DMARC for Dummies
について聞いたことがあると思います。 DMARCについて聞いたことがあると思いますが、それが何であるか知っていますか?このDMARC for Dummiesは、すべての人(技術者、非技術者)のために、DMARCの基本をわかりやすく解説しています。
インターネット上では、多くの人が情報セキュリティや電子メール認証の概念に興味を持っていますが、プロトコルを理解し実装するのは難しいと感じています。私たちは、DMARCの設定がいかに簡単であるかを皆さんに知っていただき、DMARCにまつわる一般的な神話を否定するために、本日ここに集まりました。
DMARCをわかりやすく解説
DMARCとは?DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの頭文字をとったものです。DMARCは、電子メールの送信者が、電子メールを受信サーバーで受信した場合に、その電子メールをどのように処理するかのポリシーを指定できるようにする電子メール・セキュリティ・ポリシーです。
例えば、マーケティングオートメーションプラットフォームを使用している場合、「Gmailから来たメールなら受け入れる」というルールを設定することができます。そして、「Hotmailから来たメールは拒否する」というルールを設定することができます。こうすれば、もし誰かがGmailではなくHotmailから返信を受け取った場合、メッセージが正しく届いていないことを知ることができ、それを修正するための手段を講じることができるようになります。
また、受信したメールが正規のものであることを確認することで、フィッシング攻撃から組織を守る手段にもなります。
どのように機能するのですか?
偽のメールであれば、DMARCが知らせてくれます。
その仕組みは次のとおりです。送信者ドメイン(company.comなど)は、ドメインレジストラにDNSレコードを公開し、どのような種類のメールを受け入れ、拒否するか、また拒否された場合はどこにメールを送信するかなど、自分たちが望むポリシーが書かれています。そして、誰かがあなたの会社を代表してDMARCを使ってメールを送ると、受信サーバーはそれを受け入れる前に、有効なポリシーがあるかどうかをチェックします。有効なポリシーがない場合、受信サーバーはそのメッセージを拒否するか、社内の詳しい人が確認するまで隔離するか、あるいは完全に破棄することができるのです。
なぜ、こんなことを気にしなければならないのか?
メールマーケティングを利用する企業であれば、DMARCを正しく実装する方法を知っておく必要があります。DMARCは、なりすましやフィッシングの防止に役立つため、顧客を詐欺被害から守ることができます。また、送信するすべてのメールが正規のものであることを確認することで、ブランドの評判を維持し、信頼できることを人々に知らせることができます。
要約すると
- あなたのドメインからのメールを装って送信するスプーファーからのメールを防ぐことができる
- メールのなりすましを防止し、フィッシング攻撃からブランドを保護することができます。
- 正規のメールがどのように受信者に配信されるかを、より詳細にコントロールすることができます。
企業向けDMARC for Dummiesガイド
DMARCの必須条件と前提条件
DMARCを導入するために必要なことは、大まかに言って3つあります。
- メールサーバーのSPFレコードを指し示すDNSレコードを作成します。
- メールサーバーのDKIMキーレコードを指し示すDNSレコードを作成します。
- メールサーバーにSPFとDKIMを設定する
注:DMARCの設定において、SPFとDKIMの両方を実装することは必須ではありません。どちらを実装してもかまいませんが、セキュリティ強化のためには両方を実装することをお勧めします。 あなたのドメインがOffice 365やGoogle Appsのようなメールプロバイダによってホストされている場合、必要なSPFレコードの1つがすでに用意されている可能性があります。また、DNS設定に追加できるように、DKIMキーも確認しておく必要があります。
DMARCを実装する準備ができたら、適切なツールとインフラを用意する必要があります。
はじめに必要なもの
- ドメイン名レジストラ(GoDaddyなど)
- DNSプロバイダ(AWS Route 53など)
- SPFとDKIMに対応したメールサーバー(Amazon SESなど)
セットアップとポリシーモード
DMARCによるメール認証を組織で確立するためには、上記の前提条件を満たした上で、DNS上にポリシーレコードを設置する必要があります。
以下は、そのようなレコードの一例です。
名前dmarc
値です。 v=DMARC1; pct=100; p=none;rua=mailto:[email protected]。
それぞれのタグは重要であり、サーバーに対する具体的な指示を指し示しています。v」タグは使用中のプロトコルのバージョン、「pct」は認証されたメールの割合(この場合は100%)、「p」はDMARCの障害モードまたはポリシー、「rua」タグは報告ドメインからの集計レポートの送信先メールアドレスを示しています。
あなたが構文に精通している場合は、手動で、あなたのドメインに固有のレコードを作成することができます。また、無料のオンライン DMARCレコードジェネレーターツールを使って作成することもできます。
レコードを作成する際に、ポリシーモード("p="タグの下)を指定する必要があります。DMARCのポリシーは3種類から選択することができます。
- なし:ドメイン認証に失敗しても合格しても、あなたのドメインから発信されたすべてのメールを受け入れるように受信者に指示します。メール認証を始めたばかりの初心者に最適です。
- 検疫について:ドメイン指定受信に失敗したメールを隔離し、後で確認できるようにすることを指示します。
- 拒否する:受信機に対して、受信に失敗したメールをすべて拒否するように指示します。なりすましやフィッシング攻撃から保護したい場合は、このポリシーがおすすめです。
メール配信障害の監視とレポーティング
DMARCのレポーティングは、メールの認証状況や配信失敗を把握できる機能です。を詳細に把握することができる優れた機能です。 DMARCの分析メールヘッダ情報を抽出することで、詳細なDMARC分析を可能にする優れた機能です。また、メールがどこに転送されているのか、受信者からどのような反応があるのかを把握することも可能です。
下記はDMARCレポートの一部です。
レポートをさらにスクロールすると、SPFとDKIMの認証結果が時系列で表示されているのが確認できます。
各レポートはXMLファイル形式で送信されます。つまり、データを読むためには、extensible markup language(拡張マークアップ言語)を十分に理解している必要があります。このような手間を省くため、DMARCレポートアナライザーを使用することもできます。 DMARCレポートアナライザーを利用することで、このような手間を省くことができます。
レポートを有効にするには、レコードに「rua」タグを追加し、これらのレポートを受け取りたい電子メールアドレスを指定する必要があります。このメールアドレスは、独自ドメインの範囲内にあり、データの乱造を避けるためにこの目的のために特別に作成されたものであることを確認してください。
業界サポートとなりすまし防止
DMARCをサポートするESPには、Google、Microsoft、Amazon、MailChimpなどの業界大手が含まれています。業界のリーダーや専門家は、ダイレクトドメイン・スプーフィングやフィッシング攻撃を減らすための実証済みの方法として、電子メール認証を支持しています。しかし、これは強制的なポリシーによってのみ達成されるものです。
また、DMARCはウイルス対策やファイアウォールソリューションの代用品ではないことにも注意が必要です。DMARCは、電子メール詐欺の攻撃から組織を守るためのセキュリティの追加レイヤーに過ぎません。DMARCは、ウイルス対策ソフトやファイアウォールソフトと組み合わせることで、より効果的な保護が可能になります。
- DMARCのエキスパートになるには?- 2024年9月3日
- メール配信とセキュリティにおけるデジタル導入の役割- 2024年9月2日
- DMARC導入フェーズ:何を期待し、どう準備すべきか- 2024年8月30日