DMARCアライメント:厳格なアライメントモードと緩和されたアライメントモード
DMARCを有効にすると、電子メールが請求元から発信されているかどうかを判断するための一連の検証チェックマークが配置されます。DMARCは、ドメイン所有者が達成したいセキュリティレベルを形成するために設定することができるポリシーとアライメントモードの面で信じられないほどの柔軟性を提供します。
DMARC識別子の整列は、電子メールメッセージの様々な部分に付加されたドメイン名が正しく整列していることを確認し、その電子メールが正当なものであり、フィッシングやなりすましの可能性がないことを示します。
DMARC Alignmentとは?
DMARCアライメントとは、認証チェックの際にメールヘッダの様々なセクションでドメインをアライメント(一致)させ、メールが正当なものであることを確認し、フィッシング、なりすまし、ランサムウェアなどを含む様々なメール詐欺攻撃から保護するプロセスです。
DMARC認証プロトコルは、メールドメインが詐称されている可能性があるかどうかを確認するために、DMARC識別子のアライメントをチェックします。メールが認証される際、DMARCは3つの識別子をチェックします:
- From: ヘッダ
- リターンパスのアドレス
- DKIM署名のドメイン名
SPFまたはDKIMの識別子が一致している場合、メールはDMARCのアライメントを達成し、DMARC認証を通過し、ユーザーの受信トレイに安全に配信されます。
DMARCアライメントはどのように機能するのか?
DMARCの連携を理解するには、その仕組みを理解する必要がある。DMARCを実装すると、SPFとDKIMの結果を結びつけて、あなたのドメインから来るすべての電子メールを認証します。DMARCは、任意の電子メールに対して、From: ヘッダーにあるドメインである「セントラル・アイデンティティ」と呼ばれるものを使用する。これは、電子メールの送信元のドメインと考えられ、あなたの組織のドメイン名が含まれます。
あなたのドメインからのメールが受信サーバーに届くとき、 SPFはReturn Pathをチェックし、DKIMは暗号化された署名を検証します。これらのチェックは、2つの異なるドメインで別々に行われます。DMARCはそれぞれの認証結果を受け取り、SPFまたはDKIMで使用されているドメインがFrom:ドメイン(中心的なID)と一致するかどうかをチェックします。どちらかが真であれば、DMARCの整合が達成される。
しかし、ひとつだけ小さな問題がある。犯罪者を含め、誰でもドメインを購入し、SPFと DKIM.つまり理論的には、誰かがあなたの組織のドメインをFrom:アドレス(中心的なID)に使ってメールを送信し、自分のドメインのReturn Pathを持つことで、SPF認証をパスすることは可能なはずだ。通常、ユーザーはFrom:アドレスしか見ず、Return Pathは見ないため、この2つの間に矛盾があることに気づかない。
DMARCリラックドアライメント:トップレベルドメイン・マッチの設定
SPFとDKIMのアライメントには特に、relaxedとstrictの2種類がある。両方に対してrelaxed alignmentが設定されている場合、これは基本的にDMARCの実装全体に対してrelaxed alignmentを実装していることを意味する。
SPFとDKIMの両方について、緩和されたセットアップでは、Fromヘッダーのドメインと、Return-path(SPFの場合)およびDKIM署名(DKIMの場合)ヘッダーのドメインが組織的に一致していても、DMARCのアライメントは一致する。その後、このシナリオでは、サブドメインでさえもDMARCに対してアライメントされる。
DMARCリラックスアライメントの例
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=r; adkim=r
DMARCタグの "aspf "と "adkim "は、選択したモードを定義するためのそれぞれのアライメントタグであり、"r "はrelaxedを意味する。
DMARCストリクトアライメント:厳密なドメイン一致の設定
ドメイン所有者がSPFとDKIMの両方でストリクトアライメントを有効にしている場合、これは基本的にDMARC実装全体でストリクトアライメントを実装していることを意味します。
どちらのプロトコルでも、厳密な設定では、Fromヘッダーのドメインと、Return-path(SPFの場合)およびDKIM署名(DKIMの場合)ヘッダーのドメインが完全に一致する場合にのみ、DMARCのアライメントが一致する。したがって、このシナリオでは、サブドメインはDMARCに対してアライメントされない。
DMARCリラックスアライメントの例
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s
DMARCタグの "aspf "と "adkim "は、選択したモードを定義するためのそれぞれのアライメントタグであり、"s "はstrictを意味する。
緩和と厳格:DMARCアライメントモードはどちらが良いか?
緩やかなDMARCアライメントモードと厳格なDMARCアライメントモードの選択は、組織の電子メール認証ポリシー、誤検出の許容度、および全体的なセキュリティ目標によって異なります。
Relaxedモードは、より柔軟性があり、偽陽性の可能性が低くなります。複数のメールシステムやサービスがお客様のドメインに代わってメールを送信し、それらが異なるサブドメインを使用している場合に便利です。ただし、厳密性に欠けるため、些細な不一致のあるメールでも通過させてしまう可能性があり、なりすましやフィッシングの可能性があります。
Strictモデルでは、より厳格なアライメントポリシーが適用され、"From "ヘッダーの正確なドメインがSPFおよびDKIMで指定されたドメインと一致することが保証されます。これは、なりすましやフィッシングに対するより強力な防御を提供する一方で、メールインフラが正当な目的のために異なるサブドメインを使用している場合には、寛容でなくなる可能性があります。厳密なアライメントを実施するには、正当なメールをブロックしないよう、慎重な設定と監視が必要になる場合があります。
厳格なDMARCアライメントでメールを監視するには?
PowerDMARC は、厳格な DMARC アライメントポリシーに従った電子メールの監視を支援します。 DMARCアナライザーツールを使用します。ダッシュボードから直接、メール送信元を追跡し、アライメントの失敗をチェックし、認証設定を最適化することができます。
お問い合わせまでご連絡ください!
- 個人情報窃盗から身を守る方法- 2023年9月29日
- メール・セキュリティにおけるDNSの役割- 2023年9月29日
- 新時代のフィッシング脅威とその対策- 2023年9月29日