DMARCルール

メール認証に初めて触れる方や DMARCアナライザーを初めて使用する場合、いくつかのDMARCルールに従うことが必要であり、これは電子メール認証の旅において画期的な変化となる可能性があります。最も基本的なルールをまとめると、以下のようになります。

1.認証なしを許可するポリシーは使用しないでください

4.あなたのドメインにもSPFレコードを設定してください。

5.ドメインのDKIM署名の設定

ここでは、DMARCのルールをより深く掘り下げ、他のルールと合わせて、認証インフラ全体の強化に役立てましょう。 

DMARCって聞いたことあるけど、何?

DMARCとは、Domain-based Message Authentication, Reporting & Conformanceの略で、ドメインベースのメッセージ認証、レポート、適合性のことです。メールセキュリティのプロトコルで、メールを配信する前に認証を行うことで、ドメインの偽造を最小限に抑えることができます。メールの送信者が本人であることを確認することで、フィッシング攻撃などのメール攻撃を防ぐことを目的に作成されました。

DMARCはどのように使うのですか?

簡単です。まず、ドメインのDNSレコードを設定して、DMARCを使用することを示します。すると、誰かがDMARCを使わずにあなたのドメインからメールを送ろうとした場合、そのドメインに関連付けられた公開鍵を持っていない限り、メールを送ることができなくなります(これは、承認されている場合のみ可能です)。これにより、正当なメールだけが受信者の受信箱に届くようになり、同時に、ネットワーク外から来たメッセージに対する通知を設定することもできるようになります。

その仕組みは次の通りです。 

  • 送信者が設定する DMARCレコードを設定し、DNSレコードでDKIM署名(オプションだが推奨)を有効にします。
  • そのドメインからメールが送信されると、どのような設定がなされたかという情報を持つヘッダが含まれる。このヘッダーは、Gmailなどの受信者が、メッセージが期待される形式に従って送信されたかどうかを確認するために使用することができます。 
  • これらの設定に問題がある場合、送信者が意図的に行ったかどうかによって、失敗またはソフト失敗のフラグが立てられます。

DMARCの魅力は、設定がとても簡単なことです。

企業のためのDMARCルール入門 

を設定する場合 DMARCポリシーを設定する場合、守るべきルールがいくつかあります。ここでは、最も重要なDMARCルールのトップ5を紹介します。

  1. ポリシーはTXTレコードである必要があり、お客様のDNS上で公開されている必要があります。DNSにTXTレコードがない場合は、プロトコルを実装していないことになります。
  2. 認証されていないメッセージをブロックしたい場合は、ポリシーをp=rejectまたはp=quarantineにする必要があります。 
  3. 複数のポリシーを使用していて、それぞれに異なる認証レベルを設定している場合(「私のブランド」と「私の組織」のように)、すべてのポリシーに固有のSPFレコードとDKIM署名があることを確認してください!そうしないと、すべてのポリシーが1つのルールにまとめられてしまい、うまく同期できません。そうしないと、1つのルールにまとめられてしまい、うまく同期できなくなります。
  4. また、DMARCでは、お客様のドメインにSPFレコードやDKIMレコードを設定することが義務付けられています。このルールは、DMARCを使用しない場合でも必須です。これは、攻撃者が他人のメールアドレスやドメイン名を使用して、正規の送信元からのメールに見せかけたフィッシングメールを送信するスプーフィング攻撃を防止するのに役立つからです。
  5. DMARCのもう一つの重要なルールは、お客様のメールアドレスを含むDMARCレコードを公開し、他の組織がこのシステムを使用してお客様のメールに関する問題を報告できるようにすることです。これは、DMARCレポートと呼ばれています。 

保護強化のためのDMARCルールの追加

  1. パークドメイン(非稼働ドメイン)も攻撃者になりすまされる可能性があるため、DMARCポリシーの設定を検討してください。 
  2. 同じドメインに複数のSPFレコードやDMARCレコードを設定することは、厳に慎まれるべきです。1つのドメインには、SPFとDMARCのレコードを1つだけ設定する必要があります。ただし、同じドメインに複数のDKIMレコードを設定し、定期的なキーローテーションを行うことで、より高い保護を実現することができます。  
  3. サブドメインに対して別の実施モードを実装する場合を除き、サブドメイン用のポリシーの設定は省略できます。これは、メインドメインのDMARCポリシーがサブドメインに自動的に継承されるためです。 
  4. DMARCレポートを自分のドメイン外(自分のドメインの範囲に含まれない外部のメールアドレス)で受信したい場合は、外部ドメイン認証を有効にして、外部ドメインがこれらのレポートを受信することに同意することをサーバーに伝える必要があります。 
  5. 最後に、DMARCは銀の弾丸ではなく、すべての攻撃から身を守るものではないことに留意することが重要です。セキュリティを強化するためには、DMARCと同時に信頼できるアンチウイルスとファイアウォールを導入する必要があります。 

認証プロセスのどの段階で、このDMARCルールを実装すべきでしょうか?

これから始める方は、認証プロセスの最初の段階で、上記のDMARCルールをすべて遵守する必要はありません。例えば、p=rejectのポリシーで始めると、配信が複雑化する可能性があります。例えば、p=rejectのポリシーで始めると、配信が難しくなる可能性がありますし、noneのポリシーで始めて、メールチャネルを監視してから、実施することをお勧めします。

ここで、少し複雑な問題が発生します。あなたとあなたのビジネスに最適なペースを決定することが重要です。まずは、プロトコルを完全に制御できるように、緩やかなポリシーを導入することから始め、その後、実施に踏み切るようにしましょう。