SPFを使わずにDMARCを構成することはできますか?
はい、SPFなしでDMARCを設定することができます。これは、多くのベンダーやドメイン所有者がリアルタイムで行っている可能性です。しかし、セキュリティへの多層的なアプローチは、進化するソーシャル・エンジニアリング攻撃に対抗するのに役立つため、このような導入方法は推奨されません。SPFを利用することで、ドメインに対して許可された送信者のセットを定義することができ、スパムを削減し、コンプライアンスを達成するのに役立ちます。
それでも、SPFを完全に排除したい場合は、以下の方法があります。
- DMARCの機能を理解し、貴社に最適なものを分析する
- 効果的な展開に必要なその他の基準の設定(SPFなし)
- より安全な展開と可視化のための報告メカニズムの活性化
DMARC展開インフラ
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、何やら難しそうな言葉ですが、その仕組みは比較的シンプルなものです。DMARCの機能は、2つの標準的な認証プロトコルであるDKIMとSPFのどちらかが存在するかどうかに依存している。2つのうち「どちらか」と言ったのは、DMARCが次のことを意味している。 は機能するために両方のプロトコルを必要としません。DMARCが機能するためには、両方のプロトコルを必要としないことを意味します。
つまり、あなたのメッセージが受信者側でDMARC認証をパスするには、SPF(SPFチェックをパスする)かDKIM(DKIMチェックをパスする)のどちらかに合わせる必要があり、両方に合わせることはできません。
あなたのメールがSPFまたはDKIM識別子の整合性を通過すると同時に、自動的にDMARC認証ゲートウェイを通過し、ブロックされたりスパムとしてマークされたりすることなく、安全にクライアントの受信箱に届きます。
つまり、SPFなしでDMARCを設定するには、以下のことが必要である:
- お客様のドメインにDKIMを設定する
- ドメインにDMARCを設定する
- 配信可能性を維持・監視するためのレポート機能を有効にする
SPFなしでDMARCを設定する
ステップ1:DKIM用レコードの作成と公開
その際、同じドメインに対して複数のレコードを発行しないようにする必要があります。このような単純なミスは、レコードを無効にし、認証に失敗する原因となります。
私たちの DKIMジェネレーターを使用して、適切なDKIMセレクタとともに、インスタントの公開-秘密鍵ペアを作成します。このレコードをあなたのDNSに公開して、プロトコルを有効にしてください。
ステップ2: DMARC用レコードの作成と公開
DMARCジェネレータを使用して、各ドメインに単一のDMARCレコードを作成します。 DMARCジェネレーターツールを使用してドメインごとに1つのDMARCレコードを作成し、DNSにアクセスして公開します。レコードには、ポリシーが定義されている必要があります(拒否/隔離/なし)。
DMARCの拒否ポリシーは、メールの配信性を損なうものではなく、むしろなりすまし攻撃やスプーフィングに対するより強力なゲートウェイとして機能することに留意してください。一方、「なし」のポリシーでは、保護機能はありませんが、使い始めたばかりで、結果を簡単にモニターしたい場合には有益です。
安全な展開のためにDMARCレポートを有効にすることの重要性
SPFを使わずにDMARCを実装したい場合は、プロトコルが提供するレポート機構を有効にする必要があります。有効にすると、設定した電子メールアドレスまたはウェブサーバーにXMLファイルの形で毎日更新情報が送られてきます。
PowerDMARCアカウントをお持ちの方は、お客様のXMLファイルを自動的に解析し、整理してお客様専用の DMARCレポートアナライザーダッシュボードで見ることができます。以下にその様子をご紹介します。
レポートをアクティブにすることで得られるメリットは複数あります。
- インシデントレスポンスの時間を1マイル短縮できます。
- お客様は、電子メールによるセキュリティ攻撃やデータ侵害の試みについて常に最新の情報を得ることができます。
- メールの配信や認証に失敗した場合には、その旨をお知らせします。
- メールのパフォーマンスや配信状況を把握するのに役立ちます
一番確実な賭けは何ですか?
セキュリティの専門家や業界の専門家は、組織がドメイン・セキュリティに対して多層的なアプローチを行うことを提唱している。したがって、DMARCを有効にする前にSPFとDKIMの両方を実装することは、サイバー詐欺からの十分な保護を確保するための最も確実な方法です。これにより、電子メールの100%DMARC準拠を実現することができます。SPFの導入を強くお勧めします。以下のサービスに登録することができます。 無料DMARCアナライザーにご登録いただくと、専任のセキュリティ専門家チームによる最高のメール認証バックアップを受けることができます。
- Clopランサムウェアとは?- 2024年4月18日
- 脅威の検知と対応へのガイド- 2024年4月11日
- 電子メールコミュニケーションにおけるデータプライバシー:コンプライアンス、リスク、ベストプラクティス- 2024年4月5日