DMARCの脆弱性

DMARCレコードを正しく設定すると、さまざまなメリットがあります。メールセキュリティの新しい領域であり、ドメイン所有者にメール送信元やパフォーマンスに関する豊富な情報を提供します。DMARCの脆弱性とは、プロトコルを実装する際、またはそれを実施する際に、ユーザーが犯す非常に一般的なエラーのことを指します。

メール認証システムの脆弱性には、間違った構文のような単純なエラーから、より複雑なエラーまで様々なものがあります。いずれにせよ、これらの問題をトラブルシューティングし、プロトコルを正しく設定しない限り、メールセキュリティの取り組みが無効となる可能性があります。 

メール認証の過程で遭遇する可能性のある脆弱性を分析する前に、いくつかの基本的な概念について簡単に説明します。それらは

  1. メール認証とは何ですか?
  2. DMARCはどのようにメールを認証するのですか?
  3. DMARCの脆弱性がお客様のメッセージデリバリに与える影響について

メール認証とは何ですか?

サイバー犯罪者は、電子メールの通信を傍受したり、ソーシャルエンジニアリングを利用して、無防備な被害者から金銭的な利益を引き出すことができます。 

電子メール認証とは、ドメイン所有者が自分のドメインから送信された電子メールの正当性を確立するために設定できる特定の検証システムのことである。これは、メッセージ本文に配置されたデジタル署名、Return-pathアドレスの検証、および/または識別子のアライメントによって行うことができます。 

認証チェックで正当性が確認されると、メールは受信者の受信箱に落とされる。 

DMARCはどのようにメールを認証するのですか?

企業がユーザーにメッセージを送信する際、メールは送信サーバーから受信サーバーへと移動し、配信の旅を完了します。このメールには、Mail From: というヘッダーがあります。このヘッダは、メールの送信元メールアドレスを表示する可視ヘッダであり、Return-pathヘッダは、メールの送信元メールアドレスを表示する可視ヘッダです。は、Return-pathアドレスを含む隠しヘッダーです。

攻撃者は、会社のドメインを偽装して同じドメイン名からメールを送信することはできますが、Return-pathアドレスを隠すことははるかに困難です。 

この怪しいメールを見てみましょう。

メッセージに関連するメールアドレスは、[email protected]から来ているようですがとは全く関係のないアドレスであることがすぐにわかります。 カンパニー・ドット・コムという、未知のドメインから送信されたものです。

このバウンスアドレス(別名:リターンパスアドレス)は、メール受信サーバーが、送信者の SPFレコードを検証します。送信者のDNSに、送信されたメールのIPと一致するIPアドレスが含まれている場合、SPF、ひいてはDMARCは通過しますが、そうでない場合は失敗します。送信ドメインによって設定されたDMARCポリシーに従って、メッセージは拒否、隔離、配信されます。

あるいは、DMARCは、以下のようなチェックも行います。 DKIMの識別子のアライメントを確認し、電子メールの真正性を検証します。

DMARCの脆弱性がお客様のメッセージデリバリに与える影響について

メッセージがクライアントに届く確率は、プロトコルをいかに正確に設定したかに大きく依存します。組織のメールセキュリティ体制に既存の脆弱性がある場合、メッセージが配信される可能性は弱まります。 

DMARC認証システムの抜け穴の明確な兆候は、以下の通りです。

  • メール配信の問題点
  • 正当なメッセージがスパムと判定される 
  • オンラインツール使用時にDMARCのエラーメッセージが表示される 

DMARCの脆弱性の種類 

DMARCの脆弱性その1:DNSレコードの構文エラー

DMARCレコードは、電子メール受信MTAに特定の指示を指定するメカニズムをセミコロンで区切ったTXTレコードです。以下はその例です。 

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100。

区切り記号(;)などの細かい部分は、記録が有効かどうかを判断するのに重要な役割を果たすため、見過ごすことはできません。このため、推測を排除するために、私たちは無料の DMARCレコードジェネレーターツールを使って、あなたのドメインの正確なTXTレコードを作成してください。

DMARCの脆弱性2:DMARCレコードが見つからない/DMARCレコードが見つからない脆弱性

ドメイン所有者は、オンラインツールを使用しているときに、自分のドメインにDMARCレコードがないことを促すメッセージにしばしば出くわすことがあります。これは、DNSに有効なレコードが公開されていない場合に発生する可能性があります。 

DMARCは、フィッシングやドメイン偽装など幅広い攻撃からドメインや組織を保護するのに役立ちます。脅威の主体が電子メール通信をあらゆる段階で傍受しようとするデジタル世界に生きる私たちは、これらの攻撃を阻止するために注意を払い、予防策を実施する必要があります。DMARCは、より安全な電子メール環境を促進するために、そのプロセスを支援します。

を修正するための詳細な記事を取り上げました。 DMARCレコードが見つからないの脆弱性については、リンクをクリックすることで参照することができます。

DMARCの脆弱性その3。ポリシー未設定:監視のみ

ユーザーの間でよく誤解されているのは、DMARCポリシーをp=noneに設定すれば、攻撃からドメインを守るのに十分だということです。実際には、拒否/隔離のポリシーを強制することだけが、スプーフィングに対する防御を強化するのに役立ちます。 

しかし、保護を強制することなく、電子メールチャネルを監視したいだけであれば、緩和されたポリシーは有益である。しかし、確信が持てたら、p=rejectに素早く移行することをお勧めします。 

これは、ほとんどのユーザーがDMARCを導入することで、より高度な攻撃防御を得られるという判断から、DMARCの脆弱性カテゴリに分類しています。そのため、強制力がゼロのポリシーは、彼らにとって何の価値もない可能性があります。

DMARCの脆弱性その4:DMARCポリシーが有効になっていない

前回の脆弱性と同様に、このエラーメッセージは、DMARCのポリシーが施行されていないことが原因であることが多いです。もし、ポリシーを適用しない設定にしていて、フィッシング攻撃に対して脆弱なドメインになっている場合は、できるだけ早くp=reject/quarantineに移行することが推奨されます。そのためには、既存のDNSレコードに少し手を加えるだけで、ポリシーモードを変更し、アップグレードすることができます。 

を解決する方法について、詳細なドキュメントを取り上げました。 DMARCポリシーが有効でないが表示されます。

DMARCの脆弱性をリアルタイムでトラブルシュートする

これらの問題を解決するために、あなたの組織で次のステップを実施することを検討してください。

  1. 許可されたメール送信元をすべてリストアップし、DMARC監視ツールを設定して、毎日または時々、送信元を追跡する。
  2. メールベンダーがメール認証をサポートしているかどうかを確認する。
  3. SPF、DKIM、DMARCについて詳しく学んでから、次のステップに進んでください。
  4. SPFレコードに以下の項目がないことを確認してください。 SPFパーメラSPFフラット化ツールの導入により
  5. DMARCの専門家による洞察とガイダンスで、プロトコルの導入プロセスをシームレスにするために、ご登録ください。 無料DMARCアナライザー.リアルタイムに脆弱性や攻撃を検知し、安全にp=rejectに移行することができます。

ドメインを保護することは、あなたの評判を守り、信用を維持するための原初的なステップの一つです。今すぐ、メールセキュリティをセキュリティ体制の一部に組み込んでください。