DMARCの設定方法DMARC設定と構成ガイド

ブログ

DMARCを設定することで、フィッシングやなりすましなどの電子メールの脅威からどのようにビジネスを保護できるかをご覧ください。セキュリティを向上させ、ブランドの評判を守りましょう。

マイサム・アル・ラワティ

読書時間 7
DMARCの設定方法DMARC設定と構成ガイド
目次-

DMARCを適切に設定することで、電子メールのなりすまし、フィッシング、その他の電子メールベースのサイバー攻撃から組織を保護できます。DMARC(Domain-based Message Authentication Reporting and Conformance)プロトコルを設定することで、電子メールに強固なセキュリティレイヤーを構築し、電子メールが認証され、最新の標準に準拠していることを保証します。この設定プロセスでは、DNSレコードを作成し、ホスティングプロバイダーと協力して公開することで、電子メールのセキュリティをより利用しやすく、管理しやすくします。

主なポイント

  1. DMARCの設定は、SPFとDKIMで電子メールを認証することにより、電子メールのなりすましやフィッシングから保護します。
  2. DNSで定義されたDMARCレコードは、以下のようなポリシーを通じて、不正な電子メールがどのように処理されるかを決定します。 none, quarantineあるいは reject.
  3. DMARCの設定には、レコードの作成、ポリシーの選択、レポートの有効化、DNSでの公開が含まれる。
  4. DMARCレコードの定期的な検証と監視は、正しい設定を保証し、配信の問題を回避するために不可欠です。
  5. 使用 p=reject は、不正なメールが受信者に届かないようにすることで、最大限の保護を提供します。

DMARCを設定するための前提条件

DMARCのセットアッププロセスに入る前に、以下のことを確認してください:

  1. DNS管理コンソールへのアクセス:DNSレコードの作成と公開に不可欠です。
  2. 許可されたメール送信者のリスト:意図しないブロックを避けるために、お客様の代わりにメールを送信するすべてのサービスやサーバーを特定します。
  3. DNSに既存のSPFおよび/またはDKIMレコードがある:DMARCはメール認証のためにこれらのレコードに依存しているため、DNSにこれらのレコードの少なくとも1つがすでに設定されている必要があります。

DMARCの設定方法 ステップバイステップ

DMARC DNSのセットアップを開始するには、以下のセットアップ手順に従ってください:

ステップ1:DMARCレコードの作成

ポリシーを定義し、実装を確立するDNSレコードを作成することから始めます。

無料のレコードを作成するには DMARCジェネレーターツールを使用してください。ツールの画面を開くと、いくつかの必須条件を入力する必要があります。

PowerDMARCでDMARCセットアップを簡素化!

15日間のトライアルデモを予約する

ステップ2:メールに適したDMARCポリシーを選択する

p=ポリシータグはDMARCセットアップで設定する必要のある必須タグです。これを省略すると、レコードは無効になります。 

DMARC-Record-Generator

メールのなりすましを防ぐには、DMARCポリシーを設定する必要があります。 DMARCポリシー設定する必要があります。ただし、DMARCの完全な運用を開始する前にメールを監視したい場合は、"none "ポリシーを選択することもできます。

ステップ3:レポートを有効にし、"生成 "をクリックする 

報告およびクリック生成を有効にする

DMARCセットアップの残りの基準は必須ではありませんが、DKIMとSPFのアライメントフレキシビリティをセットアップしたい場合や、DMARCレポートを有効にしたい場合は可能です。RUAとRUFレポートは、メールフローと認証結果を追跡し、不整合を迅速に検出するのに役立ちます。

最後に、「生成」ボタンをクリックしてDMARC設定を確定し、レコード作成プロセスを終了します。

ステップ4:レコード設定の公開と検証

TXTレコードの作成が完了したら、「コピー」ボタンを使用して構文を直接コピーし、DNS管理コンソールに移動します。DNSにレコードを貼り付け、DMARCのセットアップを完了します。

レコード・セットアップの公開と検証

DMARCレコードを公開する方法については DMARCレコードをご覧ください。

DMARC設定の検証

DMARCを設定した後は、プロトコルがニーズどおりに動作していることを確認し、非常に一般的な「No DMARC record found(DMARCレコードが見つかりません)」エラーに遭遇しないように、設定を検証する必要があります。適切なチェックと監視を行わないと、メールの認証が非常に難しくなり、誤検知やエラーにつながり、メール配信のパフォーマンスに影響を与える可能性があります。

設定を確認するには、PowerDMARCのDMARCチェッカーツールを無料でご利用いただけます。これは、DNS TXTレコードを検証するための即座で効果的なツールで、レコードの有効性のステータスを表示するだけでなく、エラーを強調表示し、より早くコンプライアンスを達成するための改善を提案します!

使うには

  1. 宛先ボックスにドメイン名を入力します(例:ウェブサイトのURLが https://company.comの場合、ドメイン名は company.com)
  2. 検索」ボタンをクリック
  3. スクリーンに表示される結果を見る

より迅速で正確、そして手間のかからない手動認証に代わる方法として、この認証方法をお勧めします。

DMARCセットアップの例

以下は典型的なDMARC設定の例である:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;

注:メール認証の初期段階では、DMARCポリシー(p)を「拒否」ではなく「なし」にして、メールの流れを監視し、厳密なポリシーに移行する前に問題を解決することができます。

DMARCレコード構文

DMARCセットアップのシンタックスは、メールがどのように認証され、認証後にどのようなアクションが実行されるかを決定するため、実装の最も重要な部分です。主なメカニズムをいくつか見てみましょう:

  1. v "フィールドは、DMARC1であるDMARCのプロトコルバージョンを決定する。
  2. p "フィールドは必須DMARCポリシーフィールドであり、none/reject/quarantineポリシーに設定できる。
  3. rua」アグリゲートフィードバックおよび「ruf」フォレンジックレポートフィールドはDMARCレポートオプションであり、受信ESPがお客様の受信者に送信されたメールに関するフィードバックを提供するのに役立ちます。

これらはほんの一部です。DMARCタグに関する詳細なブログでさらに詳しくご覧いただけます。

DMARCを設定すべき理由

フィッシング攻撃の90%は電子メールを媒介としており、電子メール認証が不可欠となっている。2020年のFBIインターネット犯罪苦情センター(FBI IC3レポート2020)は、電子メールを使った攻撃について、米国で28,500件の苦情が寄せられたと報告している。このような電子メールフィッシングの統計は、即座にDMARCの重要性を浮かび上がらせる。

ご存知でしたか?

  • 2020年、世界中の組織ドメインの75%が詐称され、フィッシングメールを送信した。 フィッシングメール被害者に
  • フィッシングキャンペーンの74%が成功
  • BECの頻度は昨年より15%増加した
  • IBM社の報告によると、昨年、5社に1社が悪意のある電子メールによるデータ漏洩を経験しています。

あなたのドメインメール詐欺からどれだけ守られているか、今すぐ確認してください!

DMARC設定の利点と用途

DMARCの設定は、以下のような場合に有効です。

  • 許可された送信者のみが、お客様のメールドメインに代わってメールを送信できるようにします。
  • メールフィッシングやダイレクトドメイン詐称攻撃を防ぐために
  • お客様に代わって電子メールを送信するIPアドレスまたは送信元を表示する場合
  • スパムメールが受信者に届かないようにするために
  • 正当なメールトラフィックのメール配信性を向上させるため

DMARCセットアップFAQ

1.DKIMやSPFなしでDMARCを設定できますか?

いいえ。メールが認証されるようにするには、2つのうちどちらかを設定する必要があります。両方設定することも可能で、それが最大のセキュリティのために推奨される方法ですが、これは完全にオプションです。

この2つのアプローチについては、ナレッジベースで詳しく解説している。

2.最適なDMARC設定とは?

メールベースの攻撃から最大限保護したい場合、最適なDMARC設定はp=rejectです(pはレコードポリシーを指定するために使用されるメカニズムです)。適切なDMARCの設定は、あなたが望むエンフォースメントの量(DMARCに失敗したメールを受信者がどの程度厳格に処理したいか)に依存します。

監視のみを行う場合は、DMARCを "none "ポリシーで設定することができます。一方、未承認のメールを破棄または受け入れる前に、隔離フォルダまたはスパムフォルダで確認したい場合は、"quarantine "を設定することができます。

DMARCを設定してドメインがなりすまされるのを防ぎ、フィッシングやBEC攻撃を阻止したい場合は、DMARCレコードを生成する際に以下の基準を選択することをお勧めします:

DMARCポリシーを p=拒否

これはどういうことでしょうか?

あなたの組織でDMARC設定を「拒否する」を選択してDMARC実施を構成する場合、これは、あなたのドメインから送信されたメールメッセージがDMARC認証に失敗するたびに、悪意のあるメールがメール受信者の受信トレイに配信されるのではなく、受信メールサーバーによって即座に拒否されることを意味します。

3.DMARCをオフにするには?

ドメインの電子メール認証をオフにすることは、推奨されませんし、推奨されません。その点を考慮した上で、それでもこのプロトコルを無効にしたい場合は、以下の手順に従ってください:

  1. DNSレジストラの管理コンソールにアクセスする。
  2. 高度なDNSエディタに移動して、DNS設定を編集します。
  3. DMARCを無効にしたいドメインを探す
  4. DMARC TXTレコードの削除
  5. 変更を保存し、変更が反映されるまでしばらく待つ。

コンソールにアクセスできない場合は、ドメインレジストラに連絡してレコードを削除することもできます。 

DMARCのDNSエントリを削除すると、特定のドメインのプロトコルが自動的に無効になります。ただし、DMARCが有効になっている複数のドメインがある場合は、当該ドメインのDNSエントリを手動で削除し、組織で無効にする必要があります。

PowerDMARCでDMARCを簡単にセットアップ

アカウント作成 アカウント作成時 PowerDMARC でアカウントを作成すると、プロトコルの実装とセットアップを代行します。また、お客様のドメインとEメールの健全性を管理・監視し、集計レポートを解析し、専用のダッシュボードで認証結果を整理します。

手動のセットアップの手間を省きたい場合は、15日間の無料トライアルでプロセスを自動化することができます。メール認証のメリットを享受し、お客様のドメインを効果的に保護するDMARCのセットアップを行うには、今すぐにご登録ください!

最新記事 by Maitham Al Lawati(全て見る)
2024年のPowerDMARC:1年を振り返ってPowerDMARC-in-2024--A-Year-in-Review-dmarc ポリシーが有効でない2025で「DMARCポリシーが有効になっていません」を修正するには?