PowerDMARC

DMARCレコードの作成と公開方法

マイサム・アル・ラワティ
dmarc record blogを公開する

dmarc record blogを公開する

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、送信メッセージを認証するための技術プロトコルです。DMARCは、フィッシングやなりすましなど、さまざまな電子メールベースの脅威に対する防御の第一線として機能します。 

設定方法 DMARCを設定するにはを設定するには、DMARCレコードを作成する必要があります。作成されたDMARCレコードはTXTレコードとなり、DNS上で公開されます。これにより、メール認証プロセスが開始されます。DMARCレコードを設定することで、ドメイン所有者は、未承認または不正な送信元から送信されたメールにどのように応答すべきかを受信者に指示できるようになります。

主なポイント

  1. DMARCレコードはDNSのTXTエントリで、送信メールの認証やなりすましやフィッシング攻撃の防止に役立ちます。
  2. 適切なDMARCポリシーを選択することは、不正な電子メールの処理を制御するために不可欠です。
  3. DMARCを実装するには、cPanel、GoDaddy、またはCloudflareなどのツールを使用して、レコードをドメインネームシステム(DNS)に公開する必要があります。
  4. 積極的にメールを送信しないドメインであっても、潜在的な悪用を防ぐために、制限的なDMARCレコード、特に "p=reject "を持つべきである。
  5. 最適な結果を得るためには、ドメインごとに1つのDMARCレコードを維持し、メール配信の問題を避けるために徐々に実施することをお勧めします。
  6. PowerDMARCのようなソリューションは、DMARCレコード管理を自動化し、AI主導の脅威インテリジェンスの使用により監視を簡素化します。

DMARCレコードとは?

DMARCレコードはDNSのTXTレコードで、認証チェック(SPFとDKIM)に失敗したメッセージをメールサーバーがどのように処理するかを指定します。DMARCレコードは、ドメイン所有者が不正なメールを拒否、隔離、または許可するかどうかを受信サーバーに指示することにより、メールのなりすましやフィッシングを防止するのに役立ちます。

DMARCレコードの主な構成要素

1.DMARCポリシーモード

DMARCポリシーは、DMARC認証に失敗したメールを受信者がどのように処理すべきかを定義します。p "で示されます。以下の3つの値があります: 

2.DMARCレポートオプション

3.DMARCアライメントモード

DMARCレコードの作成方法

あなたのドメインにDMARC DNSレコードを作成するには、以下を確認してください: 

a) 記録を作成するための信頼できるツール

b) DNS管理コンソールにアクセスし、レコードを公開する。

以下の手順に従って、記録を作成してください:

1.DMARCレコードを作成する 

サインアップ電子メールアドレスを使用してポータルにアクセスするか、次の方法でサインアップしてください。 Gメール/オフィス365.分析ツール > PowerToolbox > DMARCレコードジェネレータに移動し、DMARCレコードの作成を開始します。

3.DMARCレコードのDMARCポリシーを定義する

DMARCポリシー DMARCポリシー希望する実施レベル(なし、隔離、拒否)に応じてDMARCポリシーを決定します。DMARCレコードポリシーの選択方法は以下の通りです:

すべてのフィールドが必須というわけではありませんが、DMARCレコードにいくつかの便利なオプションフィールドを設定することをお勧めします。それでは、これらのフィールドについて見ていきましょう: 

  1. 集計(rua)報告フィールド:ruaフィールドを設定すると、DMARC認証データをあなたのメールアドレスに直接送信します。 
  2. フォレンジック(ruf)レポートフィールド:DMARCレコードにrufフィールドを設定することで、サイバー攻撃などのフォレンジックインシデントに関する洞察を得ることができます。 
  3. DKIM/SPFアライメントモード" SPFやDKIMのアライメントを緩やかにするか、厳格にするかを選択します。 

DMARCレコードを公開するには?

DMARCレコードを公開するには、いくつかの前提条件があります: 

cPanelでDMARCレコードを公開する 

1.cPanel DNS管理コンソールにアクセスします。 

2.ドメイン]セクションで、[DNSゾーンエディタ]または[詳細ゾーンエディタ]をクリックします。 

3. TXT(tex)タイプのDMARCレコードを追加し、以下のように詳細を記入する。TXTデータ」または「値」フィールドには、以前に作成したDMARCレコードを貼り付ける必要があります。

GodaddyでDMARCレコードを公開する

  1. GoDaddyドメインポートフォリオにログインして、DNSゾーンにアクセスします。
  2. Domain Name(ドメイン名)]で、メール送信ドメインを検索して選択します。
  3. ドメイン名の下にある「DNS」をクリックします。
  4. 新規レコードの追加を選択し、以下の詳細でレコードの公開を開始します:

タイプ:TXT

名称:ドマルク

DMARCレコードの値を貼り付けます。

CloudflareでDMARCレコードを公開する 

  1. Cloudflareアカウントにログインします。  
  2. 必要なアカウントとドメインを選択します。  
  3. DNSに移動し、レコードの追加をクリックします。  
  4. 以下の例のように、生成したDMARCレコードをAdd Recordセクションに貼り付けます:

 

DMARCレコードの検証

DMARCレコードを確認し、よくある "DMARCレコードが見つかりません"エラーを回避するには、無料の検証ツールをご利用ください。

1.無料サインアップし、分析ツール > PowerToolbox > DMARCレコードチェッカーに移動します。

2.DMARCレコードのステータス、構文、タグを確認し、エラーを発見する。

よくあるDMARCレコードのエラー

ステータスその意味何ができるか
有効DMARCレコードが正しく、エラーがないこと。何もしない
無効DMARCレコードにエラーがあります。これは、不完全または誤った構文が原因である可能性があります。シンタックスを見直すか、DMARCタグに関する完全なガイドを参照するか、専門家によるサポートが必要な場合は弊社までお問い合わせください。
レコードが見つかりませんDNSにDMARCレコードがありません。ドメインのDMARCレコードを作成し、DNSで公開する。

レコードのエラーを検出したら、DNSに必要な変更を実装し、変更を保存する必要があります。変更が処理されたら、レコードを再確認してください。 

非送信ドメインのDMARCレコード 

しかし、攻撃者は送信ドメイン以外のドメインにもなりすまし、あなたの代わりに偽のメールを送信することができることを、ほとんどの人は知りません!これを防ぐために、次の手順を実行しましょう。 非送信ドメインのDMARC:

非アクティブドメインのセキュリティを確保しないことの結果 

非送信ドメインに対するDMARCの実装を怠ると、以下のような様々な結果を招く可能性がある: 

ドメインごとに単一のDMARCレコード

DMARCレコードを設定する場合、ドメインごとに単一のレコードエントリを発行することが重要です。1つのドメインに対して複数のDMARCレコードを発行すると、コンフリクトや不当な認証失敗を引き起こす可能性があります! 

複数のDMARCレコードが問題になる理由

  1. 電子メール認証の失敗:メール受信者は、どのDMARCレコードに従うべきかわからない場合がある。
  2. 設定ミスと矛盾:矛盾したポリシー(たとえば、あるレコードではp=noneを使い、別のレコードではp=rejectを使うなど)は、予測不可能な強制につながる。
  3. 不正確な報告:DMARCレポートは不完全であったり、信頼できない場合があります。

正しいDMARC実装のためのベストプラクティス

DMARCレコードを正しく設定するために、以下に実装のベストプラクティスを示します: 

DMARCレコード公開後の次のステップ

DMARCレコードの公開が終わったら、次は詐欺師やなりすましからドメインを守ることに集中しましょう。これが、セキュリティプロトコルやメール認証サービスを導入する際の主な課題です。 

単にp=noneポリシーでDMARCレコードを発行するだけでは、ドメイン偽装攻撃やメール詐欺から保護することはできません。そのためには DMARCエンフォースメント.

DMARCの実施に移行するには、配信性に悪影響を与えることなく理想的な結果を得るために、段階的なアプローチが最善の方法です。以下は、ステップバイステップのプロセスです: 

PowerDMARCによるDMARCレコード管理の簡素化

複数のドメインを運用する組織や、DMARCレコードを手動で設定・管理する手間を省きたい組織には、PowerDMARCがあります。DMARCレコード管理をひとつ屋根の下で自動化する、シンプルでクライアントフレンドリーなソリューションです。AI主導の脅威インテリジェンステクノロジーと詳細なレポーティングを搭載したPowerDMARCは、世界中の2,000社以上のお客様のDMARC管理の簡素化を支援してきました。 

まずは無料の 15日間無料トライアルをお試しください!

DMARCレコードに関するFAQ

1.なぜDMARCレコードが必要なのですか?

DMARCレコードはドメインのなりすましを防止し、フィッシング、なりすまし、ランサムウェア攻撃など、さまざまなメールベースの脅威のリスクを低減します。DMARCレコードがないと、お客様のドメインが脅威行為者によって危険にさらされたり、悪用されたりするリスクが高くなります。 

2.一般的なDMARCレコードエラーとは?

よくあるDMARCの設定ミスには以下のようなものがある:

3.1つのドメインに複数のDMARCレコードを持つことはできますか?

いいえ、1つのドメインが持つことができるDMARCレコードは1つだけです。複数のレコードが存在する場合、メールプロバイダーは設定を無視する可能性があり、認証の失敗やセキュリティギャップにつながります。

4.DMARCレコードが伝播するのにかかる時間は?

DMARCレコードの伝播時間通常、DNSキャッシュとTTL(Time-to-Live)の設定により、数分から最大48時間まで変動します。

5.DMARCレコードが無効な場合はどうなりますか?

DMARCレコードが無効な場合、認証の試行やチェックの失敗、メール配信の問題など、さまざまな問題につながる可能性があり、ドメインがなりすましに遭う可能性さえあります。 

6.ドメインがDMARCレコードを公開していない場合はどうなりますか?

DMARCレコードが公開されていない大量送信者の場合、以下の宛先にメッセージを送信する際に拒否される可能性があります。 グーグルやヤフーの受信トレイにメッセージを送信する際に、メール拒否に直面することになります。さらに、あなたのドメインはなりすましの制限がないため、攻撃者の格好の標的になる可能性があります。

最新記事 by Maitham Al Lawati(全て見る)
モバイル版を終了する