DMARCレポートの読み方：種類、ツール、ヒント

フィッシングはサイバー攻撃の90%を占めており、 DMARCレポートの読み方を理解し、データと評判を守ることは、あなたとチームにとって極めて重要です。

DMARC (Domain-based Message Authentication, Reporting, and Conformance)レポートは、電子メールがどのように認証されているかについての詳細な洞察を提供し、電子メールのセキュリティを維持するのに役立ちます。DMARCは、電子メールが本当に信頼できる送信元からのものであることを確認することで、次のようなものをブロックする上で重要な役割を果たします。 フィッシングやなりすましをブロックする上で重要な役割を果たします。

このブログでは、DMARCレポートの読み方を解説し、適切なツールを活用することでこのプロセスを容易にし、 ドメインを保護し、自信を持ってメールセキュリティを強化する方法についてご説明します。

DMARCレポートとは何ですか？

DMARCレポートは、受信メールサーバーが生成する診断レポートであり、インターネット上でメールがどのように認証されているかを示します。 DMARC対応ドメインから送信されたメッセージのSPFおよびDKIM認証結果を含め、メールの挙動やメールフローを明確に可視化します。

これらのレポートは、2つの主要技術に基づいています：

• SPF(Sender Policy Framework)は、メールが認可されたサーバーから送信されたかどうかを検証します。
• DKIM(DomainKeys Identified Mail）は、電子メールのコンテンツが転送中に変更されたかどうかをチェックします。

これらのチェックにより、あなたのEメールが本物か詐欺の可能性があるかがわかります。

DMARCレポートを有効にする方法（ステップバイステップ）

DMARCレポートを読む前に、メールボックスプロバイダーにレポートの送信先を指示するDMARCレコードを設定する必要があります。 レポートの送信先を指定するDMARCレコードを設定する必要があります。

ステップ1: DMARCレコードを公開する

以下のDNS TXTレコードを作成してください： _dmarc.yourdomain.com

監視モードから開始: v=DMARC1; p=none; rua=mailto:[email protected];

ステップ2: レポートの送信先を追加する（ruaを最初に）

• rua (集計レポート): これは主要なDMARCレポート配信チャネルであり、ほとんどの組織が依存しているものです。
• ruf（フォレンジックレポート）： 任意。プロバイダーによってサポート状況が異なり、プライバシー上の懸念が生じる可能性があるため、多くの組織はこれを省略するか慎重に利用している。

両方を含む例（フォレンジックレポートを使用する場合のみ）：

v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];

ステップ3: レポートの受け取り方法を決定する

実用的な選択肢は二つあります：

• 専用メールボックス: テストには便利ですが、生のレポートはXML添付ファイルとして届き、規模が大きくなると管理が困難になります。
• DMARCレポートツール: 継続的な監視、フィルタリング、および実用的なダッシュボードに推奨されます。

ステップ4: レポートが届いていることを確認する

集計レポートは通常、DNSの伝播とメールボックスプロバイダーのレポートサイクルに応じて、24～48時間以内に表示され始めます。何も届かない場合は、以下の点を確認してください：

• DMARCレコードが正しく公開されている、
• 宛先のメールボックス/サービスはメッセージを受信できます。
• そして、あなたのドメインは積極的にメールを送信しています。

レポートを有効にすると、それを読むことができます。 

DMARCレポートの読み方

DMARCレポートは通常、「DMARC Report」などの件名でメールに添付されたXML形式で届きます。生のレポートは直接読み取るのが容易ではありませんが、その構造を理解することで有益な知見を抽出できます。 

レポートの設定方法や解釈方法について学ぶ際には、PowerDMARCのナレッジベースなどのリソースも役立つでしょう。 

DMARCレポートの読み方：

DMARC XMLフォーマットを理解する

典型的なDMARC XMLレポートには、以下の主要セクションが含まれます：

• 送信元IP：送信サーバーのIPアドレス
• ポリシーの評価：DMARCポリシーに基づいて実行されるアクション
• SPFとDKIMの結果：各チェックの合否
• ドメインの詳細：送信と認証に関わるドメイン名

生レポートの主要要素を解読する

レポートをレビューする際には、以下の重要な項目に焦点を当ててください：

• source_ip: メールの送信元
• 政策評価済み: DMARCポリシーの判定結果（例：なし、隔離、拒否）
• SPFとDKIM: 結果には合格または不合格が表示されます。合格はメールが認証基準を満たしたことを意味し、不合格はなりすましや設定ミスを示す可能性のある問題があることを示します。

生のレポートには実用上の課題が予想される

XMLファイルを直接扱う際には、いくつかの障害が一般的です：

• レポートは圧縮された状態で届く場合があります（.zip または .gz）
• 高ボリュームのドメインは非常に大きなファイルを生成する可能性があります
• 同じ日の出来事を扱う複数の報告書を、異なる提供者から頻繁に受け取ることになるでしょう

これが、報告件数が増加するとほとんどのチームが手動検査から移行する理由である。

データから問題を特定する（SPF、DKIM、アライメント）

これらの警告に注意してください単にSPFやDKIMの設定が不十分だったためです。マーケティングツール、CRMシステム、ニュースレタープラットフォーム、ヘルプデスクツールは、DMARCを確実に通過させるために、SPFレコードへの追加またはDKIMキーの設定が必要です。こうした失敗は、新ツールの導入後、ドメイン変更時、ベンダー側の送信設定更新後に特に頻繁に発生します。

警告サイン：

• 以下の認証方式における失敗 SPFまたはDKIM チェック
• 送信ドメインと認証ドメインが一致しない場合のアライメント問題
• 既知のメール送信元ではない不審な送信IP 既知のメール送信元ではない

これらのフラグは、あなたのドメインを偽装しようとする試みを示す可能性があります

DMARCレポートの種類

DMARCレポートは主に2種類のレポート形式で提供されます：集計レポート（RUA）と詳細レポート（RUF）。両者は異なる目的を果たし、ほとんどの組織は継続的な監視のために主に集計レポートに依存しています。

1. DMARC集計レポート（RUA）

DMARC集計レポートは、ドメインのDMARC分析とアクティビティの概要を提供します。これには以下が含まれます：

• DMARC認証に合格または不合格となったメッセージ数に関する情報
• 送信メールサーバーのIPアドレス
• 電子メール・メッセージの検証に使用されたメカニズムの認証ステータス

この情報は、 スパマーや不正にドメイン名を利用する無許可の第三者サービスへの警戒心を高めるのに役立ちます。

これらのレポートの解釈をさらに容易にするため、PowerDMARCの集計レポート表示は、高度な表示・フィルタリングオプションを備えたチャートや表に簡素化・整理されているため、より読みやすく理解しやすいものとなっています。人間が読みやすい集計レポートを有効にするには、 今すぐお問い合わせください 本日お問い合わせください！

2. DMARCフォレンジックレポート（RUF）

DMARCフォレンジックレポートは、失敗レポートとも呼ばれ、DMARC認証に失敗した個々のメールメッセージに関する詳細情報を提供します。場合によっては、フォレンジックDMARCレポートには以下が含まれます：

• メールメッセージ全体
• 認証ステータス
• 不正メッセージの失敗の理由

DMARCの失敗レポートは、特定のフォレンジック調査（潜在的なメール詐欺など）において特に有用です。 メール詐欺、ドメイン名の悪用、なりすましなどの特定のフォレンジックインシデントを調査する際に特に有用です。

障害レポートには機密情報が含まれる場合があり、攻撃者がアクセスするとプライバシー上の懸念が生じます。このためPowerDMARCでは、これらのレポートにPGP暗号化を適用し、 機密情報へのアクセス権限をユーザー自身に限定します。

DMARCレポートのフィールド解説

DMARC集計レポート（RUA）は通常XML形式で送信され、複数の「レコード」を含みます。各レコードは特定の送信元（通常はIPアドレス）からのメール活動を表し、その送信元がDMARCポリシーに対してどのように動作したかを示します。主要なフィールドの意味を理解すれば、正当な送信者を識別し、不正使用を発見し、SPF/DKIM整合性の問題を修正することが格段に容易になります。

集計（RUA）レポートで確認できる主要なDMARCフィールド

これらの分野がどのように連携するか

よくある誤解は、DMARCを単純な「SPFパス/DKIMパス」チェックとして扱うことです。DMARCは、SPFやDKIMが ヘッダー_フロムヘッダーの送信元（header_from）と一致しているかどうかも検証します。そのため、SPFやDKIMが「合格」を示しているにもかかわらず、そのレコードに対してDMARCが依然として失敗するケースが発生するのです。

これらの組み合わせを使用して、記録を素早く解釈してください：

• DMARC パス: SPF または DKIM が通過し、かつ header_from
• DMARC fail: SPFもDKIMも header_from
• SPFは通過するがDMARCは失敗: SPFは通過する可能性があるが、 envelope_from ドメイン は header_from
• DKIMは通過するがDMARCは失敗: DKIMは通過する可能性があるが、 dkim_domain は header_from
• 不明な送信元からの大量通信 source_ip: 多くの場合、不正な送信者、見落とされたシステム、または設定ミスのあるサードパーティ製サービスを指します

これらのフィールドを理解すれば、DMARCレポートの読み取りが格段に実践的になります。次のステップは、優先順位に従ってレコードを確認することです。具体的には、最も高いボリュームまたは最も高い失敗率を生成しているソースから順に調査します。

DMARCレポートによく見られる問題

DMARC集計レポートは、認証、ドメインセキュリティ、メール配信可能性に影響を与える問題を明らかにすることがよくあります。これらは 最も頻繁に遭遇する可能性のある問題とその意味です。

• SPFまたはDKIMの不一致: メールがSPFまたはDKIMを通過しても、使用されたドメインが 受信者が「From」ヘッダーで確認するドメインと一致しない場合に発生します。この不一致により、基盤となる認証チェックが成功してもDMARCは失敗します。 ほとんどの場合、修正方法は送信サービスを設定し、Return-Path（SPFの送信元）および/またはDKIM署名ドメインがFromドメインと一致するようにし、次の集計レポートで変更を確認することです。
• 不正送信元: DMARCレポートには、許可なくあなたの代わりにメールを送信しているサーバーが表示される場合があります。 許可なくメールを送信しているサーバーが表示される場合があります。 これらは古いシステム、設定ミスのあるサードパーティサービス、または悪意のある行為者である可能性があります。不正送信者を特定し排除することは、 ドメインのなりすましから守る上で極めて重要です。
• 設定ミスのあるメールサービス（マーケティングプラットフォーム、CRM、チケット管理ツールなど）： 正当なサービスが認証に失敗する原因は、SPFやDKIMの設定が不適切な場合が少なくありません。マーケティングツール、CRMシステム、ニュースレタープラットフォーム、ヘルプデスクツールは、 SPFレコードに追加するか、DKIMキーを設定してDMARCを確実に通過させる必要があります。
• 高い失敗率とその背景にある要因： DMARCレポートにおける 重大な問題を示しています。 これはなりすましの試み、設定の不整合、または認証されていない重要な送信者を示している可能性があります。高い失敗率は、配信率の低下やドメインの悪用を防ぐため、直ちに対処する必要があります。

DMARCレポート管理のベストプラクティス

プロのコツは DMARCレポートの分析を自動化して時間を節約し、手動によるミスを回避することです。それ以外は 以下の推奨事項に従ってください：

ツールによる解析の自動化

DMARC集計レポートはXML形式で配信されるため、手動での読解が困難な場合があります。DMARC分析ツールを使用すると解析が自動化され、 レポートをダッシュボードやサマリーに変換し または要約に変換し、 整合性の失敗、不正な送信者、または見逃していた可能性のあるパターンを発見するのに役立ちます。

週次または月次で報告書を見直す

一貫したレビューにより 新たな問題を早期に発見できます。 高トラフィックのドメインでは週次レビューが効果的であり、小規模環境では月次チェックで十分です。定期的な監視により、 送信元が認証され、設定変更後も整合性が保たれます。

IPソースとサードパーティセンダーの追跡

DMARCレポートは、あなたの代わりにメールを送信しているすべてのサーバーを明らかにします。 あなたの代わりにメールを送信しているすべてのサーバーを明らかにします。接続されていたことを忘れていたサーバーも含まれます。 これらのIPを追跡することで、 どの送信者が正当で、どの送信者を削除・認証・詳細調査すべきかを判断する手助けとなります。 特に重要なのは、 マーケティングプラットフォーム、CRM、チケットシステムなど複数のツールを同時に使用し、すべてが自社ドメインでメールを送信している場合です。

全送信サービスの整合性を維持する

使用するすべてのサービスは がSPFまたはDKIMを通過し、ドメインと整合している必要があります。 そうでなければ、他のすべてが正常に見えてもDMARCは失敗します。プラットフォームを1つや2つ見落とすのは簡単です（特に古い統合では）。そのため、各プラットフォームが正しいSPFインクルードステートメントまたはDKIMキーで設定されていることを再確認する価値があります。すべての送信者が正しく整合すると、認証チェーン全体がはるかに安定します。これにより失敗率が低く保たれ、 ドメインの悪用から守ります。

次のステップ

DMARCレポートを理解することは、メールドメインをなりすましやフィッシング攻撃から保護する上で重要です。本ガイドの手順に従うことで、メール認証を効果的に監視し、脅威に対して対策を講じることができます。

今すぐ取るべき重要な行動：

1. rua/rufタグを使用してDNSレコードを設定し、DMARCレポートを有効化します
2. 自動化ツールを使用してレポートの分析と解釈を簡素化する
3. 定期的なレビューのスケジュールを設定する（週次または月次）
4. すべての承認済みメール送信元の一覧を維持する
5. 認証精度が向上するにつれて、段階的に厳格なDMARCポリシーを適用する

メールセキュリティを簡素化する準備はできていますか？PowerDMARCのDMARCレポートリーダーのようなツールは、複雑なXMLデータを明確で実用的な知見に変換し、フィッシングやなりすましからドメインを保護するのに役立ちます。

よくある質問 (FAQ)

1. DMARCレポートはどのようにメールセキュリティの向上に役立つのですか？

どのメールが認証を通過し、どのメールが失敗するかを表示し、自社ドメインを標的としたなりすましやフィッシング攻撃の試みを検知・阻止するのに役立ちます。

2. DMARCレポートはどのくらいの頻度で生成されますか？

PowerDMARCプラットフォームでは、DMARCレポートはお客様の設定に応じて毎日、毎週、または毎月生成・整理されます。 設定に応じて生成・整理されます。

3. DMARCスコアを向上させるにはどうすればよいですか？

認証の問題を解決し、SPFとDKIMを調整し、DMARCポリシーを徐々に厳しくすることで、DMARCスコアを向上させることができます。

4. DMARCレポートに基づいてどのようなアクションを取れますか？

不正な送信者を特定し、メール設定を調整し、詐欺メールをブロックすることができます。

5. DMARCレポートを受け取った場合、それは何を意味しますか？

受信者が、 メールの認証方法や、認証に失敗した項目があったかどうかについての詳細を共有していることを意味します。

6. なぜDMARCの集計レポートが届くのですか？

DMARCレコードにRUAタグが設定されているため、DMARC集計レポートを受信しています。これらのレポートは、メールプロバイダーから送信され、メール認証におけるドメインの利用状況を監視するのに役立ちます。

7. DMARCレポートを確認するにはどうすればよいですか？

DMARCレポートは、RUAタグで指定されたメールアドレスにアクセスするか、XMLデータを自動的に処理・可視化して解釈を容易にするDMARC分析ツールを使用して確認できます。

8. DMARCレポートは誰が生成しますか？

DMARCレポートは、受信メールサーバーおよびGmail、Yahoo、Outlookなどの主要メールボックスプロバイダー、その他お客様のドメインからのメールを処理するメールサービスによって生成・送信されます。

9. DMARCレポートの送信先はどこですか？

DMARCレポートは、DMARCレコードのRUAタグで指定されたメールアドレスに送信できます。 DMARCレコードのruaタグで指定されたメールアドレスに送信されます。

これには2つの選択肢がある：

1. 専用のメールボックス 作成する (例: [email protected])
2. サードパーティのDMARC分析サービス。複雑なXMLレポートをユーザーフレンドリーなダッシュボードに加工してくれるため、このサービスをお勧めします。

10. DMARCレポートを送信するのは誰ですか？

DMARCレポートは、受信メールサーバーとメールボックスプロバイダーによって送信される。