Eメールは最も一般的に使われているコミュニケーション手段のひとつだ。しかし、ハッカーやスパマーの攻撃を受ける可能性が高い。そのため SPF, DKIMそしてDMARCを実装することで、メールの会話を保護し、脅威によるメールの乗っ取りを防ぐことができます。このブログでは、DMARCの導入に役立つDMARCパラメータについて説明します。
DMARCとは何ですか?
DMARCに関連付けるべきパラメータを理解するためには、まずDMARCとは何か、どのように機能するかを知る必要がある。
DMARCとは、Domain-based Message Authentication Reporting and Conformanceの略で、ドメインベースのメッセージ認証報告と適合性のことです。DMARCは、電子メール認証プロトコルであり、電子メール認証プロセスに関する特定のセキュリティ・ポリシーを作成し、公開することを可能にします。DMARCは、お客様の公式ドメインから送信された認証されていないメールをどのように扱うか、受信者のメールボックスに指示します。
DMARCはどのように機能するのですか?
DMARCは、SPFおよびDKIMとともに実装される。ドメイン所有者はDMARC DNSレコードを作成し、DNSプロバイダーに公開します。電子メールがそのドメインから送信されると(あなたやあなたの従業員、またはサイバー犯罪者のいずれかによって)、受信者のメールサーバーは、ドメインがDNSにDMARCレコードを公開しているかどうかをチェックすることにより、その真正性を検証します。
これとは別に、受信者のサーバーはDKIMとSPFのチェックを行い、送信者が実際に本人であるかどうかを知ることができます。以下のようなチェックが行われる。
- メッセージに有効な DKIM シグネチャ?
- 送信者のIPアドレスがSPFレコードの認可された送信者と一致する場合?
- メッセージヘッダーはドメインアライメントのテストに合格しているか?
SPFとDKIMの結果が出たら、メールサーバーはポリシーを適用する。最後に、DMARC Aggregate Reportというレポートが、レポート受信用に指定されたメールアドレスに送信される。
DMARCポリシー
DMARCの主要なパラメータの1つである は、3つのDMARCポリシーである。しばらく監視してから、あなたのドメインから送信された認証されていないメールを受信者のメールボックスがどのように扱うかを決めることができます。以下は、3つのポリシーです。
モニターポリシー:p=none
この DMARCポリシーは、DMARCレコードのruaまたはrufタグに記載されたアドレスにレポートを配信するよう、メールサーバーに指示します。これはモニタリング専用のポリシーと呼ばれ、DMARC準拠の初期段階において、メールチャネルの活動を分析するために導入されます。
DMARCは、電子メールチャネルに関する洞察を提供しますが、DMARCチェックに失敗した電子メールをどのように扱うかは、受信サーバーには指示しません。
検疫ポリシー:p=quarantine
このDMARCレコードパラメータは、DMARC認証に失敗したメールをスパムフォルダに入れるよう受信サーバーに指示します。認証テストに合格したメールは受信トレイに入ります。これにより、誤ってフィッシングメールを宛先にしてしまう可能性を最小限に抑えることができますが、そのような悪意のあるメールは迷惑メールフォルダに振り分けられてしまいます。
拒否ポリシー:p=reject
p=reject DMARCパラメータ は、DMARC認証チェックに失敗したメールの入力を完全に拒否するようにメールサーバに指示します。合格したメールはすべて受信トレイに配信されます。しかし、偽の不合格が発生する可能性もあり、有意義で本物のメールも時には意図した受信者に届かないことがあります。
DMARCタグの種類とその役割
DMARCタグは、DMARCパラメータの側面を指定するものであり、そのすべてが重要で使用されるわけではありません。 そのすべてが他のものほど重要であり、使用されるわけではありません。それらは3つのカテゴリーに分けられる。
- 必須:これらは必須のタグです。すべてのDMARC TXTレコードは、必須の「v」またはバージョンタグで始まり、その値を「DMARC1」として追加しなければなりません。
- オプションだが推奨:これらのタグを追加する必要はありませんが、レポートを作成するのに役立ちます。
- オプション:これらのタグは完全に省略することができます。
DMARCタグの機能
DMARCレコードのパラメータとして重要なタグは全部で11個あり、そのうち "v "と "p "タグは必須です。それぞれのタグはどのような機能を持つのでしょうか。
| DMARCタグ名 | タイプ | 機能 |
| v (バージョン) | 必須 | このDMARCタグは、バージョンを指定します。現在のところバージョンは1つだけなので、v=DMARC1として固定されています。 |
| P | 必須 | DMARC パラメータは、DMARC ポリシーモードを示す。認証チェックに失敗したメールを報告、隔離、拒否するよう受信機に指示します。 |
| adkim | オプション | DKIMアライメントモードの略です。この値は Strict (s) または Relaxed (r)です。
リラックスモードでは、検証されたDKIMレコードのアドレスがドメインd=sample.comで、送信者の電子メールアドレスがカテゴリーemail@news.sample.com の場合、検証は合格と表示されます。 strict モードでは、sample.com ドメインのアドレスから送信されたメールは、検証の結果、合格と表示されます。サブドメインの場合は、検証に失敗します。 |
| aspf | オプション | このDMARCパラメータは、SPFアライメントモードを表します。値は Strict (s) または Relaxed (r) のいずれかとなります。デフォルトはRelaxed "r "です。 |
| sp(サブドメインポリシー) | オプション | DMARC sp タグは、サブドメインポリシーを指定します。ポリシーモードはメインドメイン(p)に設定されます。 |
| フォア | オプション | DMARC foタグのデフォルト値は0であり、ドメイン所有者が選択できる障害報告オプションに対応する。
使用可能なオプションは以下の通りです。 fo=0:メールがSPFとDKIMの両方のアライメントに失敗した場合、DMARCの失敗/フォレンジックレポートが送信されます。 fo=1:メールがSPFまたはDKIMのアライメントに失敗した場合、DMARCの失敗/フォレンジックレポートが送信されます。 fo=d: 電子メールのDKIM署名の検証に失敗した場合、アライメントに関係なく、DKIM失敗レポートが送信されます。 fo=s:電子メールのSPF評価に失敗した場合、アライメントに関係なく、SPF失敗レポートが送信されます。 |
| ruf (障害報告RUI) | オプションだが推奨 | DMARCフォレンジックルーフレポートの送信先を指定するものです。現在、DMARCに対応した一部の企業のみが送信している。 |
| rua(集計レポートRUI) | オプションだが推奨 | DMARCのパラメータが説明されている間、ruaタグは報告企業が配信しなければならないメールアドレスまたはウェブサーバーを表示します。 |
| rf(報告書形式) | オプション | このDMARCタグのデフォルト値は「afrf」である。フォレンジックレポートのフォーマットを登録する。 |
| pct | オプション | デフォルト値は'100'です。このタグは、ポリシーモードが試行される電子メールの割合を示します。
例えば、"pct = 40 "と設定すると、40%のメールをフィルタリングします。 |
| リポート間隔 | オプション | riタグのデフォルト値は「86400」である。連続する2つのアグリゲートレポート間の時間間隔を秒単位で指定する。 |
概要
DMARCのパラメータは、ブランド名を騙ったフィッシングやなりすましの攻撃を防ぐのに役立ちます。SPFやDKIMと連動しており、DMARCのポリシーが適用され、検証チェックに失敗したメールをどのように処理するかを受信サーバーに指示します。3つのタグは、p=none(失敗したメールに対して何もしない)、p=quarantine(失敗したメールは受信トレイではなくスパムフォルダに入る)、p=reject(失敗したメールが目的の受信者のメールボックスに入らないように完全にブロックする)です。
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日