「DMARCベストゲス・パス」解説:その意味と対処法
by
最終更新日:
読書時間 5 分
主なポイント
- 「ベストゲス・パス は、メール認証レポートにおける非公式な用語で、メッセージがSPFおよび/またはDKIMチェックに合格したが、DMARCレコードが存在しないことを示す。
- 公式の DMARC仕様(RFC 7489)では定義されていない。
- マイクロソフトExchangeオンライン保護は、送信者のドメインとの整合性を示すためにこれを使用します。
- Gmailといくつかのプロバイダーは、欠落したレコードを合成することによって、主にSPFに「最善の推測」を適用する。
- Best Guess Pass "の存在は、DMARCレコードの欠落を強調する。 DMARCレコードセキュリティ・ギャップを生じさせる。
- DMARCレコードの発行 明確なポリシー(なし、隔離、拒否)を持つDMARCレコードの発行はこの問題を防ぎ、ドメインの保護を強化します。
「ベストゲス・パス」は公式の DMARCDMARC仕様(RFC 7489)にはない。この用語は、Microsoft Exchange Online Protectionなどの一部の受信メールサーバーが、SPFまたはDKIMチェックはパスするがDMARCレコードがないメールを処理する方法に由来する。このような場合、サーバーは認証が有効であると解釈し、DMARCが設定されていればそのメールはパスしていたであろうという意味で、「ベスト推測パス」とラベル付けします。best guess "というフレーズは、SPFと関連付けられることが一般的ですが、DMARCレポートにおけるこのフレーズの出現は、DMARCポリシーの不在という重大な問題を指し示しています。このギャップを認識することは、メールセキュリティの向上に不可欠です。
混同してはいけない:
- マイクロソフト → DMARC レポートに dmarc=bestguesspass.
- Gmail → 足りないSPFレコードを合成する(DMARCではない)。
通常のシナリオにおけるDMARCの仕組み
最良の推測 "の問題を理解するために、DMARCがどのように機能することになっているかを簡単に復習しておこう。DMARCは、SPFとDKIMという2つのメール認証プロトコルに依存している:
- SPF:これは、あなたのドメインに代わってメールを送信する権利を持つIPアドレスをリストアップするDNSレコードです。無料の 無料のSPFジェネレーターをご利用ください。SPFレコードをお持ちで、その正確性に自信がない場合は SPFチェッカー.
- DKIM: このプロトコルは、メッセージが転送中に操作されたかどうかを チェックする暗号署名を提供する。A DKIMレコードジェネレーターと DKIMレコードチェッカーをご利用ください。
DMARCは次に、これらの方法(SPFまたはDKIM)の少なくとも1つがパスするだけでなく、「From」アドレスのドメイン(つまり、受信者が目にするドメイン)と一致していることをチェックする。
このチェックに基づき、DMARCに準拠した受信機は2つの公式結果のいずれかを出す(ただし、報告の詳細は異なる場合がある):
- パス: メールは認証され、整列される。
- 失敗: 電子メールは認証されていないか、または整列されていません。
あなたの DMARCポリシーDMARCポリシーは、チェックに失敗したメールの処理方法を受信者に指示します:
- p=なし:監視のみ。メールを配信する。メールが配信されている間は、p=noneの主な利点である集計レポートが開始されることに注意してください。
- p=隔離:迷惑メールフォルダまたはジャンクフォルダにメールを送信します。
- p=reject:メールを完全にブロックする。
DMARCベストゲス・パス」の原因とは?
Best Guess Pass "の結果は通常、DMARCレコードが存在せず、基礎となるSPF/DKIMチェックがパスした場合に表示される。
典型的なシナリオはこうだ:
- お客様または他の承認された当事者が、お客様のドメインからメールを送信します。
- お客様のドメインに有効なSPFレコードおよび/またはDKIMレコードがあります。
- 受信サーバーはSPF/DKIMをチェックし、適切なアライメントでパスする。
- その後、受信者はDMARCレコードを探し、適用すべきポリシーを確認する。
- DMARCレコードが見つかりません。
- 基礎となる認証がパスしたため、受信者は「最善の推測」を行い、DMARCアクションを取らずにメールを通過させる。これはdmarc=bestguesspassのように記録されます。
これはフォールバックメカニズムである。プロバイダーは、DMARCレコードが欠落しているという理由だけで、潜在的に正当なメールをブロックすることを避けようとしているが、これは重要な設定の見落としを浮き彫りにしている。
ベストゲス・パス」はなぜ問題なのか?
Best Guess Pass "に頼ることは危険であり、DMARCの目的を損なう。
混乱を招く
この非公式なステータスがDMARCレポートの解釈を難しくしている。あなたのドメインは保護されていないにもかかわらず、保護されていると思うかもしれません。
セキュリティの可視性が損なわれる
Best Guess Pass」では、詐欺メールについて何もわかりません。DMARCポリシーがないため、なりすましメールに関するレポートを受け取ることができず、あなたのドメインを狙った攻撃は見えません。
フィッシングやなりすましが可能
がない場合 p=隔離またはp=拒否 ポリシーがなければ、何の防御策もありません。詐欺師はまだあなたのドメインになりすますことができますし、この「最善の推測」チェックを行わない受信サーバー(これがほとんどです)には、詐欺メールをブロックする指示がありません。
DMARCベストゲス・パス」の問題を解決する方法
DMARCレコードを発行することです。これにより、推測を避け、あなたのEメールに対して何をすべきかを世界に正確に伝えることができます。
1.正しいSPFとDKIMの設定
DMARCレコードを作成する前に、SPFレコードとDKIMレコードが正しく設定されていることを確認してください。それらはすべての正当な送信サービスを含むべきである。
2.ドメインのアライメントを確認する
SPFに使用されるドメイン(Return-Pathドメイン)および/またはDKIM署名のドメイン(d=タグ)が、「From」アドレスのドメインと一致していることを確認してください。
3.DMARCレコードの発行
モニタリングポリシー(p=none)から始めましょう。これにより、メール配信に影響を与えることなくデータを収集することができます。基本的な開始レコードは次のようになります: v=DMARC1; p=none; rua=mailto:[email protected];
- このTXTレコードを_dmarc.yourdomain.comに置いてください。
4.DMARCレポーティングプラットフォームの使用
生のDMARCレポートは XMLファイルであり、読むのはかなり難しい。A 監視プラットフォームは、これらのレポートを人間が読めるダッシュボードに変えます。誰があなたのドメインからメールを送信しているのかを明確に把握することができます。
誤合格を防ぐためのベストプラクティス
DNSレコードの監査
SPF、DKIM、DMARCレコードが正確で最新であることを常に確認してください。
DMARCレポートを毎日監視する
あなたの DMARCレポートを注視し、新たな送信元や潜在的な認証の失敗を検出してください。
より厳格な政策の実施
すべての正当なメールがDMARCチェックを通過していると確信が持てたら、今度はp=隔離、そして最終的にはp=拒否といった、より厳格なポリシーに徐々に移行することができます。これにより、詐欺メールを積極的にブロックできるようになります。
トレーニングチーム
ITチームとセキュリティチームを訓練し、DMARCデータの解釈方法と潜在的な脅威への対応方法を習得させる。 脅威.
まとめ
「Best Guess Pass "は安全なメールのサインではなく、警告サインです。これは、あなたのドメインのメールセキュリティが不完全であり、少数のメールボックスプロバイダの非標準的な動作に依存していることを意味します。推測の域を超え、DMARCを設定し、ドメインのレピュテーションとセキュリティをコントロールする必要があります。
PowerDMARCのエキスパートチームがお手伝いします。DMARCに関連するすべてのことを引き受けますので、混乱することなく、確実なコミュニケーションを行うことができます。 今すぐ今すぐ
よくあるご質問
レポートに "Best Guess Pass "と表示されるのはなぜですか?
からのレポートでこの結果が表示されている可能性があります。 マイクロソフト365またはExchangeからのレポートでこの結果を見ている可能性があります。これは、送信ドメインにSPF/DKIMは設定されているが、DMARCレコードがないことを意味します。システムは、ポリシーが存在する場合、メールがDMARCを通過していることを指摘しています。
ベスト・ゲス・パス」はセキュリティ・リスクか?
DMARCのエンフォースメントポリシー(隔離または拒否)がないことを意味します。エンフォースメント(隔離/拒否)がないと、受信者に不正なメールのブロックや迂回を指示することができません。
レポートに "Best Guess Pass "が表示されないようにするには?
送信ドメイン所有者は、有効なDMARCレコードをDNSに公開する必要があります。あなたのドメインの場合は、セクション5の手順に従ってください。
ベスト・ゲス・パス」は、私の電子メールが安全であることを意味しますか?
いいえ、それはあなたのドメインに重要なセキュリティ層が欠けていることを意味します。DMARCレコードが適切に設定されていなければ、Eメールを安全に送信することはできません。
ドメインとメールセキュリティのエキスパートPowerDMARC
ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。
最新記事 by Yunes Tarada(全て見る)
- 認証マーク証明書 vs 一般マーク証明書:適切な選択 - 2026年3月10日
- スパム信頼度レベル(SCL)-1バイパス:その意味と対処法 - 2026年3月4日
- 「DMARC検証に合格せず、DMARCポリシーがReject(拒否)となっている」:その意味と修正方法 - 2026年2月26日
