重要なお知らせ:GoogleとYahooは2024年2月よりDMARCを義務付けます。

DMARCはどのように機能するのですか?

DMARC(Domain-based Message Authentication Reporting and Conformance)とは、企業のドメインやブランドをなりすまし攻撃から守ることを目的に作られたメール認証プロトコルです。 

攻撃者は、あなたの組織になりすまして、あなたの顧客、ビジネスパートナー、そしてあなたの従業員にさえフィッシングメールを送ることができます。電子メール詐欺は、組織がサイバー犯罪者に機密データと金銭を奪われる最も一般的な方法の1つです。 

DMARCは、受信側のメールサーバーが、受信したメッセージが本物かどうかをチェックする手段として機能することで、ドメイン偽装に対抗するために設計されています。具体的にどのような仕組みになっているのかを説明します。

セキュア・メール・パワー・マーク

DMARCはどのように機能するのですか?

DMARCは、既存の2つの技術を組み合わせて、あなたのドメインから送られてくるメールを認証します。SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)は、DMARCを構成する2つの要素です。両方を見てみましょう。

SPF

このような場合 SPFを実装すると、SPFレコードがDNSに公開されます。受信者は、お客様のドメインからメールを受信すると、送信者のIPアドレスをSPFレコードに格納されている許可されたIPのリストと比較します。受信サーバーが、このリストにないIPからのメールに遭遇した場合、そのメッセージはSPFに失敗します。

SPFは非常に効果的ですが、認証ソリューションとしては不完全であるという制限があります。

PowerDMARC MSSPの違い
  • SPFはIPベースのホワイトリストで、誰かがメールを転送しても、元の送信者の許可されたIPアドレスが含まれていないことになります。
  • SPFはフィードバックを提供しません。DMARCとは異なり、SPF認証に失敗したメールを知る方法はありません。
  • SPFは、受信者がメールを読んだときに表示される「from」ドメインではなく、隠れた「mailfrom」ドメインを認証します。そのため、攻撃者はメールを偽装することができます。 
  • SPF失敗メールは受信者の受信箱に届く可能性がありますが、SPF失敗メールの処理方法は、受信側のMTAによって異なります。 

DKIM

一方。 DKIMはデジタル署名を添付して を許可されたメールに送信することができます。不正な送信者があなたのドメインからメールを送ろうとしたり、メールに手を加えたりすると、受信サーバーはそれを検知してメールの配信を停止することができます。

メッセージがDMARCに承認されるためには、SPFまたはDKIM認証のいずれかに合格する必要があります。もしメールが両方に失敗した場合、サーバーはDMARCポリシーをチェックし、次に何をすべきかを確認します。ポリシーは、DMARCレコードで3つのオプションのいずれかに設定できます:

  • p=none - 認証に失敗したメールでも、受信者の受信箱に配信されます。

  • p=quarantine - 認証されていないメールは、スパムフォルダに入ります。

  • p=reject - DMARCに失敗したメールは、受信者に配信されません。

PowerDMARC MSSPの違い

DMARCを適切に実施するためには、「隔離」または「拒否」のいずれかのポリシーを設定する必要があります。

DMARC認証プロセス

DMARC認証のない電子メールを説明するために、まずDMARCのない電子メールを調べてみましょう。

PowerDMARC MSSPの違い
  • business.comからreceiver.comにメールが送信されます。

  • receiver.comのMail Transfer Agent(MTA)には、メール送信者(business.com)を認証する仕組みがない。

  • business.comから送信されたすべてのメールは、検証されることなく受信者の受信箱に届けられます。

  • business.comからのメールの中に、business.comになりすました攻撃者が送信したものがあった場合、これらの不正なメールはreceiver.comにも配信されています。

では、DMARCを使ったメールの仕組みを見てみましょう。

PowerDMARC MSSPの違い
  • business.comからreceiver.comにメールが送信されます。

  • receiver.comのメール転送エージェント(MTA)は、business.comのSPF、DKIM、DMARCレコード(DNS上)を検索し、送信者を認証します。

  • 送信者が認証されていれば、メールは受信者に配信されます。そうでない場合は、メールは隔離(スパムに送信)されるか、拒否(配信されない)されます。

  • DMARCレポートは、受信側のMTAによって生成され、PowerDMARC

DMARCは何が優れているのか?

なぜSPFとDKIMだけではなく、DMARCを導入しようとするのか、不思議に思うかもしれない。結局のところ、DMARCを使用するには、これらの両方を設定する必要がある。しかし、 DMARCを非常に強力にする2つの重要な機能がありません。

アライメント 

  • SPFとDKIMは、それぞれ独立して機能するため、単独では限定的な保護しか提供できません。しかし、DMARCは、両方の技術を活用して最大限のセキュリティを実現します。

  • メールが送信されると、「From domain」にはお客様のドメイン名が含まれます。さらに、お客様のドメインはDKIM署名にも表示されます。 

  • この両方が一致していれば、一致しているとみなされます。DMARCでは、両方のドメイン名が一致しないと、そのメールは認証されません。

報告と可視性

  • DMARCを実装すると、あなたのドメインを経由するどのメールがDMARCを通過しているか、あるいは失敗しているかを示す集計レポートを毎日受け取ることができます。 

  • DMARCは、単に受動的にドメインを守るだけではなく、積極的に配信の問題やセキュリティの脅威を排除するために使用することができます。

お使いのドメインがスプーフィングから保護されているかどうか気になりますか?このテストを実行して、あなたのドメインの健康状態を確認してください。

DMARCのメリット

脅威の排除

なりすまし攻撃の早期発見と対処、不正使用IPの発見とブラックリスト化 

デリバリーの最大化

配信の問題点を即座に把握し、迅速に解決する。

ブランドを高める

フィッシングから守ることで、お客様はあなたのブランドをより信頼するようになります。

なぜDMARCはあなたのブランドにとって良いのでしょうか?

  • これまでのところ、DMARCがメールチャネルをドメインの偽装やフィッシングから保護するのに役立つことは明らかです。しかし、DMARCを導入することが正当化されるほどの大きなメリットが、本当に組織にもたらされるのでしょうか?

  • というシナリオを想像してみてください。 ハッカーがあなたのブランドになりすます を使って、すべてのお客様にフィッシングメールを送信します。何百人もの顧客がサイバー犯罪者に機密の個人情報を開示してしまうと、顧客は貴社のブランドとそのフィッシング詐欺を結びつけるようになります。そうなると、無関係なのにあなたの名前がニュースになってしまい、訴訟問題に発展しかねません。

  • 従業員や顧客が偽の電子メールを開くのを一人残らず阻止することはできません。しかし、それこそがDMARCの役割なのです。

  • 不正なメールが人々の受信箱に入る前に排除することで、フィッシング詐欺の発生を未然に防ぐことができます。その結果、人々がどのようなメールを目にするかを常にコントロールすることができます。自分のブランドを常にコントロールすることができるのです。