あなたのドメインがすでにDMARCに準拠している場合でも、SPF、DKIM、DMARCプロトコルが適切に設定され、適切な7が実施されていることを確認する必要があります。拒否」は、メールセキュリティに関して最も厳格なポリシーです。 メールセキュリティしかし、真正なメッセージに対してもメール配信の問題を引き起こす可能性があります。
レポートシステムを使って認証を監視しない場合、正当なメールの一部が受信者のメールボックスにまったく届いていないことが判明するまでに数ヶ月かかることになります。これは、顧客や見込み客との会話に深刻な影響を与えるだけでなく、メールマーケティングの努力も無効にしてしまうことになります。
専門家は、DMARC導入のポリシーを初期段階で「なし」に設定することを勧めています。これにより、メールが拒否されたり、スパムとしてマークされたりするリスクを冒すことなく、レポートを受け取ることができます。
しかし、いつ保険を切り替えるのが正しいタイミングなのか、そして正しい方法で切り替えるにはどうすればいいのか。その答えは、このブログを読んでください。
DMARCポリシー
を設定することができます。 DMARCレコードを3つのポリシーのいずれかに設定します。
なし
モニタリングオンリーポリシーとも呼ばれるこのポリシーは、インターネットサービスプロバイダに対して、レコードのRUAまたはRUFタグに記載されたメールアドレスにレポートを配信するように指示します。このポリシーは、メールチャネルに関する深い洞察を共有するだけなので、メールの配信性に全く害を与えません。
レコードを「なし」に設定すると、認証チェックに失敗した電子メールに対して、何の処置も行われません。つまり、スパムとしてマークされたり、完全に拒否されたりすることはありません。
隔離
隔離ポリシーは、認証に失敗したすべてのメールをスパムとしてマークするようISPに指示したり、メール受信箱ではなく、隔離フォルダーに格納したりするレポートを配信します。認証に合格したメールは、受信者の主要な受信トレイに正常に配信されます。
拒否
Rejectポリシーは、認証チェックに失敗したすべてのメールの入力を全面的に拒否するようISPに指示します。認証に合格したメールは、受信者の主要な受信トレイに正常に配信されます。拒否ポリシーの欠点は、正当なメールも拒否されることがあり、顧客や見込み客との会話に多方面で支障をきたすことです。
DMARC PolicyをRejectに設定する適切なタイミングは?
ポリシーをリセットする前に、メール送信ドメインのパフォーマンスとアクティビティを監視する必要があります。チャネルインサイトにより、効果的で誤りのない電子メール認証プロセスのためにレコードを適切に構成することができます。
Rejectに切り替える理想的なタイミングは、すべての送信元が認証され、そのDMARCコンプライアンスが約100%に達した後です。この方法によって、真正なメールの配信率を確保することができます。
また、DMARCのポリシーを設定することで、ドメインから送信されるメールのうち、あらかじめ指定した割合のメールにのみ適用することもできます。DMARCレコードにパーセンテージタグ(pct)を追加するだけで、メールの配信不良のリスクを最小化することができます。また、「pct」タグを付けることで、あなたのドメインから送信された本物のメールが正常に配信される可能性が高まります。
スムーズな移行を計画する方法 DMARC NoneからDMARC Rejectへ?
このステップバイステップガイドに従って、最も厳格なDMARCポリシーを実施してください。
ステップ1:DMARC監視の開始
なし」ポリシーから「拒否」ポリシーに安全に移行するための最良の方法は、以下のとおりです。 DMARCモニタリングサービスをPowerDMARCで利用することです。DMARCレポートには2種類あります。
アグリゲートレポート(RUA)
お客様のドメインのトラフィックを詳細に把握できる集計レポートを毎日受け取ることができます。これは、あなたのドメインを通じて電子メールを送信しようとしたIPアドレスのリストで構成されています。
フォレンジックレポート(RUF)
フォレンジックレポートは、お客様のドメインからの電子メールの配信に失敗した直後に送信されます。RUFレポートには、常にオリジナルのメッセージヘッダーが含まれ、オリジナルのメッセージで構成されることもあります。
最初のモニタリングの段階ではNone policyに留まり、パフォーマンスに影響を与えることなくメールの流れを理解することができます。
ステップ2:DMARCレポート分析
Noneポリシーを使用する場合、メール送信ドメインのSPFおよびDKIMレコードを設定し、最適なメールセキュリティを確保します。一方、どのDKIMセレクタが使用されているか、どの送信者があなたのドメインからメールを送信しているかを知るために、受信したすべてのレポートを注意深く監視することに専念してください。また、認証チェックに合格したメールと不合格になったメールの割合もレポートされます。
また、DNSルックアップの10回制限内であることを忘れないでください。仕組みを削除するのが面倒な場合は SPFフラット化を使えば、SPF PermErrorを即座に軽減し、SPF 10ルックアップの制限を受けないようにすることができます。
送信者ごとに異なるDKIMセレクタを使うことを省略せず、使用中のセレクタだけを含める。これとは別に、DKIMキーは安全に保管し、定期的に変更しましょう。
ステップ3:「検疫」に切り替える
SPFとDKIMを適切に設定した後、「なし」ポリシーから「検疫」ポリシーに移行することができます。これを実施すると、受信者のメールボックスは、あなたのドメインから送信された認証されていないすべてのメールをスパムフォルダにリダイレクトします。
隔離」ポリシーに移行するタイミングかどうかを確認するためには、認証に失敗しているメールの割合を確認する必要があります。プロモーションメールのごく一部が認証に失敗した場合にのみ、ポリシーを切り替えましょう。検疫ポリシーを実施する心構えは、ドメインによって異なる場合があります。
さらに、パーセンテージタグの恩恵を受け、まずはpctタグを5または10%に設定します。そうすれば、認証されていないメールのうち、5~10%だけがスパムにリダイレクトされることになります。その後、徐々にパーセンテージを上げていけばいいのです。
ステップ4:最後に、「拒否」に切り替えます
完全に「隔離」ポリシーに切り替えて、迷惑メールと判定されるメールが少なくなったら、「拒否」ポリシーに切り替えてもよいでしょう。適切に実施されれば、メールの流れや配信性を阻害することはありません。拒否」ポリシーは、認証されていないメールが受信トレイに入るのを全面的にブロックすることを忘れないでください。
重要な会話がまだスパムフォルダに入っている場合は、拒否ポリシーに切り替える準備ができていません。その代わりに、隔離の場合と同じように、わずかな割合でポリシーを適用することで、スムーズに移行することができます。重要なメッセージのほとんどが目的の受信トレイに届いていることが確認できたら、100%実施に移行することができます。
Reject Policyは常に最も効率的な選択なのか?
どんなに慎重にレコードを認証しても、有効なソースすべてで100%のDMARCコンプライアンスを達成できるドメイン所有者はごくわずかです。100%拒否ポリシーを実施すると、重要なメッセージの一部が不達になる可能性もあります。しかし、明るい面では、なりすまし、フィッシング、悪用から完全に保護することができます。
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日
- PowerDMARCとZendata、ドメイン・セキュリティ強化のためのパートナーシップを締結- 2024年4月25日
- PowerDMARC、中東における電子メールセキュリティの実践を推進するためCNSと提携- 2024年4月24日