2022年に守るべきDMARCのルールトップ10

ブログ

2022年、メールのなりすまし防止を最大化する認証の旅を飛躍させるDMARCルールトップ10のリストです。

byアホナ・ルドラ

読書時間 5
2022年に守るべきDMARCのルールトップ10
目次-

メール認証と DMARCアナライザーDMARCアナライザーを初めて使う場合、今日から守るべきDMARCルールがいくつかあります。最も基本的なルールをいくつか要約します:

1.認証を許可しないポリシーを使用しない

4.あなたのドメインにもSPFレコードを設定してください。

5.ドメインのDKIM署名を設定する

それでは、認証インフラ全体を強化するために、これらのDMARCルールとその他のルールを掘り下げてみましょう。

主なポイント

  1. 認証を許可しないポリシーの使用は避けるべきである。
  2. SPFレコードは、あなたのドメインを検証し、なりすましを防ぐために不可欠です。
  3. 電子メールの完全性と信頼性を確保するために、DKIM署名の実装を推奨します。
  4. DMARCレコードの発行は、電子メール認証に関連する問題を報告するために重要です。
  5. 包括的なセキュリティのためには、DMARCを補完する信頼できるアンチウイルスとファイアウォールが必要である。

DMARCについては誰もが耳にしたことがあるだろう。

DMARCとは、Domain-based Message Authentication, Reporting & Conformanceの略です。DMARCは、ドメイン偽装を最小限に抑えるために、メールが配信される前に認証されることを保証する電子メールセキュリティプロトコルです。DMARCは、メールの送信者が本人であることを確認することで、フィッシング攻撃やその他のメール攻撃を防ぐことを目的として作成されました。

PowerDMARCでDMARCを簡素化!

15日間のトライアルデモを予約する

DMARCはどのように使うのですか?

簡単です!まず、ドメインのDNSレコードにDMARCを使用するように設定します。すると、誰かがDMARCを使用せずにあなたのドメインからメールを送信しようとした場合、そのドメインに関連付けられた公開鍵を持っていない限り、メールを送信することができなくなります。これにより、正当なEメールのみが受信者の受信箱に届くことを保証すると同時に、ネットワーク外から来たメッセージの通知を設定することも可能になります。

そのプロセスは以下の通りだ: 

  • 送信者は DMARCレコードを設定し、DNSレコードでDKIM署名(オプションだが推奨)を有効にする。
  • そのドメインからメールが送信されると、どのような設定が使われ、どのような設定にされたかという情報を持つヘッダーが含まれる。このヘッダーは、Gmailなどの受信者が、メッセージが期待されたフォーマットに従って送信されたかどうかをチェックするために使用することができます。 
  • これらの設定のいずれかに問題がある場合、送信者の意図的なものであるかどうかによって、不合格またはソフト不合格のフラグが立てられます。

私たちがDMARCを気に入っている理由のひとつは、設定がとても簡単なことです!

企業向けDMARCルール入門 

DMARCポリシーを設定するとき DMARCポリシーDMARCポリシーを設定する際、従うべきルールがいくつかあります。ここでは、最も重要なDMARCルールのトップ5を紹介します:

  1. ポリシーはTXTレコードでなければならず、DNSで公開されていなければなりません。DNSにTXTレコードがない場合は、プロトコルを実装していないことになります。
  2. 認証されていないメッセージをブロックしたいのであれば、ポリシーはp=rejectかp=quarantineにすべきです。 
  3. 複数のポリシーを使用し、それぞれに異なる認証レベル(「私のブランド」と「私の組織」のように)を設定している場合、それらがすべて固有のSPFレコードとDKIMシグネチャを持っていることを確認してください!そうしないと、1つのルールにまとめられてしまい、うまく同期できません。
  4. DMARCはまた、あなたのドメインにSPFおよび/またはDKIMレコードを設定する必要があります。このルールは、DMARCを使用したくない場合でも必須です。これは、攻撃者が他人のメールアドレスやドメイン名を使用して、正規の送信元ではないフィッシングメールを送信することができるなりすまし攻撃を防ぐのに役立つからです。
  5. もう1つの重要なDMARCルールでは、あなたのメールアドレスを含むDMARCレコードを公開し、他の組織がこのシステムを使用してあなたのメールに関連する問題を報告できるようにする必要があります。これらはDMARCレポートとして知られています。 

保護強化のための追加DMARCルール

  1. パークドメイン(非アクティブドメイン)であっても、攻撃者になりすまされる可能性があるため、DMARCポリシーの設定を検討してください。 
  2. 同じドメインに複数のSPFレコードやDMARCレコードを設定することは厳禁です。1つのドメインには、SPFレコードとDMARCレコードを1つだけ含めるべきです。ただし、同じドメインに複数のDKIMレコードを設定し、定期的なキーローテーションを行うことで保護を強化することは可能です。  
  3. サブドメインに対して異なる実施モードを実装したい場合を除き、サブドメインのポリシーの設定は省略できます。メインドメインのDMARCポリシーはサブドメインに自動的に継承されるからです。 
  4. 自分のドメイン外(自分のドメインの範囲内にない外部メールアドレス)でDMARCレポートを受信したい場合は、外部ドメイン認証を有効にして、外部ドメインがレポート受信に同意していることをサーバーに伝える必要があります。 
  5. 最後に、DMARCは銀の弾丸ではなく、すべての攻撃からあなたを守るものではないことに注意することが重要です。DMARCとともに信頼できるアンチウイルスやファイアウォールを導入し、セキュリティを強化する必要があります。 

認証プロセスのどの段階で、これらのDMARCルールを実装すべきでしょうか?

DMARCを始めたばかりであれば、認証プロセスの最初の段階で上記のDMARCルールをすべて遵守する必要はありません。例えば、p=rejectポリシーで始めると、配信が複雑になる可能性があります。DMARCを導入する前に、まずはnoneポリシーでメールチャネルを監視することをお勧めします。

ここで少しややこしくなる。あなたとあなたのビジネスに最適なペースを決めることが重要です。プロトコルを完全に管理できるように、緩やかなポリシーを導入することからゆっくり始め、強制執行を選択する準備が整うまで待つ。

最新記事 by Ahona Rudra(全て見る)
PowerDMARCは、Hamdan Bin Mohammed Smart Universityのメールセキュリティの克服を支援...PowerDMARCがHamdan Bin Mohammed Smart Universityのメールセキュリティの課題克服に貢献トラステッドアークシールとはTrusted ARC Sealとは何ですか?