DMARCに関連付けるべきパラメータは?

by

最終更新日:
5 読了時間:5分
DMARCに関連付けるべきパラメータは?

Eメールは最も一般的に使われているコミュニケーション手段のひとつです。しかし、ハッカーやスパマーの攻撃を受ける可能性が高いです。そのため SPF, DKIMそしてDMARCを実装することで、メールの会話を保護し、脅威によるメールの乗っ取りを防ぐことができます。このブログでは、DMARCの導入に役立つDMARCパラメータについて説明します。

主なポイント

  1. SPFとDKIMを備えたDMARCの導入は、なりすましやフィッシング攻撃からメール通信を保護するために不可欠です。
  2. DMARCの3つのポリシー(none、quarantine、reject)は、認証されていない電子メールが受信者のメールボックスでどのように処理されるかを定義します。
  3. モニターポリシー(p=none)を使用することで、DMARC導入の初期段階において、配信に影響を与えることなく電子メールのアクティビティを分析することができます。
  4. 検疫ポリシー(p=quarantine)は、フィッシングの疑いがあるものをスパムフォルダーに振り分け、さらに検査するようメールサーバーに指示します。
  5. 拒否ポリシー(p=reject)は、未承認のメールが受信者の受信トレイに届かないようにすることで、最高レベルのセキュリティを提供します。

DMARCとは何ですか?

どのようなパラメータをDMARCと関連付けるべきかを理解するためには、まずDMARCとは何か、どのように機能するかを知る必要があります。

DMARCとは、Domain-based Message Authentication Reporting and Conformanceの略です。DMARCは電子メール認証プロトコルで、電子メール認証プロセスに関する特定のセキュリティ・ポリシーを作成し、公開することができます。DMARCは、あなたの公式ドメインから送信された認証されていないメールをどのように扱うかを受信者のメールボックスに指示します。

PowerDMARCでセキュリティを簡素化!

DMARCはどのように機能するのですか?

DMARCは、SPFおよびDKIMとともに実装される。ドメイン所有者はDMARC DNSレコードを作成し、DNSプロバイダーに公開します。電子メールがそのドメインから送信されると(あなたやあなたの従業員、またはサイバー犯罪者のいずれかによって)、受信者のメールサーバーは、ドメインがDNSにDMARCレコードを公開しているかどうかをチェックすることにより、その真正性を検証します。

これとは別に、受信者のサーバーはDKIMとSPFのチェックを行い、送信者が実際に本人であるかどうかを知ることができます。以下のようなチェックが行われます。

  • メッセージに有効な DKIM シグネチャ?
  • 送信者のIPアドレスがSPFレコードの認可された送信者と一致する場合?
  • メッセージヘッダーはドメインアライメントのテストに合格しているか?

SPFとDKIMの結果が出たら、メールサーバーはポリシーを適用します。最後に、DMARC Aggregate Reportというレポートが、レポート受信用に指定されたメールアドレスに送信されます。

DMARCポリシー

DMARCの主要なパラメータの1つである は、3つのDMARCポリシーである。しばらく監視してから、あなたのドメインから送信された認証されていないメールを受信者のメールボックスがどのように扱うかを決めることができます。以下は、3つのポリシーです。

モニターポリシー:p=none

これは DMARCポリシーは、DMARCレコードのruaまたはrufタグに記載されたアドレスにレポートを配信するようメールサーバーに指示します。これは、メールチャネルのアクティビティを分析するために、DMARCコンプライアンスの初期段階で実装されるモニタリング専用ポリシーと呼ばれています。

DMARCは、電子メールチャネルに関する洞察を提供しますが、DMARCチェックに失敗した電子メールをどのように扱うかは、受信サーバーには指示しません。 

検疫ポリシー:p=quarantine

このDMARCレコードパラメータは、DMARC認証に失敗したメールをスパムフォルダに入れるよう受信サーバーに指示します。認証テストに合格したメールは受信トレイに入ります。これにより、誤ってフィッシングメールを宛先にしてしまう可能性を最小限に抑えることができますが、そのような悪意のあるメールは迷惑メールフォルダに振り分けられます。

拒否ポリシー:p=reject

p=reject DMARCパラメータ は、DMARC認証チェックに失敗したメールの入力を完全に拒否するようにメールサーバに指示します。合格したメールはすべて受信トレイに配信されます。しかし、偽の不合格が発生する可能性もあり、有意義で本物のメールも時には意図した受信者に届かないことがあります。

DMARCタグの種類とその役割

DMARCタグは、DMARCパラメータの側面を指定するものであり、そのすべてが重要で使用されるわけではありません。 そのすべてが他のものほど重要であり、使用されるわけではありません。それらは3つのカテゴリーに分けられます。

  • 必須:これらは必須のタグです。すべてのDMARC TXTレコードは、必須の「v」またはバージョンタグで始まり、その値を「DMARC1」として追加しなければなりません。
  • オプションだが推奨:これらのタグを追加する必要はありませんが、レポートを作成するのに役立ちます。
  • オプション:これらのタグは完全に省略することができます。

DMARCタグの機能

DMARCレコードのパラメータとして重要なタグは全部で11個あり、そのうち "v "と "p "タグは必須です。それぞれのタグはどのような機能を持つのでしょうか。

DMARCタグ名 タイプ 機能
v (バージョン) 必須 このDMARCタグは、バージョンを指定します。現在のところバージョンは1つだけなので、v=DMARC1として固定されています。
P 必須 DMARC パラメータは、DMARC ポリシーモードを示す。認証チェックに失敗したメールを報告、隔離、拒否するよう受信機に指示します。 
adkim オプション DKIMアライメントモードの略です。この値は Strict (s) または Relaxed (r)です。

リラックスモードでは、検証されたDKIMレコードのアドレスがドメインd=sample.comで、送信者の電子メールアドレスがカテゴリー[email protected] の場合、検証は合格と表示されます。 

strict モードでは、sample.com ドメインのアドレスから送信されたメールは、検証の結果、合格と表示されます。サブドメインの場合は、検証に失敗します。

aspf オプション このDMARCパラメータは、SPFアライメントモードを表します。値は Strict (s) または Relaxed (r) のいずれかとなります。デフォルトはRelaxed "r "です。
sp(サブドメインポリシー) オプション DMARC sp タグは、サブドメインポリシーを指定します。ポリシーモードはメインドメイン(p)に設定されます。 
フォア オプション DMARC foタグのデフォルト値は0であり、ドメイン所有者が選択できる障害報告オプションに対応します。 

使用可能なオプションは以下の通りです。 

fo=0:メールがSPFとDKIMの両方のアライメントに失敗した場合、DMARCの失敗/フォレンジックレポートが送信されます。

fo=1:メールがSPFまたはDKIMのアライメントに失敗した場合、DMARCの失敗/フォレンジックレポートが送信されます。

fo=d: メールのDKIM署名が検証に失敗した場合、アライメントに関係なく、DKIM失敗レポートが送信されます。

fo=s: アライメントに関係なく、メールがSPF評価に失敗した場合、SPF失敗レポートが送信されます。

ruf (障害報告RUI) オプションだが推奨 DMARCフォレンジックルーフレポートの送信先を指定するものです。現在、DMARCに対応した一部の企業のみが送信しています。
rua(集計レポートRUI) オプションだが推奨 DMARCのパラメータが説明されている間、ruaタグは報告企業が配信しなければならないメールアドレスまたはウェブサーバーを表示します。
rf(報告書形式) オプション このDMARCタグのデフォルト値は「afrf」である。フォレンジックレポートのフォーマットを登録します。
pct オプション デフォルト値は'100'です。このタグは、ポリシーモードが試行される電子メールの割合を示します。

例えば、"pct = 40 "と設定すると、40%のメールをフィルタリングします。

リポート間隔 オプション riタグのデフォルト値は「86400」である。連続する2つのアグリゲートレポート間の時間間隔を秒単位で指定します。 

概要

DMARCパラメータは、ブランド名を騙ったフィッシングやなりすまし攻撃を防ぐために連携して機能します。SPFやDKIMと連動し、DMARCポリシーが適用され、検証チェックに失敗したメールの処理方法を受信サーバーに伝えます。3つのタグは、p=none(不合格メールに対して何もしない)、p=quarantine(不合格メールは受信トレイではなくスパムフォルダに入る)、p=reject(不合格メールは意図した受信者のメールボックスに入ることを完全に禁止する)です。