DMARCレコードの作成と公開方法

ブログ

DNSにDMARCレコードを追加することで、業界の義務に準拠してください。当社のステップバイステップガイドでは、DMARCレコードの作成と公開を簡単に行うことができます。

マイサム・アル・ラワティ

読書時間 8
DMARCレコードの作成と公開方法
目次-

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、送信メッセージを認証するための技術プロトコルです。DMARCは、フィッシングやなりすましなど、さまざまな電子メールベースの脅威に対する防御の第一線として機能します。 

設定方法 DMARCを設定するにはを設定するには、DMARCレコードを作成する必要があります。作成されたDMARCレコードはTXTレコードとなり、DNS上で公開されます。これにより、メール認証プロセスが開始されます。DMARCレコードを設定することで、ドメイン所有者は、未承認または不正な送信元から送信されたメールにどのように応答すべきかを受信者に指示できるようになります。

主なポイント

  1. DMARCレコードはDNSのTXTエントリで、送信メールの認証やなりすましやフィッシング攻撃の防止に役立ちます。
  2. 適切なDMARCポリシーを選択することは、不正な電子メールの処理を制御するために不可欠です。
  3. DMARCを実装するには、cPanel、GoDaddy、またはCloudflareなどのツールを使用して、レコードをドメインネームシステム(DNS)に公開する必要があります。
  4. 積極的にメールを送信しないドメインであっても、潜在的な悪用を防ぐために、制限的なDMARCレコード、特に "p=reject "を持つべきである。
  5. 最適な結果を得るためには、ドメインごとに1つのDMARCレコードを維持し、メール配信の問題を避けるために徐々に実施することをお勧めします。
  6. PowerDMARCのようなソリューションは、DMARCレコード管理を自動化し、AI主導の脅威インテリジェンスの使用により監視を簡素化します。

DMARCレコードとは?

DMARCレコードはDNSのTXTレコードで、認証チェック(SPFとDKIM)に失敗したメッセージをメールサーバーがどのように処理するかを指定します。DMARCレコードは、ドメイン所有者が不正なメールを拒否、隔離、または許可するかどうかを受信サーバーに指示することにより、メールのなりすましやフィッシングを防止するのに役立ちます。

DMARCレコードの主な構成要素

1.DMARCポリシーモード

DMARCポリシーは、DMARC認証に失敗したメールを受信者がどのように処理すべきかを定義します。p "で示されます。以下の3つの値があります: 

  • p=なし:不正なメールに対して何もしない。
  • p=検疫:疑わしいメールにフラグを立てる。
  • p=reject:不正なメールを受信者に届く前に拒否する。

2.DMARCレポートオプション

  • 集計レポート(rua=):指定されたメールアドレスに送信されるサマリーレポートで、ドメインからの全メールの認証結果が表示されます。
  • 法医学レポート (ruf=):メールがDMARC認証に失敗した場合に送信される詳細な失敗レポートです。

3.DMARCアライメントモード

  • SPFアライメント (aspf=):From:ヘッダーの送信者ドメインがSPFレコードと一致するかどうかを決定する。完全一致の場合はstrict(s)アライメント、組織一致の場合はrelaxed(r)アライメントのオプションがある。
  • DKIMアライメント (adkim=): DKIM署名ドメインがFrom:ヘッダーのドメインと一致するかどうかを決定する。完全一致の場合はstrict(s)アライメント、組織一致の場合はrelaxed(r)アライメントのオプションがある。

DMARCレコードの作成方法

あなたのドメインにDMARC DNSレコードを作成するには、以下を確認してください: 

a) 記録を作成するための信頼できるツール

b) DNS管理コンソールにアクセスし、レコードを公開する。

以下の手順に従って、記録を作成してください:

1.DMARCレコードを作成する 

サインアップ電子メールアドレスを使用してポータルにアクセスするか、次の方法でサインアップしてください。 Gメール/オフィス365.分析ツール > PowerToolbox > DMARCレコードジェネレータに移動し、DMARCレコードの作成を開始します。

PowerDMARCポータルへのサインアップ

DMARC-Record-Generator

3.DMARCレコードのDMARCポリシーを定義する

DMARCポリシー DMARCポリシー希望する実施レベル(なし、隔離、拒否)に応じてDMARCポリシーを決定します。DMARCレコードポリシーの選択方法は以下の通りです:

  • あなたのドメインから送信された迷惑メールに対して何もしない場合は、"none "を選択してください。
  • DMARCに失敗したメールを隔離したい場合は、「隔離」を選択してください。
  • 認証に失敗したメールを拒否または破棄し、なりすましやフィッシング攻撃を最小限に抑えたい場合は、「拒否」を選択してください。

DMARCポリシーを定義し、"生成 "をクリックする。

すべてのフィールドが必須というわけではありませんが、DMARCレコードにいくつかの便利なオプションフィールドを設定することをお勧めします。それでは、これらのフィールドについて見ていきましょう: 

  1. 集計(rua)報告フィールド:ruaフィールドを設定すると、DMARC認証データをあなたのメールアドレスに直接送信します。 
  2. フォレンジック(ruf)レポートフィールド:DMARCレコードにrufフィールドを設定することで、サイバー攻撃などのフォレンジックインシデントに関する洞察を得ることができます。 
  3. DKIM/SPFアライメントモード" SPFやDKIMのアライメントを緩やかにするか、厳格にするかを選択します。 

DMARCレコードを公開するには?

DMARCレコードを公開するには、いくつかの前提条件があります: 

  • DNS管理コンソールにアクセスする必要があります。 
  • ドメインのDNSレコードを編集・追加する権限が必要です。

cPanelでDMARCレコードを公開する 

1.cPanel DNS管理コンソールにアクセスします。 

2.ドメイン]セクションで、[DNSゾーンエディタ]または[詳細ゾーンエディタ]をクリックします。 

クリックオンDNSゾーンエディタ

3. TXT(tex)タイプのDMARCレコードを追加し、以下のように詳細を記入する。TXTデータ」または「値」フィールドには、以前に作成したDMARCレコードを貼り付ける必要があります。

TXT型レコードの追加

GodaddyでDMARCレコードを公開する

  1. GoDaddyドメインポートフォリオにログインして、DNSゾーンにアクセスします。
  2. Domain Name(ドメイン名)]で、メール送信ドメインを検索して選択します。
  3. ドメイン名の下にある「DNS」をクリックします。
  4. 新規レコードの追加を選択し、以下の詳細でレコードの公開を開始します:

タイプ:TXT

名称:ドマルク

DMARCレコードの値を貼り付けます。

CloudflareでDMARCレコードを公開する 

  1. Cloudflareアカウントにログインします。  
  2. 必要なアカウントとドメインを選択します。  
  3. DNSに移動し、レコードの追加をクリックします。  
  4. 以下の例のように、生成したDMARCレコードをAdd Recordセクションに貼り付けます:

 

DMARCレコードの検証

DMARCレコードを確認し、よくある "DMARCレコードが見つかりません"エラーを回避するには、無料の検証ツールをご利用ください。

1.無料サインアップし、分析ツール > PowerToolbox > DMARCレコードチェッカーに移動します。

2.DMARCレコードのステータス、構文、タグを確認し、エラーを発見する。

よくあるDMARCレコードのエラー

ステータスその意味何ができるか
有効DMARCレコードが正しく、エラーがないこと。何もしない
無効DMARCレコードにエラーがあります。これは、不完全または誤った構文が原因である可能性があります。シンタックスを見直すか、DMARCタグに関する完全なガイドを参照するか、専門家によるサポートが必要な場合は弊社までお問い合わせください。
レコードが見つかりませんDNSにDMARCレコードがありません。ドメインのDMARCレコードを作成し、DNSで公開する。

レコードのエラーを検出したら、DNSに必要な変更を実装し、変更を保存する必要があります。変更が処理されたら、レコードを再確認してください。 

非送信ドメインのDMARCレコード 

しかし、攻撃者は送信ドメイン以外のドメインにもなりすまし、あなたの代わりに偽のメールを送信することができることを、ほとんどの人は知りません!これを防ぐために、次の手順を実行しましょう。 非送信ドメインのDMARC:

  • 非許可DMARCレコードの発行p=rejectのような強制ポリシーで非アクティブドメインのDMARCレコードを発行することから始める
  • レポートを無視する:このドメインはメールを送信しないので、RUAまたはRUFレポートを設定する必要はありません。
  • 制限付きSPFレコードを発行する:v=spf1 -allを設定してメール送信を防ぐ。
  • 統合メールサービスを無効にする: ドメインがまだ外部のメールサーバーにリンクされている場合、ドメインが使用されなくなったのであれば、それらを制限するのは良い判断かもしれない。

非アクティブドメインのセキュリティを確保しないことの結果 

非送信ドメインに対するDMARCの実装を怠ると、以下のような様々な結果を招く可能性がある: 

  • なりすましやフィッシング攻撃のリスク増大 
  • ブランドとドメインの評判の低下 
  • ドメインの不正使用が長期間気づかれない

ドメインごとに単一のDMARCレコード

DMARCレコードを設定する場合、ドメインごとに単一のレコードエントリを発行することが重要です。1つのドメインに対して複数のDMARCレコードを発行すると、コンフリクトや不当な認証失敗を引き起こす可能性があります! 

複数のDMARCレコードが問題になる理由

  1. 電子メール認証の失敗:メール受信者は、どのDMARCレコードに従うべきかわからない場合がある。
  2. 設定ミスと矛盾:矛盾したポリシー(たとえば、あるレコードではp=noneを使い、別のレコードではp=rejectを使うなど)は、予測不可能な強制につながる。
  3. 不正確な報告:DMARCレポートは不完全であったり、信頼できない場合があります。

正しいDMARC実装のためのベストプラクティス

DMARCレコードを正しく設定するために、以下に実装のベストプラクティスを示します: 

  • ドメインごとにDMARCの単一レコードを発行する。
  • の設定は避けてください。 DMARC spタグの設定は避けてください。
  • DMARCチェックツール DMARCチェッカーツールを使用して、公開後にレコードを検証してください。
  • DMARCレポートを定期的に監視し、不審な活動に気づかれないようにしましょう。 

DMARCレコード公開後の次のステップ

DMARCレコードの公開が終わったら、次は詐欺師やなりすましからドメインを守ることに集中しましょう。これが、セキュリティプロトコルやメール認証サービスを導入する際の主な課題です。 

単にp=noneポリシーでDMARCレコードを発行するだけでは、ドメイン偽装攻撃やメール詐欺から保護することはできません。そのためには DMARCエンフォースメント.

DMARCの実施に移行するには、配信性に悪影響を与えることなく理想的な結果を得るために、段階的なアプローチが最善の方法です。以下は、ステップバイステップのプロセスです: 

  • p=noneポリシーで開始します。これは監視モードです。 
  • お客様のドメインのDMARCレポートを有効にして、メールトラフィックと配信可能性を分析しましょう。 
  • pct(パーセンテージ)を10に保ったまま隔離に移行し、数週間かけて徐々に100%まで上げる。
  • 自分の設定に自信が持てたら、p=rejectに移行し、pctを最低のパーセンテージ設定に保ち、メール量の100%に対して徐々に完全な強制に上げていく。 

PowerDMARCによるDMARCレコード管理の簡素化

複数のドメインを運用する組織や、DMARCレコードを手動で設定・管理する手間を省きたい組織には、PowerDMARCがあります。DMARCレコード管理をひとつ屋根の下で自動化する、シンプルでクライアントフレンドリーなソリューションです。AI主導の脅威インテリジェンステクノロジーと詳細なレポーティングを搭載したPowerDMARCは、世界中の2,000社以上のお客様のDMARC管理の簡素化を支援してきました。 

まずは無料の 15日間無料トライアルをお試しください!

DMARCレコードに関するFAQ

1.なぜDMARCレコードが必要なのですか?

DMARCレコードはドメインのなりすましを防止し、フィッシング、なりすまし、ランサムウェア攻撃など、さまざまなメールベースの脅威のリスクを低減します。DMARCレコードがないと、お客様のドメインが脅威行為者によって危険にさらされたり、悪用されたりするリスクが高くなります。 

2.一般的なDMARCレコードエラーとは?

よくあるDMARCの設定ミスには以下のようなものがある:

  • ドメインは1つのDMARCレコードしか持つことができないため、複数のDMARCレコードを持つ。
  • 不正確な書式設定(セミコロンやスペースの欠落など)などの構文エラー。
  • p=rejectの代わりにp=rejectedのような不正なタグを使用するなど、無効なポリシー値。
  • ruaやrufのEメールアドレスが正しくないなど、Eメールの報告アドレスが壊れていると、レポートが配信されません。

3.1つのドメインに複数のDMARCレコードを持つことはできますか?

いいえ、1つのドメインが持つことができるDMARCレコードは1つだけです。複数のレコードが存在する場合、メールプロバイダーは設定を無視する可能性があり、認証の失敗やセキュリティギャップにつながります。

4.DMARCレコードが伝播するのにかかる時間は?

DMARCレコードの伝播時間通常、DNSキャッシュとTTL(Time-to-Live)の設定により、数分から最大48時間まで変動します。

5.DMARCレコードが無効な場合はどうなりますか?

DMARCレコードが無効な場合、認証の試行やチェックの失敗、メール配信の問題など、さまざまな問題につながる可能性があり、ドメインがなりすましに遭う可能性さえあります。 

6.ドメインがDMARCレコードを公開していない場合はどうなりますか?

DMARCレコードが公開されていない大量送信者の場合、以下の宛先にメッセージを送信する際に拒否される可能性があります。 グーグルやヤフーの受信トレイにメッセージを送信する際に、メール拒否に直面することになります。さらに、あなたのドメインはなりすましの制限がないため、攻撃者の格好の標的になる可能性があります。

最新記事 by Maitham Al Lawati(全て見る)
Google カレンダーのなりすまし:攻撃者がフィッシング詐欺に使用する方法メール配信をマスターする:キャンペーン成功のためのベストプラクティス