ドメインがすでに DMARC に準拠している場合でも、SPF、DKIM、および DMARC プロトコルが適切に構成され、適切な 7 が適用されていることを確認する必要があります。「拒否」は電子メールのセキュリティに関しては最も厳格なポリシーですが、本物のメッセージでも電子メールの配信に問題が生じる可能性があります。
レポートシステムを使って認証を監視しない場合、正当なメールの一部が受信者のメールボックスにまったく届いていないことが判明するまでに数ヶ月かかることになります。これは、顧客や見込み客との会話に深刻な影響を与えるだけでなく、メールマーケティングの努力も無効にしてしまうことになります。
専門家は、DMARC導入のポリシーを初期段階で「なし」に設定することを勧めています。これにより、メールが拒否されたり、スパムとしてマークされたりするリスクを冒すことなく、レポートを受け取ることができます。
しかし、いつ保険を切り替えるのが正しいタイミングなのか、そして正しい方法で切り替えるにはどうすればいいのか。その答えは、このブログを読んでください。
DMARCポリシー
を設定することができます。 DMARCレコードを3つのポリシーのいずれかに設定します。
なし
モニタリングオンリーポリシーとも呼ばれるこのポリシーは、インターネットサービスプロバイダに対して、レコードのRUAまたはRUFタグに記載されたメールアドレスにレポートを配信するように指示します。このポリシーは、メールチャネルに関する深い洞察を共有するだけなので、メールの配信性に全く害を与えません。
レコードを「なし」に設定すると、認証チェックに失敗した電子メールに対して、何の処置も行われません。つまり、スパムとしてマークされたり、完全に拒否されたりすることはありません。
隔離
隔離ポリシーは、認証に失敗したすべてのメールをスパムとしてマークするようISPに指示したり、メール受信箱ではなく、隔離フォルダーに格納したりするレポートを配信します。認証に合格したメールは、受信者の主要な受信トレイに正常に配信されます。
拒否
Rejectポリシーは、認証チェックに失敗したすべてのメールの入力を全面的に拒否するようISPに指示します。認証に合格したメールは、受信者の主要な受信トレイに正常に配信されます。拒否ポリシーの欠点は、正当なメールも拒否されることがあり、顧客や見込み客との会話に多方面で支障をきたすことです。
DMARC PolicyをRejectに設定する適切なタイミングは?
ポリシーをリセットする前に、メール送信ドメインのパフォーマンスとアクティビティを監視する必要があります。チャネルインサイトにより、効果的で誤りのない電子メール認証プロセスのためにレコードを適切に構成することができます。
Rejectに切り替える理想的なタイミングは、すべての送信元が認証され、そのDMARCコンプライアンスが約100%に達した後です。この方法によって、真正なメールの配信率を確保することができます。
また、DMARCのポリシーを設定することで、ドメインから送信されるメールのうち、あらかじめ指定した割合のメールにのみ適用することもできます。DMARCレコードにパーセンテージタグ(pct)を追加するだけで、メールの配信不良のリスクを最小化することができます。また、「pct」タグを付けることで、あなたのドメインから送信された本物のメールが正常に配信される可能性が高まります。
スムーズな移行を計画する方法 DMARC NoneからDMARC Rejectへ?
このステップバイステップガイドに従って、最も厳格なDMARCポリシーを実施してください。
ステップ1:DMARC監視の開始
なし」ポリシーから「拒否」ポリシーに安全に移行するための最良の方法は、以下のとおりです。 DMARCモニタリングサービスをPowerDMARCで利用することです。DMARCレポートには2種類あります。
アグリゲートレポート(RUA)
お客様のドメインのトラフィックを詳細に把握できる集計レポートを毎日受け取ることができます。これは、あなたのドメインを通じて電子メールを送信しようとしたIPアドレスのリストで構成されています。
フォレンジックレポート(RUF)
フォレンジックレポートは、お客様のドメインからの電子メールの配信に失敗した直後に送信されます。RUFレポートには、常にオリジナルのメッセージヘッダーが含まれ、オリジナルのメッセージで構成されることもあります。
最初のモニタリングの段階ではNone policyに留まり、パフォーマンスに影響を与えることなくメールの流れを理解することができます。
ステップ2:DMARCレポート分析
Noneポリシーを使用しながら、メール送信ドメインのSPFレコードとDKIMレコードを設定し、最適なメールセキュリティを実現します。一方、どのDKIMセレクタが使用され、どの送信者がお客様のドメインからメールを送信しているかを知らせてくれる、受信したすべてのレポートを注意深く監視することにも集中してください。レポートには、認証チェックに合格したメールと不合格になったメールの割合も記載されています。
また、DNSルックアップの制限を10回以内にすることも忘れずに。メカニズムを削除するのが面倒な場合は SPFフラット化アプローチを使って、SPF PermErrorを即座に緩和し、SPF 10ルックアップ制限の範囲内に収まるようにしましょう。
送信者ごとに異なるDKIMセレクタを使用することを省略せず、使用中のセレクタのみを含めること。これとは別に、DKIMキーを安全に保ち、定期的に変更しましょう。
ステップ3:「検疫」に切り替える
SPFとDKIMを適切に設定した後、「なし」ポリシーから「検疫」ポリシーに移行することができます。これを実施すると、受信者のメールボックスは、あなたのドメインから送信された認証されていないすべてのメールをスパムフォルダにリダイレクトします。
隔離」ポリシーに移行するタイミングかどうかを確認するためには、認証に失敗しているメールの割合を確認する必要があります。プロモーションメールのごく一部が認証に失敗した場合にのみ、ポリシーを切り替えましょう。検疫ポリシーを実施する心構えは、ドメインによって異なる場合があります。
さらに、パーセンテージタグの恩恵を受け、まずはpctタグを5または10%に設定します。そうすれば、認証されていないメールのうち、5~10%だけがスパムにリダイレクトされることになります。その後、徐々にパーセンテージを上げていけばいいのです。
ステップ4:最後に、「拒否」に切り替えます
完全に「隔離」ポリシーに切り替えて、迷惑メールと判定されるメールが少なくなったら、「拒否」ポリシーに切り替えてもよいでしょう。適切に実施されれば、メールの流れや配信性を阻害することはありません。拒否」ポリシーは、認証されていないメールが受信トレイに入るのを全面的にブロックすることを忘れないでください。
重要な会話がまだスパムフォルダに入っている場合は、拒否ポリシーに切り替える準備ができていません。その代わりに、隔離の場合と同じように、わずかな割合でポリシーを適用することで、スムーズに移行することができます。重要なメッセージのほとんどが目的の受信トレイに届いていることが確認できたら、100%実施に移行することができます。
Reject Policyは常に最も効率的な選択なのか?
どんなに慎重にレコードを認証しても、有効なソースすべてで100%のDMARCコンプライアンスを達成できるドメイン所有者はごくわずかです。100%拒否ポリシーを実施すると、重要なメッセージの一部が不達になる可能性もあります。しかし、明るい面では、なりすまし、フィッシング、悪用から完全に保護することができます。
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日