を受信できることをご存知ですか? DMARCレポートを受信できることをご存知ですか?はい、DMARC External Destination Verificationにより、独自ドメイン以外のメールアドレスにDMARCレポートを送信することが可能です。ドメイン company.comを所有している場合、以下のアドレスにレポートを送信できます。 rua@mailreports.netここで、company.comはmailreports.netに対する権限を持たず、両者は完全に別のドメインです。
ただし、これを実現するためには、レポート受信側のドメイン(mailreports.net)が のDMARCデータを含むレポートを受信することに同意するという承認を提供する必要があります。(company.com)のDMARCデータを含むレポートを受信することに同意するという承認を提供する必要があります。
これを可能にする方法を「外部ドメイン認証」と呼びます。本日は、外部ドメイン認証とは何か、そして認証の旅にどのように役立つかを説明します。
DMARC外部ドメイン認証 - 解説
例えば、次のようなドメインを所有しているとします。 カンパニー・ドット・コムを所有しており、ドメインのDMARCを有効にしているとします。あなたは今、DMARC集約レポートを通してメール送信元に関する情報を受け取りたいと思っています。しかし、あなたの内部ドメインやサブドメインの受信トレイにスパムが届くのを避けるため、これらのレポートを外部の宛先にリダイレクトしたいとします。例えば mailreports.net.
これは、複数のドメインを登録し、第三者が存在し、ドメインとの間で大量の情報が行き来している企業がよく行う手口です。
そのためには、その後のDMARCレコードは次のようになります:
v=DMARC1; p=quarantine;rua=mailto:rua@mailreports.net。
[カスタムレコードを無料で作成するには、当社の DMARCレコードジェネレーターツール] をご利用ください。
ruaタグは、DMARCレポートを受け取るためのメールアドレスを指定します。ここで、DNSにmailreports.netへのデータ送信を要求するレコードを公開したからといって、そのとおりになるとは限らないことに注意してください。そんなに簡単なことではないのです。
レポート受信ドメインは、レポートを受信するためのデジタル同意書を カンパニー・ドット・コムからのレポートを受け取ることにデジタルで同意しなければなりません。これは、外部ドメイン検証または外部宛先検証として知られています(RFC 7489 7.1節で言及されているとおり)。 RFC 7489 7.1).
なぜ外部送信先検証が必要なのか?潜在的な脅威と脆弱性
以下の理由により、外部ドメイン検証を選択することができます。
- メールサーバーを運用していないドメインをお持ちの方
- 外部ドメインの検証を行わない場合、サイバー攻撃者は、(被害者の)外部ドメインに言及したDMARCレコードを簡単に作成し、レポートを受け取ることができます。攻撃者が送信したすべての悪質なメールのレポートが、被害者の受信トレイに殺到することになります。
外部送信先検証により、脅威者の悪事を阻止し、ドメイン所有者はメールサーバーを運営する外部ドメインにレポートを転送することができます。
外部ドメイン認証の仕組みは?
外部報告先の検証
DMARCレコードを公開したドメインがメールを送信する際、メール受信サーバーはレコードを公開した組織ドメインがDMARCレコードのrua(またはruf)タグに記載されている組織ドメインと完全に一致するかどうかをチェックします。
一致しない場合で、レポートを受け取るために外部のドメインが指定されている場合は、検証プロセスが開始されます。
そのため、レポート受信ホストのDNSに問い合わせを行い、レポート受信に同意しているかどうかを検証します。同じことを証明するDMARCレコードがそのDNSで見つかった場合、検証チェックが通過し、レポートが外部ドメインに送信されます。失敗した場合、レポートは配信されません。
DNSのタイムアウトやその他のマイナーな問題により、一時的に受信サーバーが外部宛先確認処理を完了できないことがあります。しかし、後で再試行されます。
特定のドメイン(およびサブドメイン)に対する外部宛先検証の設定
先ほどの例で、特定のドメインやサブドメインに対して、外部宛先検証プロセスがエラー結果を返さないようにする方法を考えてみましょう。
ドメイン名例:company.com
外部レポート受信ドメイン例:mailreports.net
mailreports.netドメインに、以下の情報を持つDMARC DNSレコードを公開する必要があります。
| フィールド | 説明 | 価値 |
| ホスト | での記録を公開するところです。 | 会社名.com._report._dmarc.mailreports.net |
| 価値 | あなたのTXTレコードの値 | v=DMARC1です。 |
備考: ドメイン名は、あなた自身のドメインと、あなたのレポートを受け取りたい外部ドメインに置き換えてください。このレコードは、あなたのドメインで公開されるのではなく、あなたのレポートを送信する外部ドメインで公開されます。
これで完了です。外部宛先検証の際、ruaまたはrufタグに記載された優先外部ドメインが、実際にあなたのドメインの代わりにDMARCレポートを受け取ることに同意していることを、メール受信サーバーに通知することができます。
外部宛先検証のためのオプション構成
特定のドメインのアドレスにレポートを送信する許可を与えるために、上記のレコードを発行する代わりに、外部ドメインはしばしば、そのアドレスにレポートを送信するための ワイルドカードレコード (アスタリスク "*"で始まる)を使用することがよくあります。
これは、ワイルドカードレコードが本質的に外部ドメインがDMARCレポートを受け取ることに同意していることを示すので、余分な労力を避けるための単なる近道です。 外部ドメインは、あらゆるドメインからのDMARCレポートの受信に同意していることを意味する(からのDMARCレポートを受け取ることに同意していることを示すからです(あなたの特定のドメインだけではありません)。
以下は、外部ドメイン認証に使用するワイルドカードレコードの構文(例)です。
| フィールド | 説明 | ワイルドカードのレコード値 |
| ホスト | での記録を公開するところです。 | *._report._dmarc.domain.com |
| 価値 | あなたのTXTレコードの値 | v=DMARC1です。 |
ワイルドカードエントリーの使用に伴う潜在的なリスク
外部ドメイン認証にワイルドカードエントリーを使用することは推奨される行為ではなく、潜在的なリスクが伴います。これは、あるドメインが任意のドメインからのレポート受信を承諾した場合、悪質な業者がこれを利用して、レポートを規制またはフィルタリングする仕組みがないまま、悪質なドメインからの大量のレポートでメールアカウントをスパムする可能性があるためです。これは、レポートを受け取るドメインにとって潜在的に有害であり、また、そのドメインを使用して独自のレポートを受け取っているあなたにとっても問題を引き起こす可能性があります。
PowerDMARCの外部ドメイン検証はどのように行うのですか?
PowerDMARCのアカウントを作成し、レポートを受信しているクライアント様には DMARCレポートアナライザーダッシュボードは、外部ドメインの検証を弊社が代行するため、心配する必要はありません。受信者から送信されたすべてのレポートは自動的にルーティングされ、弊社のプラットフォームに送信されます。お客様が外部宛先検証プロセスを合理化するためにレコードを発行しなくても、きちんと解析され整理されて表示されます。DMARCレコードに当社のカスタムrua(またはruf)アドレスを指定するだけです。
今すぐ登録して、外部宛先検証やDMARC導入のプロセスを楽にする無料トライアル DMARCトライアル.
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日