あなたのドメインとオンラインアイデンティティを、あなたになりすまそうとする詐欺師から守るために、メールドメインにDMARCを設定する必要があります。DMARCは、SPFとDKIMプロトコルの累積的な電子メール認証努力によって機能します。また、DMARCユーザーは、メールの配信問題、認証、調整の失敗に関するレポートを受け取ることができるというメリットもあります。DMARCとは」の詳細はこちら。

DMARC集計レポートに「SPF整列失敗」と表示されている場合、SPFが整列していることの意味と、この問題を解決する方法について説明します。

SPFアライメントとは?

電子メールのメッセージは、複数の異なるヘッダーで構成されています。各ヘッダーには、送信日、送信元、送信先など、電子メールメッセージの特定の属性に関する情報が含まれています。SPFは2種類のメールヘッダを扱います。

  • The <From:> header
  • リターンパス・ヘッダー

From:ヘッダのドメインとReturn-pathヘッダのドメインが一致している場合、そのメールに対してSPFアライメントは通過します。しかし、両者が一致しない場合は、結果的に失敗となります。SPFアライメントは、電子メールメッセージが正当なものか偽物かを判断する重要な基準となります。

上記の例では、From: ヘッダーがReturn-path ヘッダー(Mail From)と一致しているため、このメールに対してSPFアライメントが成立しています。

なぜSPFアライメントは失敗するのか?

ケース1:SPFのアライメントモードが "strict "に設定されている 厳しい

デフォルトのSPF整列モードは緩和されていますが、厳密なSPF整列モードを設定すると、From: ヘッダーに組織ドメインが組み込まれているにもかかわらず、リターンパスのドメインがたまたまルート組織ドメインのサブドメインだった場合、整列に失敗することがあります。これは、SPFが厳格なモードで整列するためには、2つのヘッダーのドメインが完全に一致する必要があるためです。しかし、リラックスアライメントでは、2つのドメインが同じトップレベルドメインを共有していれば、SPFアライメントはパスします。

上図は、トップレベルドメインは同じだが、ドメイン名が完全には一致していないメールの例です(Mail Fromドメインは組織ドメインcompany.comのサブドメインです)。この場合、SPFアライメントモードが「リラックス」に設定されていれば、メールはSPFアライメントを通過しますが、「ストリクト」モードの場合は、同じように失敗します。 

ケース2:お客様のドメインが なりすまし

SPFアライメントの失敗の原因として非常に多いのが、ドメインの偽装です。これは、サイバー犯罪者があなたのドメイン名やアドレスを偽装してあなたのIDを乗っ取り、あなたの受信者にメールを送信する現象です。From: ドメインにはお客様の身元が表示されますが、Return-path ヘッダーにはなりすましの元の身元が表示されます。偽造されたドメインに対してSPF認証を行っている場合、受信者側では必然的にメールの整合性が取れなくなります。

"SPFアライメントの失敗 "の修正

SPFアライメントの失敗を修正するには、以下の方法があります。 

  • アライメントモードを "strict "ではなく "relax "に設定する 
  • お客様のドメインにSPFとDKIMを加えたDMARCを設定することで、SPFヘッダーの整合性が取れず、DKIMの整合性が取れたとしても、DMARCを通過して受信者に配信されるようになります。

当社の DMARCレポートアナライザは、送信メールにおける100%のDMARCコンプライアンスを獲得し、プロトコルの誤設定によるなりすましの試みや整合性の失敗を防ぐことができます。今すぐDMARCの無料トライアルを受けて、より安全で信頼性の高い認証体験をお楽しみください。

DMARCは、標準的な電子メール認証プロトコルで、既存のSPFおよびDKIMレコードの上に設定すると、認証チェックのいずれかまたは両方が失敗したかどうかを確認するのに役立ちます。なぜDMARCが重要なのか?誰かがあなたの会社を代表して電子メールを送信し、それがDMARCに失敗した場合、あなたは権威ある行動を取ることができます。DMARCは、企業のメールセキュリティ対策を支援することで、スパムやフィッシングを未然に防ぐために設計されています。その主な目的の一つは、企業が自社のブランドを保護し、評判を維持できるようにすることです。DMARCは、転送中の電子メールを保護し、一定の基準を満たさないメッセージを拒否することで、なりすましやフィッシング攻撃を防止します。また、メールサーバーは、他のメールサーバーから受信したメッセージを報告し、送信者が問題を解決できるようにします。

メールを保護することは、個人情報を盗む可能性のあるサイバー犯罪者からお客様を守るために重要です。このブログ記事では、DMARCの重要性と、お客様のドメインに正しく実装するためにできることを説明します。

なぜDMARCが重要なのか、なぜDMARCを使うべきなのか?

DMARCを使うべきかどうか、まだ迷っている方のために、DMARCがもたらすいくつかのメリットをご紹介します。

  • DMARCは、電子メールのセキュリティと配信能力に関するものです。堅牢な認証レポートを提供し、フィッシングを最小限に抑え、偽陽性を減らすことができます。
  • 配信数の増加とバウンスの減少
  • メッセージがどのように認証されたか、包括的なレポートを受け取る
  • DMARCプロトコルは、スパマーを識別し、偽のメッセージが受信箱に届くのを防ぐのに役立ちます。
  • DMARCは、あなたのメールがスパムとしてマークされたりフラグが立てられたりする可能性を減らすのに役立ちます。
  • ドメインとメールチャネルに対する可視性と権限を向上させます。

誰がDMARCを使えるのか?

DMARCは、Microsoft Office 365、Google Workspace、その他の一般的なクラウドベースのソリューションでサポートされています。2010年以降、DMARCは電子メールの認証プロセスの一部となっています。その目的は、サイバー犯罪者が有効なアドレスからスパムメールを送信することをより困難にし、流行しているフィッシング攻撃に対抗することにありました。企業だけでなく、中小企業のドメイン所有者は、業界の専門家からDMARCレコードを作成して、メールドメインの保護方法を指示することが推奨されています。これにより、ブランドの評判やアイデンティティを守ることができます。 

自分のドメインのDMARCレコードを確立するには? 

メール認証プロトコルでドメインを設定する手順は以下の通りです。 

  • SPFレコードを作成し、SPFチェッカーを使用して、レコードが機能しているか、構文上のエラーがないかを確認します。
  • ドメインのDKIM認証を有効にする
  • 最後に、あなたのドメインにDMARCを設定し、DMARCレポートを有効にするために、私たちの DMARCレポートアナライザーフリー

近年、DMARCは重要性を増しているだけでなく、一部の企業では、機密データやリソースの損失を防ぐために、従業員にDMARCの使用を義務付けようとしています。今こそ、DMARCのさまざまな利点を考慮し、DMARCを利用してより安全な電子メール体験に移行すべきである。 

DMARCレコードは、メール転送時にメール受信サーバーに特定の指示を伝える様々な仕組み、すなわちDMARCタグの集合体である。これらのDMARCタグのそれぞれには、ドメイン所有者によって定義された値が含まれています。今日は、DMARCタグとは何か、そしてそれぞれのタグが何を意味するのかについて説明します。 

DMARCタグの種類

ドメイン所有者がDMARCレコードで指定できる、利用可能なDMARCタグをすべてご紹介します。

DMARCタグ タイプ 初期値 その意味
v 必須 vタグは、DMARCプロトコルのバージョンを表し、常にv=DMARC1という値を持ちます。 
pct 任意 100 このタグは、そのポリシーモードが適用されるメールの割合を表します。DMARC pctタグについて詳しく見る
p 必須 このタグは、DMARC ポリシーモードを指定します。拒否」「隔離」「なし」から選択できます。詳細はこちら DMARCポリシーとは?をご覧になり、ご自身のドメインで選択すべきモードを明確にしてください。
sp 任意 メインドメインに設定されているポリシーモード(p) サブドメインのポリシーを指定するには、spタグを設定してサブドメインのポリシーモードを定義します。DMARC spタグの詳細については、どのような場合に設定すべきかをご確認ください。 
ルア オプションだが推奨 ruaタグは、オプションのDMARCタグで、報告組織が DMARCアグリゲートルアデータ

例: rua=mailto:[email protected]

ruf オプションだが推奨 同様に、ruf機構ではアドレスを指定し、そのアドレスに DMARCフォレンジックのルーフレポート が送信されます。 現在、すべての報告組織がフォレンジックデータを送信するわけではありません。 

例: ruf=mailto:[email protected]

fo 任意 0 foタグは、ドメインオーナーが選択可能な障害/フォレンジックレポートのオプションに対応しています。ドメインでrufを有効にしていない場合は、これを無視しても構いません。 

選択可能なオプションは以下の通りです。 

0:メールがSPFとDKIMの両方の調整に失敗した場合、DMARC失敗/フォレンジックレポートが送信されます。

1: お客様のメールがSPFまたはDKIMのアライメントに失敗した場合、DMARC失敗/フォレンジックレポートがお客様に送信されます。

d: メールのDKIM署名の検証に失敗した場合、アライメントに関わらず、DKIM失敗レポートが送信されます。

s:メールがSPF評価に失敗した場合、アライメントに関わらず、SPF失敗レポートが送信されます。

aspf 任意 このDMARCタグは、SPFのアライメントモードを表しています。値はstrict(s)またはrelax(r)のいずれかです。
adkim 任意 同様に、adkim DMARCタグはDKIMのアライメントモードを表し、その値はstrict(s)またはrelax(r)のいずれかになります。 
rf 任意 afresh DMARCのrfタグは、フォレンジックレポートの様々なフォーマットを指定しています。
任意 86400 ri タグは、報告組織がドメイン所有者に送信した 2 つの連続した集計レポートの間の時間間隔を秒単位で表しています。

DMARC用のレコードを即座に作成するには、無料の DMARCジェネレータツールをご利用ください。また、既存のレコードをお持ちの場合は、その有効性を確認するために DMARCルックアップ.

今すぐ登録して、無料の DMARCトライアルをクリックすると、なりすましからドメインを保護する方法について専門家のアドバイスが得られます。

DMARC pctタグは、このレコードの一部であり、メール受信者に、このポリシーに基づくメッセージの何パーセントが影響を受けるかを伝える。ドメインの所有者が、認証に失敗した電子メールをどうするかを指定したい場合、DMARCレコードはその手助けとなる。企業は、DNSにテキストレコードを発行し、配信するか、隔離するか、あるいは完全に拒否するかを決定することで、ソースの整合性に失敗した電子メールに何をさせたいかを指定することができる。 

DMARCにおけるpctの意味は何ですか?

メール認証プロトコルのTXTレコードには、メール受信サーバーへの指示を示すメカニズムやタグが多数含まれています。DMARCレコードにおいて、pctはパーセンテージの頭文字であり、ドメイン所有者によって定義されたDMARCポリシーが適用されるメールのパーセンテージを表すために含まれている。

なぜDMARCのpctタグが必要なのか?

pctタグは、見落とされがちだが、ドメインのDMARCポリシーを設定し、テストするのに有効な方法である。パーセンテージタグの付いたDMARCレコードは次のようなものです。 

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]

上図のDMARC DNSレコードでは、DMARC拒否ポリシーが適用されるメールの割合は100%です。 

ドメインがDMARCを全く使用していない状態から、最も制限の多い設定を使用するまでにかかる時間は、ランプアップ期間です。これは、ドメインが新しい設定に慣れるための時間を与えることを目的としています。企業によっては、これに数ヶ月かかる場合もあります。ドメインがすぐにアップグレードすることも可能ですが、エラーや苦情が増える可能性があるため、一般的ではありません。pctタグは、オンラインビジネスでの展開期間を短縮するために、DMARCポリシーを徐々に適用する方法として設計されました。その意図は、以下のケースのように、メールストリーム全体に完全に導入する前に、まず少量のメールバッチに導入できるようにすることです。 

v=DMARC1; p=reject; pct=50; rua=mailto:[email protected]

このDMARCのDNSレコードでは、DMARCの拒否ポリシーはメールの50%のみに適用され、残りの半分のボリュームには、2番目に厳しいポリシーであるDMARCの検疫ポリシーが適用されます。 

DMARCレコードにpctタグが含まれていない場合はどうなりますか?

を使用してDMARCレコードを作成しますが DMARCレコードジェネレータを使用してDMARCレコードを作成する場合、pctタグを定義せず、その基準を空にしておくことができます。この場合、pctのデフォルト設定は100に設定されており、定義したポリシーがすべてのメールに適用されることになります。したがって、すべてのメールに対してポリシーを定義したい場合は、この例のようにpct基準を空欄にしておくのがより簡単な方法です。

v=DMARC1; p=quarantine; rua=mailto:[email protected]

警告: DMARCに強制的なポリシーを適用したい場合は、次のようなレコードを公開しないでください。 pct=0

この背景にある論理は簡単で、レコードに拒否や隔離のポリシーを定義したい場合、基本的にはそのポリシーが送信メールに適用されることを望んでいます。pctを0に設定すると、ポリシーが適用されるメールが0通になってしまうため、せっかくの努力が無駄になってしまいます。これは、ポリシーモードがp=noneに設定されているのと同じです。 

ノート:なりすまし攻撃からドメインを保護し、攻撃者にドメインがなりすまされるのを防ぐためには、以下のようなポリシーが理想的です。 DMARCはp=reject、pct=100とします。

PowerDMARCでDMARCの旅を始めて、安全にDMARCの施行に移行しましょう。無料の DMARCトライアル今すぐ!

sp "属性はサブドメインポリシーの略で、現在はあまり使われていない属性である。この属性により、ドメインは、指定されたDNSドメインのサブドメインに対して、異なるDMARCレコードを使用するように指定することができます。物事をシンプルにするために、組織ドメイン自体から「sp」属性を省略することをお勧めします。これにより、サブドメインでのなりすましを防止するフォールバックのデフォルトポリシーが適用されます。サブドメインの動作は、常に優先される組織ポリシーによって決定されることを覚えておくことが重要です。 

サブドメインは、サブドメインのポリシーレコードによって明示的に上書きされない限り、親ドメインのポリシーを継承します。sp」属性は、この継承を上書きすることができます。サブドメインに明示的なDMARCレコードがある場合、サブドメインがデフォルト設定のp=noneを使用していても、このレコードは親ドメインのDMARCポリシーよりも優先されます。例えば、優先順位「all」のDMARCポリシーが定義されている場合、「sp」要素は、特定のポリシーが適用されていないサブドメインのDMARC処理に影響を与える。

なぜDMARC spタグが必要なのか?

として、DMARCレコードを持っている場合。 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected]

この場合、ルートドメインはなりすまし攻撃から保護されていますが、サブドメインは情報交換に使用していなくても、なりすまし攻撃の対象となります。

として、DMARCレコードを持っている場合。 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected]

この場合、メール送信に使用するルートドメインの拒否ポリシーにはコミットしていませんが、非アクティブなサブドメインはなりすましから保護されています。 

ドメインとサブドメインのポリシーを同じにしたい場合は、レコードの作成時にspタグの基準を空白または無効にしておけば、サブドメインはメインドメインに課せられたポリシーを自動的に継承します。 

を使用している場合はDMARCレコードジェネレータツールを使用している場合は、手動でサブドメインポリシーボタンを有効にして、以下のように希望のポリシーを定義する必要があります。

 

DMARCレコードを作成した後は、当社の DMARCレコードルックアップツールを使って、レコードの有効性を確認してください。

お客様のドメインのメールセキュリティを最大化するために、PowerDMARCでDMARCの旅を始めましょう。無料の DMARCトライアル今すぐ!

オンラインには脅威が潜んでいるため、企業は強力な認証方法を採用することで、自社が正当な企業であることを証明する必要があります。一般的な方法は、暗号鍵を使って送信者のドメインを確認するメール認証技術であるDKIM(DomainKeys Identified Mail)によるものです。DKIMは、SPFや DMARCは、世界中の組織の電子メールセキュリティの姿勢を劇的に改善しました。

詳しくはこちら DKIMとは.

電子メールにDKIMを設定する際、主要な決定事項の1つとしてDKIMキーの長さを決定する必要があります。この記事では、より良い保護のために推奨されるキーの長さと、Exchange Online Powershellでキーをアップグレードする方法をご紹介します。

DKIMの鍵長をアップグレードすることの重要性

1024ビットか2048ビットかの選択は、DKIMキーを選択する際に行わなければならない重要な決定です。長年、PKI(公開鍵基盤)では、セキュリティのために1024ビットのDKIMキーを使用してきました。しかし、テクノロジーがより複雑になるにつれ、ハッカーはセキュリティを破壊する新しい方法を懸命に探しています。そのため、鍵の長さはますます重要になってきています。

ハッカーはDKIMキーを破るより良い方法を発明し続けています。鍵の長さは、認証を破るのがどれだけ難しいかに直接相関します。2048ビットの鍵を使用することで、現在および将来の攻撃に対する保護が強化され、セキュリティが向上するため、ビット数をアップグレードすることの重要性が強調されます。

Exchange Online PowershellでDKIMキーを手動でアップグレードする

  • まず、Microsoft Office 365 PowerShellに管理者として接続します(Powershellアカウントが署名付きPowershellスクリプトを実行できるように設定されていることを確認してください)。
  • DKIMが事前に設定されている場合、鍵を2048ビットにアップグレードするには、Powershellで以下のコマンドを実行してください。 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {既存のサイニング・コンフィグのGuid}。

  • DKIMを導入していない場合は、Powershellで以下のコマンドを実行してください。 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • 最後に、ビット数を2048ビットにアップグレードしたDKIMが正常に設定されたことを確認するために、次のコマンドを実行します。

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

ノート:この手順の実行中は、必ずPowershellに接続されていることを確認してください。変更が反映されるまでに最大で72時間かかることがあります。

なりすましやBECからドメインを守るには、DKIMだけでは不十分です。ドメインのメールセキュリティをアップグレードするには、次のように設定します。 DMARC for office 365.