商業的または専門的なメールキャンペーンを行っていますか?メールのセキュリティと検証のためにDMARCレコードを実装することに興味がありますか?実装する前にDMARCの要件を知りたいですか?
ご存知のように、メールのやり取りを改善し、なりすましメール攻撃からドメインを守るために、DMARC認証スキームを設定することができます。
しかしその前に、DMARCとDMARCの要件について見ておきましょう。
DMARC: 電子メール認証を簡単に
技術標準は DMARCドメインベースのメッセージ認証、報告、適合性)のことで、スパム、スプーフィング、フィッシングからメールの送信者と受信者を保護するのに役立ちます。
DMARCは、フィッシング攻撃を検知・阻止するために使用されるセキュリティプロトコルです。Domain-based Message Authentication, Reporting & Conformance (DMARC)とも呼ばれる。組織は、DMARCを使用して、電子メール認証手順の概要を示すポリシーを公開し、受信側のメールサーバーにその実施方法を指示することができます。
特に、DMARCは、ドメイン保持者が行う方法を作成します。
- メール認証の手順をオンラインに掲載する。
- メール認証チェックに失敗した場合の手順を示す。
- そのドメインからのメールに対して行われた活動を報告できるようにする。
DMARCは本質的な認証標準に準拠しているが、SPFとDKIMは電子メール認証メカニズムではない:SPFとDKIMに準拠しているが、DMARCは電子メール認証メカニズムではない。SMTPには電子メール認証のポリシーを作成または指定するためのツールがないため、SMTPを補完するものである。SMTPは電子メールを送信するための基本的なプロトコルである。
DMARCは何をするのか?
DMARCレコードを利用するメリットについて。
- DMARCは、フィッシング、ドメインスプーフィング、なりすましメール、ビジネスメール詐欺(BEC)などの脅威からお客様や企業を守ります。
- DMARCの実施により、メール送信者のレピュテーションが向上します。
- DMARCは、メールの到達率を徐々に10%ずつ上げていきます。
- ドメインサーバーにDMARCを導入することで、メールが迷惑メールと判定されることがなくなり、開封率が向上します。
さらに、企業は自社のドメインから誰がビジネスメールの送信を許可されているかを簡単に追跡することができます。これにより、不正な行為を避けることができる。どのように?ドメインのDMARCレコードをDNSエントリに公開すると、受信者の受信トレイに配信する前に、すべての受信メールサーバーが受信メールを検証し、正当性を確認します。ただし、DMARCを実装する前に、基本的なDMARCの要件を知っておく必要があります。
DMARC要件の完全なリスト
ここでは、DMARCの記録規定を導入する前に満たしておくべきDMARCの要件について説明します。
- SPF(Sender Policy Framework)による認証
- DomainKeys Identified Mail (DKIM)
SPFとDKIMはどちらもオプションで、単独で使用することも、一緒に使用することもできます。両方を使用する必要はありません。
偽のなりすましや詐欺からあなたとメール受信者を守るために欠かせないのが、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)というコンポーネントです。
-
SPF(Sender Policy Framework)による認証
SPF認証は、メール送信元のドメインがお客様のドメインと同一であることを確認するものです。SPF認証では、DNSのTXTレコードを使用して、お客様のドメインがSPFテストに合格しているかどうかを表示します。
SPFアライメントは、あなたのドメインからのすべての送信メールが、DNSに保存されているあなたのサーバーのアイデンティティと一致する認証子(通常はDKIM署名)を使用して送信されることを保証する方法です。2つのサーバーが通信している場合、一方のサーバーはDKIMを使用してメールを送信できますが、もう一方のサーバーから送信されていると主張することができます。
これは、サーバーに変更を加えることができないはずの誰かが、何らかの設定ミスをしたときに起こります。この場合、一方のサーバーはSMTP経由でメッセージを送信し、もう一方のサーバーはメッセージの到着を確認しますが、その内容や送信元を特定することはできません。
メールがSPFをパスしているというのは、どういう意味ですか?
SPFをサポートするメールサービスプロバイダー(Gmailなど)を利用する。From欄にお客様のドメイン名を入れてメールを送信すると、送信元のマシンのIPアドレスがお客様のドメインに関連する1つ以上のDNSレコードと一致するかどうかが確認される仕組みになっています。
-
- もしそれが何らかのレコードと一致すれば、そのマシンはあなたのドメインに代わってメールを送信することが許可されていることになります。
- どのレコードにも一致しない場合、そのマシンは承認されておらず、あなたのドメインの代わりにメールを送信することは許可されるべきではありません。
-
DomainKeys Identified Mail (DKIM)
DKIMはDMARCの要求事項の一つです。この認証は、電子メールが適切に認証されていることを確認するためのものです。昔、自分の名前が記載された封筒を開けるのと同じようなものですが、今回はデジタルです。
DKIMアライメントとは、あるドメインからメールを送信し、それを別のドメインからのDKIMレコードに一致させることです。このアイデアは、受信者があるドメインからのメールを見たときに、DKIMレコードが別のドメインから来たと主張する場合、受信者はその2つの違いを見分けることができるはずです - 彼らができなかった場合は、トラブルになるかもしれません。
DMARCは、送信者がDKIMやSPFを使ってメールを認証することで、受信者が本物かどうかを判断できるようにする仕組みです。また、SPFやDKIMのツールメーカーが作成したDNSレコードと照合するよう送信者に要求します。
メール配信に問題がある場合、DKIM認証の仕組みに問題がある可能性があります。PowerDMARCの無料の DKIMレコードルックアップとDKIMテスターツールで確認することができます。外出先でDKIMレコードを確認する最も簡単な方法は、弊社のDKIMルックアップツールを使用することです。
-
レポート用のグループまたはメールボックスを設定する
あなたのドメインが送信するメールの量に応じて、様々なDMARCレポートがメールで送られてくるかもしれません。毎日、たくさんのレポートを受け取るかもしれません。大企業であれば、毎日何千通ものレポートを受け取るかもしれません。
DMARCレポートを受信・管理するには、グループまたは特定のメールボックスを設定する必要があります。
-
ドメインホストのログイン情報を取得する
DMARCは、Googleの管理画面ではなく、ドメインをホストしている会社で有効化されます。そのため、ドメインホストアカウントのログイン認証が必要です。
-
認証されたサードパーティメールの確保(Advanced DMARC Requirement)
DMARCは、お客様のドメインからメッセージを受信する際に、疑わしいメールをより効率的に制御することができます。ビジネス目的のメール送信には、サードパーティプロバイダーを活用するなどして、マーケティングメールを管理することができます。
外部のメールプロバイダーから送信されたお客様のドメインの正当なメールが、SPFまたはDKIMチェックを通過しない可能性があります。これらのテストに合格しなかったメッセージは、DMARCポリシーのアクションの対象となる可能性があります。拒否されたり、スパムに転送されたりします。そのため、ドメインのSPFレコードには、プロバイダーが使用する送信メールサーバーのIPアドレスを含める必要があります。
最後の言葉
DMARCを導入する場合、DMARCの要求事項を満たす必要があります。これについては、メールサービスプロバイダーに相談し、組織のメール通信を保護するために必要な手順を踏んでいることを確認してください。メールのセキュリティが向上するだけでなく、メールが正しい受信者に配信されていることを確認することで、顧客との関係を改善することができます。まずは、PowerDMARCにご連絡いただき、無料トライアルをご利用ください。 DMARCトライアル!
- MSPケーススタディ:Hubelia、PowerDMARCでクライアント・ドメインのセキュリティ管理を簡素化- 2025年1月31日
- 2025年のMSP向けDMARCソリューション・トップ6- 2025年1月30日
- データの正確性を維持するための認証プロトコルの役割- 2025年1月29日