DMARCの誤検知:原因、修正、防止ガイド

ブログ

正規のメールがDMARCチェックに引っかかる?DMARC誤検知の主な原因と、メール配信を保護するための修正・防止方法をご覧ください。

byアホナ・ルドラ

最終更新日:
6 読了時間:約6分
DMARCの誤検知:原因、修正、防止ガイド
目次-

DMARCは、SPFとDKIMの上に構築された電子メール認証プロトコルである。ドメイン所有者が、認証に失敗したメールを受信メールサーバーがどのように処理すべきかを指定するのに役立つ。主なDMARCポリシーは、なし、隔離、拒否です。これらのポリシーにより、認証に失敗したメールを配信するか、スパムに送信するか、完全にブロックするかを制御できます。

DMARCの誤検知は、正当なメールが誤って "失敗 "と判定された場合に発生します。これは、SPF、DKIM、DMARCの設定ミスやギャップが原因です。一般的な原因としては、ドメインのズレ、DKIMシグネチャの欠落、適切なモニタリングなしに適用される厳しすぎるポリシーなどが挙げられます。このようなギャップにより、ビジネスメールが消失したり、スパムにリダイレクトされたりする可能性があります。これは、貴社の業務、コミュニケーションの効果、ブランドイメージに大きな影響を与える可能性があります。

主なポイント

  • DMARC誤検出とは、設定ミスやアライメントの問題により、正当なメールがDMARCチェックに失敗することである。
  • このような失敗は、メール配信や配信性の問題、風評被害、ROIの低下などにつながります。 
  • DMARC誤検知の一般的な原因は以下の通りです。 SPFまたはDKIMのズレ、メール転送、期限切れのDKIMキーおよび無許可の第三者送信者。
  • 偽陽性の兆候は、DMARC障害レポート、バウンスログ、または社内メールやパートナーメールの予期せぬ拒否によって現れる可能性があります。 
  • DMARCポリシーの監視と調整、サードパーティサービスの認証、メール転送の処理によって、誤検知を減らしたり、なくしたりすることができます。

DMARCの誤検知はなぜ起こるのか?

DMARCの誤検知は、多くの要因から発生する可能性がある。

DNSレコードの管理不足

DNSレコードは、電子メール受信者がSPF、DKIM、およびDMARC認証を検証するための指示として機能します。これにより、DMARCは、メール送信者の真正性と正当性をチェックするための適切なアドレスを見つけることができます。SPF、DKIM、DMARCのDNSレコードを適切に管理することで、受信サーバーがメールを正しく認証できるようになります。DMARCレコードがないと、メール受信者はDMARCポリシーを適用しないため、ドメインがなりすましに遭いやすくなります。

SPF/DKIMのミスアライメント

DMARCでは、"From "ヘッダーのドメインが、SPFおよびDKIM認証で使用されるドメインと一致する必要があります。アライメントポリシーが厳しすぎる場合、これらのドメインが異なる場合に正当なメールが失敗する可能性があります。具体的には、SPF認証ドメイン(通常はReturn-Pathから)またはDKIM署名ドメインが「From」アドレスと一致しない場合、DMARCが失敗する可能性があります。 

電子メールの転送

転送されたメールは、送信者のSPFレコードに記載されていない中間サーバーを経由することがよくあります。そのため、SPFが失敗することがあります。転送は通常SPFを破壊しますが、DKIM署名は通常、転送者やメーリングリストがメッセージを変更しない限り(フッターやヘッダーを追加するなど)存続します。SPFまたはDKIMのいずれかにギャップがあると、DMARCが失敗する可能性があります。 

メーリング・リスト

メーリングリストでは、フッターやヘッダーを追加してメールを修正することがあります。また、「差出人」アドレスを完全に書き換えてしまうこともある。このような変更はDKIMシグネチャを破壊し、SPFの不整合を引き起こします。これは、メーリングリストのバウンスアドレスが元の送信者と異なるためです。 DMARCが失敗する.

期限切れまたはローテーションされたDKIMキー

DKIM鍵は自動的には失効しないが、定期的にローテーションすべきである。DKIM署名の中には、署名の有効期限を設定するx=タグを含むものもあるが、 これはオプションであり、広く実施されているわけではない。鍵のローテーション時には、古い鍵で署名された電子メールがすべて配信され るまで公開鍵が公開され続けるよう、慎重な管理が必要である。

動的IPアドレスの使用 

DMARCが安定したIPアドレスで最高のパフォーマンスを発揮するのは、まったく驚くべきことではない。動的なIPアドレスはしばしば移動し、意図した宛先に到達することが困難になります。そのため、動的IPアドレスはメールレピュテーションサービスによってブロックされる可能性が高くなります。さらに、動的IPアドレスは、一貫性のないリバースDNSレコードを持っている可能性が高いです。そのため、より問題が多く、安定したIPアドレスが優先されます。 

無許可の第三者送信者

ドメインのSPFまたはDKIMレコードに含まれていないサードパーティから送信されたメールは、ほとんどの場合、認証に失敗します。これはDMARCの失敗の原因となり、これらの送信者が正当であっても誤検出を引き起こす可能性がある。 

DMARCの誤検知を検出する方法

DMARCの偽陽性を検出する方法をいくつかご紹介します。 

DMARC集計レポート(RUA)

DMARCアグリゲート(RUA)を確認する場合 レポートこのXMLベースのレポートは、DMARCレコードに記載されたアドレスに毎日送信されます。これらのXMLベースのレポートは、DMARCレコードに記載したアドレスに毎日送信されます。このレポートには、SPFとDKIMの両方の認証結果の要約が含まれているため、失敗の異常な増加を検出することができます。このような予期せぬ増加は、偽陽性の良い指標になるかもしれません。

フォレンジックレポート(RUF)

DMARCフォレンジック(RUF)レポートを有効にすると、DMARCチェックに失敗したすべてのメールについて、詳細なリアルタイムの診断が可能になります。レポートは非常に包括的で、メッセージレベルの情報が含まれます。送信者データ、件名、認証結果も含まれます。これらのメールに含まれる詳細なデータにより、どの正当なメールがスパムに送信されたのか、または拒否されたのかを特定することが非常に容易になります。

Eメールのバウンスログ

メールサーバーのバウンスや拒否のログをチェックすることも、偽陽性を発見する良い方法です。バウンスが繰り返されたり、社内やパートナーからのメールが頻繁に拒否されるようであれば、メールエコシステムがDMARCの誤検知に悩まされている可能性があります。

一般的な症状

正当な社内メールやパートナーからのメールが消えたり、理由なく拒否されたりすることはありませんか?SPF、DKIM、DMARCレコードを正しく設定しても配信に失敗する場合は、これも偽陽性の兆候です。

DMARCの誤検知を修正・防止する方法

偽陽性を防止・修正する効果的な方法はいくつかある。 

SPF/DKIMの整合性の確保

SPFの場合、Return-Path(MAIL FROM)ドメインが、目に見えるFromアドレスと一致していることを確認する。DKIMの場合、d=ドメインとFromアドレスが一致していることを確認する。または 厳格なアライメントから緩やかなアライメントに切り替えることも検討する。

サードパーティ・サービスの認可

もう一つの良い方法は、SPFレコードを更新して、すべての正当な第三者送信者を含めることです。これは、インクルードメカニズムを使うか、送信元IPをリストアップすることで可能です。これらのベンダーがあなたのドメインまたはサブドメインのDKIMキーを生成し、あなたのDNSで公開キーを公開していることを確認してください。 

DNSレコードを適切に管理する 

DNSレコードを適切に管理するには、常に DNSルックアップツールを使ってDMARCレコードの有無を確認することができます。DMARCレコードは、実際のドメイン名を含むTXTレコードでなければなりません。

また、DMARCレコードの構文をチェックし、すべてのディレクティブが正しくフォーマットされ、正しい句読点(セミコロンなど)が使用されているかを確認することも有用であろう。 

電子メールの転送

我々はすでに 転送がSPFとDKIMを破壊することを学んだ。この問題を避けるためには、ARC(Authenticated Received Chain)を実装すべきである。これは、転送ホップを通して認証結果を保持するのに役立つ。また、転送サービスを次のように設定することもできる。 DKIMシグネチャを追加するを追加するように転送サービスを設定することもできます。

適切なサブドメイン管理の活用 

優れたDMARCの配備は、ドメインだけでなく、サブドメインの処理も含む。つまり、各サブドメインのSPF、DKIM、DMARCレコードを設定し、対応するDMARCポリシーを明確に指定する必要がある。 

ポリシーの監視と調整

最後に、DMARCポリシーがどのようなものかを知っておくことは重要である。 DMARCポリシー知ることが重要です。例えば、厳密なDMARCポリシー(p=rejectなど)は後期に必要かもしれませんが、p=noneのような緩やかなDMARCポリシーから始めることをお勧めします。緩やかなポリシーから始めることで、データを収集し、偽陽性を特定することができます。

必要な情報が得られたら、徐々に隔離に移行し、最終的には拒否することができる。ただし、すべての正当な情報源が適切に認証されていると確信できる場合にのみ、そうしてください。

誤検知を減らすベストプラクティス

誤検知を減らす、あるいはなくすために使える簡単なチェックリストがある:

  1. まだ十分なモニタリングやテストを行っていない段階で、直接p=rejectに移行するのはやめましょう。忍耐強く、段階的にDMARCを実施することで、正当なメールがスパムとして届くという頭痛の種を避けることができます。 
  2. SPF、DKIM、DMARCのDNSレコードを定期的にチェックし、更新する。これにより、すべての正当な送信者がカバーされます。 
  3. p=rejectのような厳格なポリシーを適用する前に、必ずDMARCチェッカーで設定をテストしてください。オンラインチェッカーを使用するだけでなく、レポートを注意深く調べ、エラーやギャップを特定するようにしてください。
  4. ダイナミックIPアドレスは避けましょう(理由はもうお分かりですね!)。 
  5. 第三者ベンダーとの協業 サードパーティベンダー(CRMやESPなどの)サードパーティベンダーと連携し、DMARCに準拠した送信方法であることを確認し、お客様のドメインで承認されるようにする。

まとめ 

誤検知は本当に迷惑なものですが、実際には想像以上に簡単に修正できます。DMARCポリシーを適切に調整し、注意深く監視し、徐々に実施することで、期限内に検知・防止することができます。また、DMARCレポートを監査し、手間のかからないDMARC実装とメール配信または配信可能性のために設定を調整することを忘れないでください。 

使用開始 PowerDMARCの 無料DMARCアナライザーを使って、すべてのメール認証プロトコルを監視し、誤検知をなくしましょう!

CTA

最新記事 by Ahona Rudra(全て見る)
最終更新日:
ニュージーランド政府、新しいセキュアメールフレームワークでDMARCを義務化安全な政府電子メールDMARC MSPケーススタディ:PrimaryTechはどのようにクライアント・ドメイン・セキュリティを簡素化したか...