重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む
PowerDMARC

DMARCとSPFの比較

Ahona Rudra
DMARCとSPFの比較
読書時間 5

電子メールのセキュリティは、技術の進化のおかげで、以前ほど単純ではありません。電子メールのセキュリティは、フィッシング攻撃、電子メールのなりすまし、マルウェアの配布、暗号化の欠如、ヒューマンエラー、認証技術の複雑さなどの課題に直面しています。これらの問題は、データ漏洩、プライバシー侵害、システム侵害につながる可能性があり、強固な認証、ユーザー教育、高度な脅威検知、暗号化、効果的なインシデント対応策を含む多層的なアプローチの必要性を強調しています。

DMARCとSPFの違いについてよく知らないという方のために、DMARCとSPFの違いについて説明します。メール認証の初心者の場合、DMARCやSPFといった漠然とした用語に出会ったことがあり、どちらを選ぶのがベストなのか理解したいと思うかもしれません。

SPFとDMARCの違いは何ですか? 

Sender Policy Framework、別名SPFは、顧客に代わってメールを送信することを許可されたIPアドレスのリストをキャッシュすることができます(RFC 4408)。一方、DMARCは、認証に失敗した電子メールのポリシーを指定するのに役立ち、ドメイン所有者が実装したセキュリティ・プロトコルの厳格さを制御するのに役立ちます。とはいえ、DMARCとSPFについて詳しく説明しましょう。 

SPF:ドメインの送信者を認証する

SPFは、送信サーバーがドメインに代わってメールを送信することを許可されていることを確認します。SPFは、あなたのドメインに代わってメッセージを送信することを許可されているIPアドレス/ドメインのVIPゲストリストを持つ、あなたの個人的なゲートキーパーであると考えてください。送信者がこのチェックリストに記載されていない限り、メッセージの検証は失敗します。

DMARC:アライメントとフィードバックループ

DMARCSPFつまり、メールを拒否するか、隔離するか、配信するかを決定します。DMARCはまた、ドメイン所有者に配信可能性の問題を知らせるフィードバックループも提供します。

SPFを導入しましたが、DMARCはまだ必要ですか?

SPFは、ドメイン所有者に配信失敗やなりすましの報告を送る仕組みを提供していない。そこでDMARCの出番となる。ドメインに対してDMARCレポートを有効にすると、SPF認証結果(配信失敗やなりすまし試行を含むが、これに限定されない)に関する通知を受け取ることができるようになる。これは重要な機能であり、以下の機能を追加する必要があります。 メールセキュリティドメインにSPFのみを導入している場合でも、メールセキュリティスイートには欠かせない重要な機能です。

ドメインの監視は、メールのパフォーマンスに関する情報を処理し、メールマーケティングキャンペーンの成功率を測定するのに役立ちます。また、攻撃への迅速な対応や不審な送信者アドレスのブラックリスト化にも役立ちます。 

SPFスタンドアローンの限界

SPFとDMARCは連携して、電子メールのなりすましやフィッシング攻撃を防ぐのに役立ちます。しかし、SPFとDMARCにはそれぞれ制限があり、単独で使用するとメール通信全体のセキュリティに影響を及ぼす可能性があります。そのいくつかを見てみましょう:

  1. 限定的な保護:SPFだけでは、送信者のIPアドレスが特定のドメインを代表してメールを送信することを許可されているかどうかをチェックすることによって、ドメイン・スプーフィングから保護することしかできません。しかし、メールの内容やメッセージの整合性など、他のメール認証の側面には対応していません。
  2. ドメインの整列の問題:SPFは、メールヘッダの "From "アドレスと "Return-Path "アドレスが一致しているかどうかを検証しない。このズレを攻撃者が悪用することで、フィッシングメールをより正当なものに見せかけることができる。
  3. レポートと可視性の欠如:SPFにはレポート機能がないため、SPFチェックに失敗したメールに関する情報を受け取ることができません。このような可視性の欠如により、ドメインに対する潜在的な問題や攻撃を特定することが難しくなります。
  4. ポリシーの実施なし:SPFは単純な仕組みで、あるドメインに対してどのサーバーがメール送信を許可されているかを定義するだけである。SPFチェックに失敗した場合、どのような措置を取るかは規定されていない。DMARCがなければ、ポリシーの強制はなく、受信者はSPFの失敗を異なる方法で扱うかもしれないし、まったく扱わないかもしれない。

DMARC、SPF、DKIM:正しい組み合わせの選択 

DNSにDKIMレコードがなくても、DMARCレコードを発行することは可能です。というのも、DMARCに準拠したメールとみなされるためには、SPFまたはDKIM認証のどちらかをパスする必要があり、両方をパスする必要はないからです。DKIMレコードがない場合、受信MTAはメッセージの信頼性を決定するSPFアライメントのみをチェックし、DKIMはすべてのメッセージに対して自動的に失敗します。

しかし、これは理想的な状況ではありません。その理由を見てみましょう。

電子メールの転送に関する問題の解決

転送メールの場合、メッセージは受信者の受信箱に届く前に、中間のサーバーを通過します。このサーバーは、あなたのドメインのSPFレコードに含まれていない可能性のある別のIPアドレスを持っています。そのため、転送されたメールは受信者側のSPFを壊してしまうのです。

もし DKIMレコードがない場合、SPFに失敗すると実質的にDMARCに失敗することになります。拒否するように設定されたポリシーでは、メーリングリストを通じて送信された正当なメールは、受信者にまったく届きません。このような理由から、SPFとDKIMの両方をドメインに実装し、両方のプロトコルにメールを合わせることでDMARCの完全なコンプライアンスを得ることが、スムーズな配信を保証するためのより良い方法なのです。

SPFとDMARCが偽陰性を減らす

SPFとDMARCはどちらも、正当なメールがスパムとしてマークされたり、受信拒否されたりするのを防ぐのに役立ちます。メールがSPFとDMARCのチェックを通過すると、意図した受信者の受信トレイに届く可能性が高くなり、誤検出(正当なメールが誤ってスパムとして扱われること)の可能性が減少します。

DMARCは、SPFのサポートにより、正当な送信元から来たように見せかけ、受信者を欺こうとするなりすましメールや詐欺メールを識別し、ブロックするのに役立ちます。これにより、偽陰性(悪意のあるメールが正規のものとして誤って扱われること)の可能性が減少します。

DMARCは認証結果に基づいてポリシーを実施する。

DMARCが実装されると、DKIMやSPFのチェックに失敗したメールをどう処理するかを受信メールサーバーに伝えます。ドメイン所有者は、認証に失敗したメールを隔離または拒否することを選択できるため、これは、偽の否定が隙間をすり抜ける可能性を低減します。

SPFとDMARCはどのように連携してメールセキュリティを強化するのか?

SPFとDMARCは、相互補完的な保護レイヤーを提供することにより、電子メール認証を強化するために連携します。SPFは送信サーバーの認証を検証し、DMARCは組み合わされた認証結果に基づいてポリシーを実施する。 

DMARCを適切に設定・実装することで、なりすましやフィッシングを防止し、メールコミュニケーション全体のセキュリティを高めることができます。SPFは送信者の正当性を保証し、DMARCは不正なメールが受信者に届かないようにするポリシーエンフォーサーとして機能します。

SPFとDMARCを連携させることで、メールベースの攻撃に対する強力な防御が実現します。この連携により、誤検知を最小限に抑え、メール認証を強化することができるため、悪意のある行為者がメールを介してフィッシングやなりすましなどのサイバー脅威に関与することがより困難になります。

DMARCとSPFの強力な組み合わせ 

DMARC対SPFの議論をまとめると、我々の推奨は、まずSPF用のTXTレコードとDMARCレコードを公開し、ポリシーをゼロに保ちつつ、集計レポートを可能にすることである。こうすることで、転送されるメールの量やメーリングリスト経由で送信されるメールの量を把握することができます。なし」のポリシーは、メールの配信可能性には影響しませんが、ドメインを効果的に監視することができます。

しかし、差し迫ったフィッシング攻撃やなりすましに対する防御を強化するためには、DMARCのより強制的なポリシー(p=reject/quarantine)が必要です。SPFの実装だけではメール詐欺に対する防御にはなりません。 DMARCポリシーが不可欠です。

DMARCソフトウェアソリューションの利点

PowerDMARCの DMARCレポートアナライザーを使用することをお勧めします。これにより、以下のことが可能になります:

無料体験 15日間無料トライアル今すぐプラットフォームをお試しください!

最新記事 by Ahona Rudra(全て見る)
モバイル版を終了する