。

PowerDMARCの中小企業向け基本プラン

ベーシックプランは、月額わずか8米ドルからご利用いただけますので、DMARCのような安全なプロトコルを採用しようとしている中小企業やスタートアップ企業には、簡単にご利用いただけます。このプランをご利用いただくと、以下のようなメリットがあります。

  • 年間プランで20%割引
  • 最大2,000,000件のDMARC準拠の電子メール
  • 最大5つのドメイン
  • 1年間のデータ履歴
  • 2 プラットフォームユーザー
  • 主催するBIMI
  • ホスト型MTA-STS
  • TLS-RPT

今すぐPowerDMARCに登録して、ビジネスメールの不正使用やメール詐欺の可能性を最小限に抑え、ブランドのドメインを守りましょう。

1982年にSMTPが初めて仕様化されたとき、SMTPにはメール転送エージェント間の通信を保護するトランスポートレベルのセキュリティを提供する仕組みはありませんでした。しかし、1999年にSMTPに追加されたSTARTTLSコマンドは、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルで暗号化されたセキュアな接続に変換する機能を提供しました。

しかし、SMTPでは暗号化はオプションであり、平文であっても電子メールの送信が可能であることを意味する。 メール転送エージェント-制限付きトランスポートセキュリティ(MTA-STSは比較的新しい規格で、メールサービスプロバイダーがSMTP接続を保護するためにTLS(Transport Layer Security)を実施したり、信頼できるサーバー証明書でTLSを提供していないMXホストへのメール配信を送信側SMTPサーバーが拒否するかどうかを指定したりすることができます。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃を軽減できることが実証されています。 SMTP TLSレポート(TLS-RPT)については、電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出するための規格です。電子メールがTLSで暗号化されていないときに発生する電子メール配信の問題の報告を可能にします。2018年9月、この規格はRFC 8460で初めて文書化されました。

なぜメールには転送時の暗号化が必要なのか?

その主な目的は、SMTP通信時のトランスポートレベルのセキュリティを向上させ、電子メールのトラフィックのプライバシーを確保することです。また、受信および送信メッセージの暗号化は、電子情報を保護するための暗号技術を用いて、情報セキュリティを強化します。 さらに、MITM(Man-In-The-Middle)やTLS Downgradeなどの暗号攻撃は、最近ではサイバー犯罪者の間で一般的になっていますが、TLSの暗号化を強制し、安全なプロトコルへのサポートを拡張することで回避することができます。

MITM攻撃はどのようにして行われるのか?

暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに依存する必要がありました。MITM攻撃者は、アップグレードコマンドを改ざんすることでSMTP接続のダウングレード攻撃を実行し、クライアントを平文でのメール送信に強制的に戻すことで、この機能を容易に悪用することができます。

通信を傍受したMITM攻撃者は、復号化された情報を容易に盗み出し、電子メールの内容にアクセスすることができます。これは、メール転送の業界標準であるSMTPがオポチュニスティック暗号を使用しているためです。オポチュニスティック暗号とは、暗号化が任意であり、電子メールを平文で配信できることを意味します。

TLSダウングレード攻撃はどのように行われるのか?

暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに依存する必要がありました。MITM攻撃者は、アップグレードコマンドを改ざんすることによってSMTP接続のダウングレード攻撃を行うことで、この機能を悪用することができます。攻撃者は、STARTTLSを、クライアントが識別できない文字列で単純に置き換えることができます。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。

つまり、ダウングレード攻撃は、MITM攻撃の一環として行われることが多く、最新バージョンのTLSプロトコルで暗号化された接続の場合には不可能な攻撃を可能にする経路を作るために、STARTTLSコマンドを置き換えたり削除したりして、通信を平文に戻すというものです。

情報セキュリティの強化や広汎なモニタリング攻撃の緩和以外にも、送信中のメッセージを暗号化することで、複数のSMTPセキュリティ問題を解決することができます。

MTA-STSによる電子メールの強制的なTLS暗号化の実現

安全な接続でメールを送信しないと、データが漏洩したり、サイバー攻撃者によって改ざんされてしまう可能性があります。ここでMTA-STSが登場してこの問題を解決し、電子メールの安全な転送を可能にするとともに、TLS暗号化を強制することで暗号攻撃を緩和し、情報セキュリティを強化することに成功しました。簡単に言うと、MTA-STSはメールをTLS暗号化経路で転送することを強制し、暗号化された接続が確立できない場合、メールは平文で配信されるのではなく、全く配信されません。さらに、MTAはMTA-STSのポリシーファイルを保存するため、攻撃者がDNSスプーフィング攻撃を仕掛けることが難しくなります。

 

MTA-STSが提供するのは、...に対する保護です。

  • ダウングレード・アタック
  • MITM(Man-In-The-Middle)攻撃
  • 期限切れのTLS証明書やセキュアなプロトコルのサポート不足など、複数のSMTPセキュリティ問題を解決します。

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダがMTA-STSをサポートしています。業界最大手のGoogleは、どのプロトコルを採用しても中心的な役割を果たします。GoogleがMTA-STSを採用したことは、安全なプロトコルへのサポートが拡大していることを示しており、転送中のメール暗号化の重要性を強調しています。

TLS-RPTによるメール配信のトラブルシューティング

SMTP TLS Reportingは、お客様のドメインに送信されたメールのうち、配信問題に直面しているものや、ダウングレード攻撃などにより配信できなかったものについて、詳細な情報を記載した診断レポート(JSONファイル形式)をドメインオーナーに提供し、お客様が問題を事前に解決できるようにします。TLS-RPTを有効にするとすぐに、acquiescent Mail Transfer Agentは、通信しているサーバー間のメール配信問題に関する診断レポートを、指定されたメールドメインに送信し始めます。レポートは通常1日1回送信され、送信者が観測したMTA-STSポリシー、トラフィック統計、およびメール配信の失敗や問題に関する情報をカバーして伝えます。

TLS-RPTを導入する必要性について :

  • 万が一、配送上の問題で受信者にメールが届かなかった場合は、お客様にお知らせします。
  • TLS-RPTは、すべてのメールチャネルの可視性を高め、配信に失敗しているメッセージを含め、ドメイン内で起こっているすべてのことをよりよく把握できるようにします。
  • TLS-RPTは、詳細な診断レポートを提供することで、メール配信の問題を特定して根本的に解決し、遅滞なく修正することができます。

MTA-STSとTLS-RPTの採用は、PowerDMARCで簡単かつスピーディに。

MTA-STSには、有効な証明書を備えたHTTPS対応のウェブサーバ、DNSレコード、および継続的なメンテナンスが必要です。PowerDMARCは、証明書やMTA-STSポリシーファイルの生成からポリシーの適用まで、これらすべてをバックグラウンドで処理することにより、プロトコルの採用に伴う非常に複雑な作業を回避することができ、お客様の生活をより快適にします。証明書やMTA-STSポリシーファイルの生成からポリシーの適用まで、完全にバックグラウンドで処理することで、お客様がプロトコルの採用に伴う非常に複雑な作業から逃れることができます。

PowerDMARCの電子メール認証サービスを利用すれば、手間をかけずにスピーディにホスト型MTA-STSを導入することができます。このサービスを利用すれば、TLS暗号化接続でドメインに電子メールを送信するように強制することができ、接続を安全にしてMITM攻撃を防ぐことができます。

PowerDMARCは、SMTP TLS Reporting (TLS-RPT)の実装プロセスを簡単かつスピーディに行うことで、お客様の生活をより快適にします。お客様がPowerDMARCにサインアップしてドメインのSMTP TLS Reportingを有効にするとすぐに、メール配信問題のレポートを含む複雑なJSONファイルを、お客様が簡単に見て理解できるようなシンプルで読みやすいドキュメント(結果ごと、送信元ごと)に変換する作業を行います。PowerDMARCのプラットフォームは、お客様が直面しているメール配信の問題を自動的に検出し、それを伝えることで、お客様はすぐに問題に対処し、解決することができます。

今すぐ登録して、無料のDMARCを手に入れよう

もしあなたがこのブログを読んでいるなら、おそらく3つの一般的なプロンプトのいずれかに遭遇したことがあるでしょう。

  • DMARCレコードなし 
  • DMARCレコードが見つかりません 
  • DMARCレコードがありません。
  • DMARCレコードが見つからない 
  • DMARCレコードが公開されていない 
  • DMARCポリシーが有効になっていない
  • DMARCレコードが見つからない

いずれにしても、これは、あなたのドメインが、最も高く評価され、一般的に使用されているメール認証規格であるDMARC(Domain-based Message Authentication, Reporting, and Conformance)に設定されていないことを意味します。DMARCとは何かを見てみましょう。

DMARCとは何ですか?なぜドメインにメール認証が必要なのですか?

DMARCレコードが見つかりません」という問題を解決する方法を知るために、DMARCとは何かを学びましょう。DMARCは、現在最も広く使用されている電子メール認証規格で、ドメインオーナーが受信サーバーに対して、認証チェックに失敗したメッセージをどのように処理すべきかを指定できるように設計されています。これにより、ドメインを不正アクセスやメールスプーフィング攻撃から守ることができます。DMARCは、一般的な標準認証プロトコルを使用して、ドメインからのインバウンドおよびアウトバウンドのメッセージを検証します。

DMARCでなりすまし攻撃やスプーフィングからビジネスを守る

サイバー犯罪者がブランド名を悪用する最も簡単な方法がEメールであることをご存知でしたか?

お客様のドメインを使用し、お客様のブランドになりすますことで、ハッカーはお客様の従業員や顧客に悪意のあるフィッシングメールを送信することができます。SMTPには、偽の「From」フィールドに対する安全なプロトコルが導入されていないため、攻撃者はメールヘッダを偽造して、貴社のドメインから不正なメールを送信することができます。このような行為は、組織内のセキュリティを危険にさらすだけでなく、ブランドの評判を著しく低下させます。

電子メールのなりすましは、BEC(Business Email Compromise)、企業の貴重な情報の損失、機密データへの不正アクセス、財務上の損失につながり、ブランドのイメージを悪くします。自社のドメインにSPFやDKIMを導入しても、サイバー犯罪者が自社のドメインになりすますのを防ぐことはできません。このため、DMARCのような電子メール認証プロトコルが必要となります。DMARCは、前述の両方のプロトコルを使用して電子メールを認証し、顧客、従業員、パートナーの受信サーバーに対して、電子メールが不正な送信元からのものであり、認証チェックに失敗した場合にどのように対応するかを指定します。これにより、正確なドメイン攻撃から最大限に保護され、企業のドメインを完全にコントロールすることができます。

さらに、DMARCのような効果的なメール認証規格の助けを借りれば、メールの配信率、到達率、信頼性を向上させることができます。

 


あなたのドメインに足りないDMARCレコードを追加する

オンラインツールを使ってドメインのDMARCレコードを確認する際に、「Hostname returned a missing or invalid DMARC record」というプロンプトが表示されるのは煩わしく、混乱を招く恐れがあります。

DMARCレコードが見つかりません」という問題を解決するには、ドメインにDMARCレコードを追加する必要があります。DMARCレコードの追加とは、基本的には、ドメインのDNSの_サブドメインに、テキスト(TXT)レコードを公開することです。dmarc.example.comサブドメインにテキスト(TXT)レコードを公開することです(DMARCの仕様に準拠)。DNSのDMARC TXTレコードは、以下のようになります。

v=DMARC1; p=none; rua=mailto:[email protected]

これで完成です。お使いのドメインがDMARC認証に設定され、DMARCレコードが含まれているため、「No DMARC record found」というプロンプトが解決されました。

しかし、これでいいのでしょうか?答えは「ノー」である。DNSにDMARC TXTレコードを追加するだけで、DMARCプロンプトが表示されない問題は解決するかもしれませんが、なりすまし攻撃やスプーフィングを軽減するには十分ではありません。

PowerDMARCによる正しい方法でのDMARCの実装

PowerDMARCは、認証基準を揃えることで、組織が100%のDMARCコンプライアンスを達成することを支援します。また、監視から施行への移行を支援し、「DMARCレコードが見つかりません」というプロンプトをすぐに解決します。さらに、私たちのインタラクティブでユーザーフレンドリーなダッシュボードは、以下を自動的に生成します。

  • 登録されているすべてのドメインの集計レポート(RUA)は、複雑なXMLファイル形式を理解しやすいように簡略化し、読みやすい表やグラフに変換しています。
  • 暗号化されたフォレンジックレポート(RUF)

DMARCレコードが見つかりませんでした」を軽減するために必要なのは

DMARCポリシーには、:

  • p=none(DMARCは監視のみに設定されています。認証に失敗したメールは受信者の受信箱に配信されますが、認証結果を通知する集計レポートを受け取ることができます。)
  • p=quarantine(DMARCが強制レベルに設定されており、認証に失敗したメールは受信箱ではなく、スパムボックスに配信されます)
  • p=reject(DMARCは最大の施行レベルに設定されており、認証に失敗したメールは削除されるか、全く配信されない。)

なぜPowerDMARCなのか?

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスを一つにまとめた電子メール認証SaaSプラットフォームです。詳細な集計レポートを利用してお客様のメールエコシステムに最適な可視性を提供し、お客様がDNSを手動で更新しなくても、ダッシュボードの変更を自動的に更新できるように支援します。

お客様のドメインに合わせたソリューションを提供し、設定、セットアップ、モニタリングまで、すべてをバックグラウンドで行います。DMARCを正しく実装することで、なりすまし攻撃を防ぐことができます。

今すぐPowerDMARCに登録して、あなたのドメインのDMARCを正しく設定しましょう。

Domain-based Message Authentication, Reporting and Conformance(ドメインベースのメッセージ認証、報告、および適合性)は、最近最も広く評価されている電子メール認証プロトコルであり、中小企業や多国籍企業が、なりすまし、メールスプーフィング攻撃、BECを軽減するのに役立つ。DMARCは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という、電子メール認証の分野で標準的に使用されている2つのプロトコルを利用しています。DMARCソリューションは、送受信されるすべての電子メールの真正性を検証し、電子メールベースの攻撃やセキュリティ侵害を軽減するのに役立ちます。

あなたのビジネスに最適なDMARCソフトウェアソリューションを選択する際には、そのソリューションに含まれていなければならないいくつかの基本的な機能を探す必要があります。ここでは、その機能について説明します。

ユーザーフレンドリーなダッシュボード

ユーザーフレンドリーなダッシュボードは、メールエコシステムを完全に可視化し、自社ドメインからのDMARC認証を通過したメールと失敗したメールのレポートを読みやすく理解しやすい形式で効果的に表示することが不可欠です。これは、自社に最適なDMARCソフトウェアソリューションを選択する際に、注目しなければならない重要なポイントの1つです。

詳細な集計とフォレンジックレポート

DMARCソリューションには、広範なレポート機能があることが不可欠である。脅威を監視し、認証プロトコルを設定するためには、集計レポートとフォレンジックレポートの両方が欠かせない。

詳細なDMARC集計レポートは、XMLファイル形式で生成されます。技術者でない人にとっては、これらの記録は解読できないかもしれません。あなたの組織に最適なDMARCソフトウェアソリューションは、複雑なXMLファイルからのこれらの不可解な集計レポートを、あなたが理解しやすい情報に変換し、結果を分析して必要な変更を行うことを可能にします。

中小企業や多国籍企業にとって、フォレンジックレポートはメールエコシステムに関する貴重な情報を提供してくれます。フォレンジックレポートは、認証に失敗した個々の電子メールに関する詳細な情報を提供することで、なりすましを検出し、電子メール配信における問題を迅速に解決します。

DMARC フォレンジックレポート 暗号化

DMARCフォレンジックレポートには、DMARCに失敗したすべての電子メールに関するデータが含まれています。つまり、それらのメールに含まれていた機密情報が含まれている可能性があるということです。このような理由から、ビジネスに最適なDMARCソフトウェアソリューションを選択する際には、お客様のプライバシーを尊重し、フォレンジックレポートを暗号化して、許可されたユーザーのみがアクセスできるようにするサービスプロバイダーを選択する必要があります。

SPFとDKIMのアライメント

DMARCへの準拠は、SPFまたはDKIMを調整することで達成できますが、両方の認証規格に対してメールを調整することが望ましいと言えます。SPFとDKIMの両方の認証プロトコルに対してメールを整合させて認証し、検証にはSPFのみに依存しない限り、正当なメールがDMARC認証に失敗する可能性があります(転送されたメッセージの場合のように)。これは、仲介サーバーのIPアドレスがお客様のドメインのSPFレコードに含まれておらず、SPFに失敗する可能性があるためです。

しかし、転送中にメール本文が変更されない限り、DKIM署名は電子メールに保持され、その信憑性を検証するために使用することができます。あなたのビジネスに最適なDMARCソフトウェアソリューションは、あなたのすべてのインバウンドおよびアウトバウンドメッセージがSPFとDKIMの両方に対して整合されていることを確認します。

DNS検索回数10回の制限を超えないために

SPFレコードは、10回のDNSルックアップの制限があります。組織の活動範囲が広かったり、サードパーティのベンダーにメールの送信を依頼している場合、SPFレコードは簡単に制限を超えてしまい、パーマラーにかかってしまいます。これはSPFの実装を無効にし、あなたのメールが必然的にSPFに失敗するようになります。このような理由から、SPFパーメラーを軽減するために、SPFレコードが常にDNSルックアップ制限の10個以下になるように、即座に最適化できるソリューションを探すべきなのです。

インタラクティブで効率的なセットアップウィザード

組織に最適なDMARCソフトウェアソリューションを選択する際には、セットアッププロセスを忘れてはならない。ドメイン名の入力から、DMARCポリシーの設定、独自のDMARCレコードの生成まで、同期された体系的な方法で行うことができる、シンプルで使いやすいように設計されたインタラクティブで効率的なセットアップウィザードは、今まさに必要とされている。これにより、シームレスに落ち着いて、ダッシュボード上のすべての設定と機能性をできるだけ短時間で理解することができます。

エグゼクティブPDFレポートのスケジューリング

効果的なDMARCソリューションを利用すれば、DMARCレポートを読みやすいPDFに変換して、チーム全体で共有することができます。ニーズに応じて、定期的にメールで送信するように設定したり、必要に応じて生成することもできます。

 

主催するBIMIレコード

BIMI(Brand Indicators for Message Identification)とは、メール受信者が受信箱の中で貴社独自のブランドロゴを視覚的に識別し、そのメールが本物のソースからのものであることを確信できるようにするものです。効率的なサービスプロバイダーは、DMARC、SPF、DKIMなどの標準的な認証プロトコルに加えてBIMIを導入することで、ブランドの想起を高め、ブランドの評判と整合性を維持することができます。

プラットフォームのセキュリティと構成

効果的なDMARCソリューションは、すべてのサブドメインを自動的に検出することで作業を容易にし、また二要素認証を提供することで、認証プラットフォームの絶対的なセキュリティを実現します。

スレット・インテリジェンス

可視性と洞察力を高めるために必要なのは、AI駆動のスレット・インテリジェンス(TI)エンジンです。このエンジンは、疑わしいIPアドレスを積極的に排除し、既知の不正使用者の最新ブラックリストと照合して、それらを削除させることができます。これにより、悪意のある活動や、将来的に繰り返されるドメインの不正使用に対する対策を講じることができます。

プロアクティブなサポートチーム

組織にDMARCを導入し、集計レポートを作成する際に必要なのは、24時間体制のプロアクティブなサポートチームであり、オンボーディング後も、サービスを利用している間中、設定上の問題を軽減するためのサポートを受けることができます。

PowerDMARCアナライザツール

当社のDMARCアナライザーツールは、導入のプロセス全体を把握し、モニタリングからDMARCエンフォースメント、そして100%のDMARCコンプライアンスへの移行を最小限の時間で実現するのに十分な効果を発揮します。当社の高度なDMARCソフトウェアソリューションは、ドメイン、DMARCポリシー、および集計レポートの設定を支援し、電子メールのエコシステムを早期に完全に可視化するのに役立ちます。ホストされたBIMIレコードの生成から、暗号化を伴うフォレンジックレポートまで、PowerDMARCは究極のメールセキュリティスイートを提供するワンストップ・デスティネーションです。

組織のためにDMARCソリューションを選択する際には、プレミアムな技術をリーズナブルな価格で提供するサービスプロバイダーに委ねることが重要です。今すぐPowerDMARCにサインアップして、DMARCの無料トライアルを受けてください。