業界におけるDMARCの採用率は、新しい業界指令の導入に伴い、徐々に(しかし確実に)増加している。DMARCレコードとポリシーの採用率は、2021年までになんと 2021年までに84それ以降も着実に増加しています。このことは、企業が情報セキュリティにおけるDMARCの重要性をようやく認識しつつあることを浮き彫りにしています。
DMARCを設定するには、DMARCレコードを作成する必要があります。作成されたDMARCレコードはTXTレコードとなり、DNS上で公開されます。これにより、メール認証プロセスが開始されます。DMARCレコードを設定することで、ドメイン所有者は、未承認または不正な送信元から送信されたメールにどのように応答すべきかを受信者に指示できるようになります。
DMARCレコードの説明
DMARCレコードには、認証失敗の処理に関するドメインのポリシー(拒否、隔離、またはなし)、電子メール認証結果のフィードバックを受け取るための報告用電子メールアドレス、およびオプションの追加指示などの情報が含まれる。
DMARC(ドメインベースのメッセージ認証、報告、および適合性)。は、電子メール受信者が正当な電子メールと詐欺的な電子メールを区別する方法を提供することにより、電子メールのなりすましやフィッシングを防止し、電子メールを使った詐欺や攻撃のリスクを低減します。
なぜDMARCレコードを追加する必要があるのですか?
企業は、さまざまな形態の電子メールベースの攻撃、なりすまし、詐欺からドメイン名と電子メールを保護するために、DMARCレコードを追加する必要があります。
DMARCレコードを追加する主な理由は以下の通りです:
- メール認証:DMARCは、お客様のドメインから送信されたメールの真正性を検証するのに役立ちます。
- フィッシングからの保護:フィッシング攻撃は、しばしば有名ブランドや組織になりすまして行われます。DMARCを設定することで、サイバー犯罪者が貴社のドメイン名を使用して、疑うことを知らない受信者に詐欺メールを送信するのを防ぐことができます。
- メールの配信性DMARCレコードは、受信者が合法的なメールを確実に識別し、スパムとしてマークするのを避けることができるため、あなたのドメインからの正当なメールの配信性を向上させるのに役立ちます。
- レポートと可視性:DMARCには、電子メールのエコシステムとドメインの潜在的な悪用に関する貴重な洞察を提供するレポートメカニズムも含まれています。
- グーグルとヤフーの要求への対応グーグルとヤフーは現在 一括メール送信者にDMARCを実装することを要求しています。DMARCに準拠しない場合、配信に問題が生じます。
- PCI-DSS v4要件への準拠: PCI-DSS バージョン4は、2025年3月以降、機密性の高い金融データを扱うクレジットカード会社にDMARCの導入を義務付ける。
セキュリティ強化のためにDMARCレコードを追加する理由トップ6
DMARCレコードは、組織のセキュリティ態勢において極めて重要な役割を果たします。上述したように、DMARCは幅広い電子メールベースの攻撃を防ぐことができ、これは以前にも増して重要になっています:
- 連邦取引委員会は、サイバー攻撃の顕著なベクトルとして電子メールを報告している。
- 2021年、4,000万米ドル以上がフィッシング攻撃で失われた
- Google、毎日1億通のフィッシングメールをブロック
- FBIのIC3報告書によると、2022年、ビジネスメール詐欺により企業は103億円の損害を被った。
DMARCレコードの作成方法
ドメインのDMARC DNSレコードを作成するには、a)レコードを生成する信頼できるツール、b)レコードを公開するためのDNS管理コンソールへのアクセスがあることを確認してください。以下の手順に従ってください:
1.DMARCレコード生成ツールを使用する
サインアップ電子メールアドレスを使用してポータルにアクセスするか、次の方法でサインアップしてください。 Gメール/オフィス365.分析ツール > PowerToolbox > DMARCレコードジェネレータに移動し、DMARCレコードの作成を開始します。
3.DMARCレコードのDMARCポリシーを定義する
DMARCポリシー DMARCポリシー希望する実施レベル(なし、隔離、拒否)に応じてDMARCポリシーを決定します。DMARCレコードポリシーの選択方法は以下の通りです:
- あなたのドメインから送信された迷惑メールに対して何もしない場合は、"none "を選択してください。
- DMARCに失敗したメールを隔離したい場合は、「隔離」を選択します。
- 認証に失敗したメールを拒否または破棄し、なりすましやフィッシング攻撃を最小限に抑えたい場合は、「拒否」を選択してください。
3.推奨DMARCレコードオプションフィールドの設定
すべてのフィールドが必須というわけではありませんが、DMARCレコードにいくつかの便利なオプションフィールドを設定することをお勧めします。それでは、これらのフィールドについて見ていきましょう:
- 集計(rua)報告フィールド:ruaフィールドを設定すると、メールアドレスに直接DMARC認証データが届きます。
- フローレンス(ruf)報告フィールド:DMARCレコードにrufフィールドを設定することで、サイバー攻撃などのフォレンジックインシデントに関する洞察を得ることができます。
- DKIM/SPFアライメントモード" SPFやDKIMのアライメントを緩やかにするか、厳格にするかを選択します。
DMARCレコードの発行方法
DMARCレコードを公開するには、いくつかの前提条件があります:
- DNS管理コンソールにアクセスする必要があります。
- ドメインのDNSレコードを編集・追加する権限が必要です。
ステップ1:DNS管理コンソールにアクセスする
以下はcPanel DNS管理コンソールの例ですが、手順はDNSホスティングプロバイダー(Cloudflare、Godaddy、Bluehost、Amazon SESなど)によって異なります。
ステップ2:DNSゾーンエディタをクリック
ドメイン]セクションで、[DNSゾーンエディタ]または[詳細ゾーンエディタ]をクリックします。
ステップ3:TXTタイプのレコードを追加する
TXT(tex)タイプのDMARCレコードを追加します。TXTデータ」または「値」フィールドには、以前に作成したDMARCレコードを貼り付ける必要があります。
注意 DNSホスティングプロバイダーによって手順が異なる場合があります。
DMARCレコードを検証するには?
DMARCレコードを検証するには、無料の検証ツールをご利用ください。
1.無料サインアップし、分析ツール > PowerToolbox > DMARCレコードチェッカーに移動します。
2.DMARCレコードのステータス、構文、タグを確認し、エラーを発見する。
DMARCレコードステータスの種類
| ステータス | その意味 | 何ができるか |
|---|---|---|
| 有効 | DMARCレコードが正しく、エラーがないこと。 | 何もしない |
| 無効 | DMARCレコードにエラーがあります。これは、不完全または誤った構文が原因である可能性があります。 | シンタックスを見直すか、DMARCタグに関する完全なガイドを参照するか、専門家によるサポートが必要な場合は弊社までお問い合わせください。 |
| レコードが見つかりません | DNSにDMARCレコードがありません。 | ドメインのDMARCレコードを作成し、DNSで公開する。 |
レコードのエラーを検出したら、DNSに必要な変更を実装し、変更を保存する必要があります。変更が処理されたら、レコードを再確認してください。
DMARCレコードの例
例1:必須フィールドのみの典型的なエラーのないDMARCレコード:
v=DMARC1、p=なし;
生成されたレコードは、あなたのドメインのDNSのサブドメインで公開されます。_dmarc.YOURDOMAIN.com
例2:典型的なエラーのないDMARCレコードのnoneポリシーは以下のようになります:
v=DMARC1; p=none; rua=mailto:example@domain.com; ruf=mailto:example@domain.com; fo=1;
例3:検疫ポリシーによる典型的なエラーのないDMARCレコードは以下のようになります:
v=DMARC1; p=quarantine;rua=mailto:example@domain.com;ruf=mailto:example@domain.com;fo=1;
例4:拒否ポリシーを持つ典型的なエラーのないDMARCレコードは以下のようになります:
v=DMARC1; p=reject; rua=mailto:example@domain.com; ruf=mailto:example@domain.com; fo=1;
DMARCレコード公開:次は?
DMARCレコードの公開が完了したら、次のステップは、詐欺師やなりすましからドメインを保護することに集中することです。これが、セキュリティプロトコルやメール認証サービスを導入する際の主な課題です。
単にp=noneポリシーでDMARCレコードを発行するだけでは、ドメイン偽装攻撃やメール詐欺から保護することはできません。そのためには DMARCエンフォースメント.
PowerDMARCによるDMARCエンフォースメント
なりすまし攻撃から身を守りつつ、メール配信に影響を与えないようにするために必要なことは以下の通りです:
- サインアップPowerDMARCに登録し DMARCレポートドメイン
- メール認証の結果を示すDMARC RUAレポートを毎日発行し、分かりやすい表示方法で提供
- メールが認証に失敗した場合、ダッシュボードにフォレンジックレポートの更新情報を表示
- SPFレコードが無効にならないように、SPFのハードリミットを守ってください。
DMARCの集計とフォレンジックレポートにより、監視から実施への移行は、ドメイン所有者にとって楽な作業となります。PowerDMARCプラットフォームから、メールフローを視覚的に監視し、配信可能性の問題を瞬時に追跡し、対応することができます。無料の DMARCアナライザーをお試しください!
- SPFエラー修正:SPFのToo Many DNS Lookups制限を克服する- 2024年4月26日
- 3ステップでDMARCレコードを公開する方法とは?- 2024年4月2日
- なぜDMARCは失敗するのか?2024年にDMARCの失敗を修正する- 2024年4月2日