フィッシングやEメールベースの攻撃が流行しているため、DMARCの設定を行い、差し迫ったサイバー攻撃に対する防御を固める必要があります。DMARC(Domain-based Message Authentication Reporting and Conformance)プロトコルを設定することは、電子メールのコンプライアンスを得るための第一歩です。DMARCを設定するには、DNSレコードを作成し、ホスティングプロバイダーの助けを借りて公開するのが最も早い方法です。
設定方法 DMARCを設定するには、まずDMARCレコードを作成する必要があります。複雑に聞こえるかもしれませんが、DMARCの設定プロセスは比較的簡単です!
DMARCセットアップの説明
DMARC設定は、電子メールのなりすまし、フィッシング、および電子メール詐欺に対抗するために組織を支援する電子メール認証プロセスです。DMARCの設定は、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)などの他の電子メール認証システムと連携して、電子メール通信の真正性を検証します。
DMARCを設定すべき理由
フィッシング攻撃の90%は電子メールを媒介としており、電子メール認証が不可欠となっている。2020年のFBIインターネット犯罪苦情センター(FBI IC3レポート2020)は、電子メールベースの攻撃に関して米国で28,500件の苦情が寄せられたと報告している。これは即座にDMARCを前面に押し出している。
ご存知でしたか?
- 2020年、世界中の組織ドメインの75%が詐称され、フィッシングメールを送信した。 フィッシングメール被害者に
- フィッシングキャンペーンの74%が成功
- BECの頻度は昨年より15%増加した
- IBM社の報告によると、昨年、5社に1社が悪意のある電子メールによるデータ漏洩を経験しています。
あなたのドメインメール詐欺からどれだけ守られているか、今すぐ確認してください!
DMARCセットアップの要件
DMARCレコードを設定し、それを実行することを決定した場合、実装に移る前に必要な前提条件があります。
- DNS管理コンソールにアクセスする必要があります
- 許可されたメール送信者をすべて認識していることを確認する
- DNSにSPFレコードやDKIMレコードを公開する。
DMARC設定の基本要素:SPFとDKIMのアライメント
DMARCポリシーを設定するには DMARCポリシー を設定するには、Sender Policy Framework (SPF) または DomainKeys Identified Mail (DKIM) のいずれか、あるいは両方を実装する必要があります。
SPFは、どのIPアドレスまたは送信元があなたのドメインからの送信メールの送信を許可されているかをメールサーバーに知らせます。 DKIMは、送信メールにデジタル署名を追加し、メッセージの改ざんを防止します。これにより、スパムメッセージや、フィッシング詐欺などで貴社のブランドになりすました詐欺メールが貴社のメールクライアントに届くのを防ぎます。
From:ドメインのSPFおよびDKIMヘッダーフィールドの部分一致を渡すようにドメインアライメントを設定することもできるし、完全一致を選んでより厳格な認証を選ぶこともできる。
DMARCの設定方法とは? ステップバイステップガイド
DMARC DNSのセットアップを開始するには、以下のセットアップ手順に従ってください:
ステップ1:DMARCレコードの作成
ポリシーを定義し、実装を確立するDNSレコードを作成することから始めます。
無料のレコードを作成するには DMARCジェネレーターツールを使用してください。ツールの画面を開くと、いくつかの必須条件を入力する必要があります。
ステップ2:メールに適したDMARCポリシーを選択する
p=ポリシータグはDMARCセットアップで設定する必要のある必須タグです。これを省略すると、レコードは無効になります。
p=ポリシータグはDMARCセットアップで設定する必要のある必須タグです。これを省略すると、レコードは無効になります。
メールのなりすましを防ぐには、DMARCポリシーを設定する必要があります。 DMARCポリシーを設定する必要があります。ただし、完全に実施する前にメールを監視したい場合は、「なし」ポリシーを選択できます。
ステップ3:レポートを有効にし、"生成 "をクリックする
残りの基準は必須ではありませんが、DKIMとSPFのアライメント・フレキシビリティを設定したり、DMARCレポートを有効にしたい場合は、設定できます。RUAとRUFレポートは、メールフローと認証結果を追跡し、不整合を迅速に検出するのに役立ちます。
最後に、「生成」ボタンをクリックしてDMARC設定を確定し、レコード作成プロセスを終了します。
ステップ4:レコード設定の公開と検証
TXTレコードの作成が完了したら、「コピー」ボタンを使用して構文を直接コピーし、DNS管理コンソールに移動します。DNSにレコードを貼り付け、DMARCのセットアップを完了します。
DMARCレコードを公開する方法については DMARCレコードをご覧ください。
DMARCセットアップの例
以下は典型的なDMARC設定の例である:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:mymail@domain.com; ruf=mailto:mymail@domain.com; pct=100; fo=0;
注:メール認証の初期段階では、DMARCポリシー(p)を「拒否」ではなく「なし」にして、メールの流れを監視し、厳密なポリシーに移行する前に問題を解決することができます。
レコード構文を否定する
DMARCセットアップのシンタックスは、メールがどのように認証され、認証後にどのようなアクションが実行されるかを決定するため、実装の最も重要な部分です。主なメカニズムをいくつか見てみましょう:
- v "フィールドは、DMARC1であるDMARCのプロトコルバージョンを決定する。
- p "フィールドは必須DMARCポリシーフィールドであり、none/reject/quarantineポリシーに設定できる。
- rua」アグリゲートフィードバックおよび「ruf」フォレンジックレポートフィールドはDMARCレポートオプションであり、受信ESPがお客様の受信者に送信されたメールに関するフィードバックを提供するのに役立ちます。
これらはほんの一部です。DMARCタグに関する詳細なブログでさらに詳しくご覧いただけます。
DMARCレコード設定の確認
DMARCを設定した後は、プロトコルがニーズどおりに動作していることを確認するために、設定を検証する必要があります。適切なチェックと監視を行わないと、メールの認証が非常に難しくなり、誤検知や失敗が発生し、メール配信のパフォーマンスに影響を与える可能性があります。
セットアップを確認するには、PowerDMARCのDMARCチェッカーツールを無料でご利用いただけます。これは、DNS TXTレコードを検証するための即時かつ効果的なツールであり、レコードの有効性のステータスを表示するだけでなく、エラーを強調表示し、より早くコンプライアンスを達成するための改善を提案します!
使うには
- 宛先ボックスにドメイン名を入力します(例:ウェブサイトのURLが https://company.comの場合、ドメイン名は company.com)
- 検索」ボタンをクリック
- スクリーンに表示される結果を見る
より迅速で正確、そして手間のかからない手動認証に代わる方法として、この認証方法をお勧めします。
DKIMやSPFなしでDMARCを設定できますか?
いいえ。メールが認証されるようにするには、2つのうちどちらかを設定する必要があります。両方設定することも可能で、それが最大のセキュリティのために推奨される方法ですが、これは完全にオプションです。
この2つのアプローチについては、ナレッジベースで詳しく解説している。
DMARC設定の利点と用途
DMARCの設定は、以下のような場合に有効です。
- 許可された送信者のみが、お客様のメールドメインに代わってメールを送信できるようにします。
- メールフィッシングやダイレクトドメイン詐称攻撃を防ぐために
- お客様に代わって電子メールを送信するIPアドレスまたは送信元を表示する場合
- スパムメールが受信者に届かないようにするために
- 正当なメールトラフィックのメール配信性を向上させるため
最適なDMARC設定とは?
メールベースの攻撃から最大限保護したい場合、最適なDMARC設定はp=rejectです(pはレコードポリシーを指定するために使用されるメカニズムです)。適切なDMARCの設定は、あなたが望むエンフォースメントの量(DMARCに失敗したメールを受信者がどの程度厳格に処理したいか)に依存します。
監視のみを行う場合は、DMARCを "none "ポリシーで設定することができます。一方、未承認のメールを破棄または受け入れる前に、隔離フォルダまたはスパムフォルダで確認したい場合は、"quarantine "を設定することができます。
DMARCを活用したドメイン・スプーフィングの防止
DMARCを設定してドメインがなりすまされるのを防ぎ、フィッシングやBEC攻撃を阻止したい場合は、DMARCレコードを生成する際に以下の基準を選択することをお勧めします:
DMARCポリシーを p=拒否
これはどういうことでしょうか?
あなたの組織でDMARC設定を「拒否する」を選択してDMARC実施を構成する場合、これは、あなたのドメインから送信されたメールメッセージがDMARC認証に失敗するたびに、悪意のあるメールがメール受信者の受信トレイに配信されるのではなく、受信メールサーバーによって即座に拒否されることを意味します。
DMARCをオフにするには?
ドメインの電子メール認証をオフにすることは、推奨されませんし、推奨されません。その点を考慮した上で、それでもこのプロトコルを無効にしたい場合は、以下の手順に従ってください:
- DNSレジストラの管理コンソールにアクセスする。
- 高度なDNSエディタに移動して、DNS設定を編集します。
- DMARCを無効にしたいドメインを探す
- DMARC TXTレコードの削除
- 変更を保存し、変更が反映されるまでしばらく待つ。
コンソールにアクセスできない場合は、ドメインレジストラに連絡してレコードを削除することもできます。
DMARCのDNSエントリを削除すると、特定のドメインのプロトコルが自動的に無効になります。ただし、DMARCが有効になっている複数のドメインがある場合は、当該ドメインのDNSエントリを手動で削除し、組織で無効にする必要があります。
PowerDMARCでDMARCを簡単にセットアップ
アカウント作成 アカウント作成時 PowerDMARC でアカウントを作成すると、プロトコルの実装とセットアップを代行します。また、お客様のドメインとEメールの健全性を管理・監視し、集計レポートを解析し、専用のダッシュボードで認証結果を整理します。
手動のセットアップの手間を省きたい場合は、15日間の無料トライアルでプロセスを自動化することができます。メール認証のメリットを享受し、お客様のドメインを効果的に保護するDMARCのセットアップを行うには、以下にサインアップしてください。 DMARCアナライザーにサインアップしてください!
- SPFエラー修正:SPFのToo Many DNS Lookups制限を克服する- 2024年4月26日
- 3ステップでDMARCレコードを公開する方法とは?- 2024年4月2日
- なぜDMARCは失敗するのか?2024年にDMARCの失敗を修正する- 2024年4月2日