DMARC(Domain-based Message Authentication Reporting and Conformance:ドメインベースのメッセージ認証報告および適合性)を有効にすると、電子メールが請求元から発信されているかどうかを判断するための一連の検証チェックマークが配置されます。DMARCは、ドメイン所有者が達成したいセキュリティレベルを形成するために設定できるポリシーとアライメントモードという点で、信じられないほどの柔軟性を提供します。
DMARC識別子の整列は、電子メールメッセージの様々な部分に付加されたドメイン名が正しく整列していることを確認し、その電子メールが正当なものであり、フィッシングやなりすましの可能性がないことを示します。
DMARC Alignmentとは?
DMARCアライメントとは、認証チェックの際に、メールヘッダのさまざまなセクションでドメインをアライメント(一致)させるプロセスです。DMARCは、メッセージがSPFおよびDKIM識別子のアライメントのいずれかまたは両方に合格した場合に、お客様の電子メールに対してアライメントを行います。
フィッシング、なりすまし、ランサムウェアなど、さまざまな電子メール詐欺攻撃から保護し、電子メールが正当なものであることを保証します。
DMARC認証プロトコルは、メールドメインが詐称されている可能性があるかどうかを確認するために、DMARC識別子のアライメントをチェックします。メールが認証される際、DMARCは3つの識別子をチェックします:
- From ヘッダー
- リターンパスのアドレス
- DKIM署名のドメイン名
SPFまたはDKIM認証識別子のどちらかの識別子が揃っていれば、メールはDMARCアライメントを達成し、DMARC認証をパスし、ユーザーの受信トレイに安全に配信されます。
DMARCアライメントはどのように機能するのか?
DMARCのアライメントを理解するためには、その仕組みを理解する必要がある。DMARCを実装すると、SPFとDKIMの結果を結びつけて、あなたのドメインから来るすべてのメールを認証します。任意のメールについて、DMARCは「セントラルID」と呼ばれる、Fromヘッダーにあるドメインを使用します。これは、メールの送信元ドメインとみなされ、組織のドメイン名が含まれます。
あなたのドメインからのメールが受信サーバーに届くとき、 SPFはReturn Pathをチェックし、DKIMは暗号化された署名を検証します。これらのチェックは、2つの異なるドメインで別々に行われます。DMARCはそれぞれの認証結果を受け取り、SPFまたはDKIMで使用されているドメインがFromドメイン(中心的なID)と一致するかどうかをチェックします。どちらかが真であれば、DMARCのアライメントが達成される。
しかし、ひとつだけ小さな問題がある。犯罪者を含め、誰でもドメインを購入し、SPFと DKIM.そのため、理論的には、誰かがあなたの組織のドメインをFrom: アドレス(中心的なID)に使ってメールを送信し、自分のドメインのReturn PathでSPF認証をパスさせることは可能なはずだ。ユーザーは通常、From: アドレスしか見ず、Return Path は見ないので、この2つの間に矛盾があることに気づかない。
SPFとDKIM識別子のアライメントの役割
認証識別子のアライメントは、メール送信者がお客様のドメインを代表してメールを送信する権限があるかどうかを示します。これは、SPF(Sender Policy Framework)またはDKIM(DomainKeys Identified Mail)に対して電子メールの真正性をチェックすることによって決定することができます。整列されたメールは最終的に送信者確認チェックを通過し、受信メールサーバーが悪意のあるメールや承認されていないメールを区別し、それらをフィルタリングするための基本的な例として使用することができます。
PowerDMARC では、SPF と DKIM の両方の識別子に対してメッセージを調整することで、p=reject ポリシーでありながらメールの DMARC コンプライアンスを 100% 達成できるよう、さらに一歩進めます。これにより、メールの配信性が目に見えて改善され、適切なモニタリングと専任のテクニカルサポートチームによるサポートにより、わずか数週間でスパム率やバウンス率に顕著な違いが見られるようになります。
SPFとDKIM識別子のアライメントに影響を与える要因は何ですか?
- サードパーティベンダーの電子メールクライアントや電子メールサービスプロバイダは、複雑な問題を引き起こし、アライメントに失敗する可能性があります。
- 転送メッセージの整列に失敗する可能性があります。
解決策は何か?
PowerDMARC は、すべてのサードパーティーベンダーを正しく正確に調整し、サービスやベンダーの追加に応じてポータル上の記録を簡単に修正・更新できるようにします。
PowerDMARCは、SPF、DKIM、ARCをDMARCと共に設定することで、中間サーバーが電子メールに変更を加える可能性のある、認証に失敗する可能性のある、やっかいな電子メール転送シナリオに対処することができます。
PowerDMARC の直感的なインターフェイスは、簡単にポリシーレコードをアップグレードし、ドメインが電子メールのなりすましやフィッシング攻撃から適切に保護されるように最大限の強制力を発揮します。
DMARCアライメントの種類:厳格な識別子のアライメントと緩和された識別子のアライメント
DMARC識別子のアライメントは、認証チェックを実施する際の重大性と精度のレベルに応じて、2つのタイプがある。以下はその内容である:
1.DMARC緩和アライメント
SPFとDKIMのアライメントには特に、relaxedとstrictの2種類がある。両方に対してrelaxed alignmentが設定されている場合、これは基本的にDMARCの実装全体に対してrelaxed alignmentを実装していることを意味する。
SPFおよびDKIMの両方について、緩和されたアライメントモードでは、Mail FromコマンドのドメインとReturn-pathヘッダーまたはバウンスメールアドレス(SPFの場合)およびDKIM署名(DKIMの場合)ヘッダーのドメインが組織的に一致する場合でも、DMARCアライメントは一致する。その後、このシナリオでは、サブドメインであってもDMARCに対してアライメントされます。
ヘッダー・ドメインがアライメント要件のいずれかに合致する場合、メールはメール受信者側でDMARC認証をパスするはずです。
DMARCリラックスアライメントの例
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=r; adkim=r
アライメント設定を解読:DMARCタグの "aspf "と "adkim "は、お好みのモードを定義するためのそれぞれのアライメントタグで、"r "はrelaxedを意味します。
2.DMARCストリクトアライメント
ドメイン所有者がSPFとDKIMの両方でストリクトアライメントを有効にした場合、これは実質的にDMARC実装全体にストリクトモードを実装したことを意味します。
どちらのプロトコルでも、厳密なアライメントモードでは、Fromヘッダーのドメインと、Return-path(SPFの場合)およびDKIM署名(DKIMの場合)ヘッダーのドメインが完全に一致する場合にのみ、DMARCのアライメントチェックが一致する。したがって、このシナリオでは、サブドメインはDMARCに対してアライメントされない。
DMARCの厳密な整合とその例
v=DMARC1; p=reject; rua=mailto: [email protected]; aspf=s; adkim=s
アライメント設定のデコード:DMARCタグの "aspf "と "adkim "はそれぞれのアライメントモードタグで、お好みのモードを定義します。"s "はアライメントゴールを表し、これは厳格です。
どのDMARCアライメントモードが良いか?
緩やかなDMARCアライメントモードと厳格なDMARCアライメントモードの選択は、組織の電子メール認証プロトコルポリシー、誤検出に対する耐性、および全体的なセキュリティ目標によって異なります。
Relaxedモードは、より柔軟性があり、偽陽性の可能性が低くなります。複数のメールシステムやサービスがお客様のドメインに代わってメールを送信し、それらが異なるサブドメインを使用している場合に便利です。ただし、厳密性に欠けるため、些細な不一致のあるメールでも通過させてしまう可能性があり、なりすましやフィッシングの可能性があります。
Strictモデルでは、より厳格なアライメントポリシーが適用され、"From "ヘッダーの正確なドメインがSPFおよびDKIMで指定されたドメインと一致することが保証されます。これは、なりすましやフィッシングに対するより強力な防御を提供する一方で、メールインフラが正当な目的のために異なるサブドメインを使用している場合には、寛容でなくなる可能性があります。厳密なアライメントを実施するには、正当なメールをブロックしないよう、慎重な設定と監視が必要になる場合があります。
厳格なDMARCアライメントでメールを監視するには?
PowerDMARC は、厳格な DMARC アライメントポリシーに従った電子メールの監視を支援します。 DMARCアナライザーツールを使用します。ダッシュボードから直接、メール送信元を追跡し、アライメントの失敗をチェックし、認証設定を最適化することができます。
お問い合わせまでご連絡ください!
電子メールのDMARCアライメントを確認するには?
EメールメッセージのDMARCアライメントを確認するには、PowerDMARCポータルにサインアップし、以下の手順に従ってください:
- メインメニューのReportingへ
- DMARC Aggregate Reportsをクリックし、ドロップダウンリストを展開します。
- リストから結果ごとを選択
- 結果ごとに送信ソースを監視し、個々の結果についてDMARCコンプライアンスとアライメントの詳細を表示します。
DMARCアライメントに合格した場合
DKIMまたはSPF識別子のアライメントがパスすれば、DMARCのアライメントもパスします、
DMARCアライメントが失敗する理由
DMARCのアライメントに失敗するのは、DKIMとSPFの識別子が電子メールで一致しない場合である。これは通常、Mail Fromヘッダーのドメインが、return-pathヘッダーのドメインにもDKIM署名ヘッダーのドメインにも一致しない場合に発生する。
DMARCアライメントに関連するいくつかの重要な情報
リターンパス・ドメインとは?
リターンパスのドメインは、バウンスアドレスまたはEnvelope Fromドメインとも呼ばれ、未配信またはバウンスしたメッセージを受信するドメインです。メールが返送されたり、配信に失敗したりした場合、hiddenヘッダーフィールドには、メールが返送されるEnvelope Fromドメインが含まれます。ドメイン所有者がサードパーティのサービスを利用してメールを配信する場合でも、バウンスアドレスを使用して親ドメインにメールをさかのぼることができます。これは、悪意のある送信者と善意の実際の送信者を明確に区別するものです。
DMARCチェック中のSPFドメインSPFアライメントは、リターン・パス・アドレスのドメインによって決定される。
DKIM署名ドメインとは何ですか?
DKIM署名ドメインとは、メッセージにDKIM署名を作成するときに使用するドメイン名、つまり署名ドメインのことである。DMARCチェック中にDKIMドメインのアライメント検証を行う場合、送信者はDKIM署名ドメインがFromドメインと一致しているかどうかを検証します。DMARCのアライメントは、組織ドメインが一致する場合、緩和されたDKIMモードで通過する。厳格なDKIMモードでは、ドメインが完全に一致する場合のみ、DMARCアライメントが通過する。
メール転送がDMARCアライメントに与える影響
電子メールサーバーや電子メールディスカッションリストを転送すると、「ヘッダーの送信元アドレス」が転送サーバーのアドレスに書き換えられるだけでなく、メッセージ本文やコンテンツに新しい要素が含まれるため、DMARCアライメントの経路が複雑になります。これらは、Mail FromドメインのIDが書き換えられたバウンスアドレスや変更されたメッセージコンテンツと一致しないため、SPFアライメントやDKIMアライメントに失敗する原因となります。
アライメントの失敗を監視するには?
アライメントを監視するために、集計レポートやフォレンジックレポート(障害レポート)を有効にすることができます。これにより、アライメント目標を監視して達成し、配信上の問題を迅速に修正することができます。
- SPFエラー修正:SPFのToo Many DNS Lookups制限を克服する- 2024年4月26日
- 3ステップでDMARCレコードを公開する方法とは?- 2024年4月2日
- なぜDMARCは失敗するのか?2024年にDMARCの失敗を修正する- 2024年4月2日