DMARC NoneからDMARC Rejectへのスムーズな移行を計画する方法とは?

DMARC noneからDMARC rejectへのスムーズな移行を計画する方法

ドメインがすでにDMARCに準拠している場合、SPF、DKIM、DMARCプロトコルが適切に設定され、適切な7が実施されていることを確認する必要があります。拒否」は、次のような場合に最も厳格なポリシーとなります。 メールセキュリティしかし、真正なメッセージに対しても、メール配信の問題を引き起こす可能性があります。

レポートシステムを使って認証を監視しない場合、正当なメールの一部が受信者のメールボックスにまったく届いていないことが判明するまでに数ヶ月かかることになります。これは、顧客や見込み客との会話に深刻な影響を与えるだけでなく、メールマーケティングの努力も無効にしてしまうことになります。 

専門家は、DMARC導入のポリシーを初期段階で「なし」に設定することを勧めています。これにより、メールが拒否されたり、スパムとしてマークされたりするリスクを冒すことなく、レポートを受け取ることができます。 

しかし、いつ保険を切り替えるのが正しいタイミングなのか、そして正しい方法で切り替えるにはどうすればいいのか。その答えは、このブログを読んでください。 

DMARCポリシー

を設定することができます。 DMARCレコードを3つのポリシーのいずれかに設定します。

なし

モニタリングオンリーポリシーとも呼ばれるこのポリシーは、インターネットサービスプロバイダに対して、レコードのRUAまたはRUFタグに記載されたメールアドレスにレポートを配信するように指示します。このポリシーは、メールチャネルに関する深い洞察を共有するだけなので、メールの配信性に全く害を与えません。 

レコードを「なし」に設定すると、認証チェックに失敗した電子メールに対して、何の処置も行われません。つまり、スパムとしてマークされたり、完全に拒否されたりすることはありません。

隔離

隔離ポリシーは、認証に失敗したすべてのメールをスパムとしてマークするようISPに指示したり、メール受信箱ではなく、隔離フォルダーに格納したりするレポートを配信します。認証に合格したメールは、受信者の主要な受信トレイに正常に配信されます。

拒否

Rejectポリシーは、認証チェックに失敗したすべてのメールの入力を全面的に拒否するようISPに指示します。認証に合格したメールは、受信者の主要な受信トレイに正常に配信されます。拒否ポリシーの欠点は、正当なメールも拒否されることがあり、顧客や見込み客との会話に多方面で支障をきたすことです。  

DMARC PolicyをRejectに設定する適切なタイミングは?

ポリシーをリセットする前に、メール送信ドメインのパフォーマンスとアクティビティを監視する必要があります。チャネルインサイトにより、効果的で誤りのない電子メール認証プロセスのためにレコードを適切に構成することができます。

Rejectに切り替える理想的なタイミングは、すべての送信元が認証され、そのDMARCコンプライアンスが約100%に達した後です。この方法によって、真正なメールの配信率を確保することができます。 

また、DMARCのポリシーを、ドメインから送信されるメールのうち、あらかじめ指定した割合のメールにのみ適用するように設定することもできます。DMARCレコードにパーセンテージタグ(pct)を追加するだけで、メール到達率が低下するリスクを最小限に抑えることができます。また、'pct'タグは、あなたのドメインから送信された本物のメールが正常に配信される可能性を高めます。

スムーズな移行を計画する方法 DMARC NoneからDMARC Rejectへ?

このステップバイステップガイドに従って、最も厳格なDMARCポリシーを実施してください。

ステップ1:DMARC監視の開始

なし」ポリシーから「拒否」ポリシーに安全に移行するための最良の方法は、以下のとおりです。 DMARCモニタリングサービスをPowerDMARCで利用することです。DMARCレポートには2種類あります。

アグリゲートレポート(RUA)

お客様のドメインのトラフィックを詳細に把握できる集計レポートを毎日受け取ることができます。これは、あなたのドメインを通じて電子メールを送信しようとしたIPアドレスのリストで構成されています。

フォレンジックレポート(RUF)

フォレンジックレポートは、お客様のドメインからの電子メールの配信に失敗した直後に送信されます。RUFレポートには、常にオリジナルのメッセージヘッダーが含まれ、オリジナルのメッセージで構成されることもあります。  

最初のモニタリングの段階ではNone policyに留まり、パフォーマンスに影響を与えることなくメールの流れを理解することができます。 

ステップ2:DMARCレポート分析

Noneポリシーを使用しながら、メール送信ドメインのSPFレコードとDKIMレコードを設定し、最適なメールセキュリティを実現します。一方、どのDKIMセレクタが使用され、どの送信者がお客様のドメインからメールを送信しているかを知らせてくれる、受信したすべてのレポートを注意深く監視することにも集中してください。レポートには、認証チェックに合格したメールと不合格になったメールの割合も記載されています。 

また、DNSルックアップの10回制限内であることを忘れないでください。仕組みを削除するのが面倒な場合は SPFフラット化を使えば、SPF PermErrorを即座に軽減し、SPF 10ルックアップの制限を受けないようにすることができます。

送信者ごとに異なるDKIMセレクタを使うことを省略せず、使用中のセレクタだけを含める。これとは別に、DKIMキーは安全に保管し、定期的に変更しましょう。

ステップ3:「検疫」に切り替える

SPFとDKIMを適切に設定した後、「なし」ポリシーから「検疫」ポリシーに移行することができます。これを実施すると、受信者のメールボックスは、あなたのドメインから送信された認証されていないすべてのメールをスパムフォルダにリダイレクトします。 

隔離」ポリシーに移行するタイミングかどうかを確認するためには、認証に失敗しているメールの割合を確認する必要があります。プロモーションメールのごく一部が認証に失敗した場合にのみ、ポリシーを切り替えましょう。検疫ポリシーを実施する心構えは、ドメインによって異なる場合があります。

さらに、パーセンテージタグの恩恵を受け、まずはpctタグを5または10%に設定します。そうすれば、認証されていないメールのうち、5~10%だけがスパムにリダイレクトされることになります。その後、徐々にパーセンテージを上げていけばいいのです。 

ステップ4:最後に、「拒否」に切り替えます 

完全に「隔離」ポリシーに切り替えて、迷惑メールと判定されるメールが少なくなったら、「拒否」ポリシーに切り替えてもよいでしょう。適切に実施されれば、メールの流れや配信性を阻害することはありません。拒否」ポリシーは、認証されていないメールが受信トレイに入るのを全面的にブロックすることを忘れないでください。 

重要な会話がまだスパムフォルダに入っている場合は、拒否ポリシーに切り替える準備ができていません。その代わりに、隔離の場合と同じように、わずかな割合でポリシーを適用することで、スムーズに移行することができます。重要なメッセージのほとんどが目的の受信トレイに届いていることが確認できたら、100%実施に移行することができます。  

Reject Policyは常に最も効率的な選択なのか?

どんなに慎重にレコードを認証しても、有効なソースすべてで100%のDMARCコンプライアンスを達成できるドメイン所有者はごくわずかです。100%拒否ポリシーを実施すると、重要なメッセージの一部が不達になる可能性もあります。しかし、明るい面では、なりすまし、フィッシング、悪用から完全に保護することができます。

dmarc noneからdmarc rejectへ

最新記事 by Ahona Rudra(全て見る)
/によって
ドメインの健康状態を確認する方法とは?ドメインの健康状態を確認する方法2023年サイバーセキュリティマネージドサービス上位5社2023年サイバーセキュリティマネージドサービス上位5社