p=reject後の人生:DMARCの旅がまだ終わらない理由

ブログ

DMARCセキュリティポリシーのp=reject以降のライフは、そのドメインのメールセキュリティ態勢の全体的な強さを決定します。

byアホナ・ルドラ

読書時間 6
p=reject後の人生:DMARCの旅がまだ終わらない理由
目次-

ドメイン所有者はしばしば、メール認証の旅はエンフォースメント(DMARC p=reject)で終わりだと思い違いをしています。しかし、p=rejectの後がドメインの全体的な強度を決定する重要なフェーズであることを、彼らはあまり知りません。 メールセキュリティを決定する重要な段階であることを知らないのです。なりすましやフィッシング攻撃から継続的に保護するためには、エンフォースメントを達成した後のメールセキュリティ戦略の策定が不可欠です。これには、メール認証セットアップの全体的な健全性を確保するための継続的な監視、レポート、管理が含まれます。

p=rejectポリシーを有効にするというゴールに到達しても、DMARCの旅がまだまだ終わらない理由を探ってみましょう。

主なポイント

  1. p=rejectへの移行に成功すると、なりすましメールやフィッシング攻撃に対する防御が大幅に強化されます。
  2. DMARCレポートの継続的な監視と分析は、電子メールのセキュリティと拒否後の配信性を維持するために非常に重要です。
  3. DMARCをSPFとDKIMの両方と統合することは、誤検出のリスクを減らし、すべてのメールが適切に認証されるようにするために必要です。
  4. すべての送信元がSPFレコードに含まれるようにすることで、不必要なDMARCの失敗を最小限に抑えることができます。
  5. 厳格な電子メール認証およびセキュリティ基準を維持するためには、サードパーティベンダーの継続的な評価が不可欠である。

p=rejectとは? 

その DMARCポリシーには、3つの決定的な実施モードがあります。

  1. p=none(アクションを起こさない)
  2. p=隔離(DMARCに失敗したメールを隔離する) 
  3. p=reject(DMAR失敗時にメールを拒否する) DMARC失敗)

拒否はDMARCの最大実施ポリシーであり、ドメイン所有者がなりすましメールやフィッシングメールをブロックするのに役立ちます。 フィッシングメールをブロックすることができる。DMARCを活用して電子メールベースの攻撃ベクトルからドメインを保護したい人は、p=rejectが適切なポリシーモードであることがわかるかもしれません。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

p=rejectモードを有効にするには? 

DMARCのp=rejectポリシーを有効にするには、以下の例に示すように、ドメインのDNS設定でDMARC DNSレコードを編集するだけです: 

前のレコード:v=DMARC1; p=隔離;

編集記録v=DMARC1; p=拒否

編集したレコードの変更を保存し、DNSが変更を処理するまでしばらく時間をおいてください。 

PowerDMARCをご利用のお客様で、弊社のホスト型DMARC機能をご利用の場合、DNSにアクセスすることなく、弊社のプラットフォーム上で直接ポリシー設定の「拒否」オプションをクリックするだけで、DMARCポリシーのモードを以前のモードからp=拒否に変更することができます。

ダーマークポリシー

拒否時のDMARCに関連する潜在的リスク

多くの場合、ドメイン所有者はプロトコルの導入プロセスを急ごうとし、できるだけ早くエンフォースメントを達成しようとします。しかし、これは推奨されません。その理由を説明しましょう。 

  • 非常に速いペースで施行に移行すると、メール配信の問題が発生することがある 
  • 正規の電子メールメッセージを消失させる可能性がある 
  • 独自ドメイン以外で送信されたメールのDMARCに失敗することがある 

安全にp=rejectに到達するには?

拒否ポリシーには警告や免責事項がつきものですが、さまざまなメール詐欺の攻撃を防ぐ効果は否定できません。そこで、ここからは安全に拒否に移行するための方法を探っていきましょう。 

p=noneでスタート

強制的なポリシーから始めるのではなく、より柔軟で自由なものから始めることが強く推奨されます:まさにそれがp=noneです。このポリシーは、保護という点ではあまり効果がありませんが、実装の旅を支援する優れた監視ツールとして機能します。 

DMARCレポートを有効にする

メールチャネルを監視することで、プロトコルの誤設定による不要な配信障害を防ぐことができます。また、エラーを可視化して検出し、トラブルシューティングを迅速に行うことができます。 

DMARCレポートは、電子メール認証ポリシーの有効性を確認するのに役立ちます。

メール認証は銀の弾丸ではありませんが、セキュリティ対策として有効な手段です。DMARCレポートにより、貴社の取り組みがうまくいっているかどうか、また戦略を調整する必要がある箇所を確認することができます。

2種類のレポートがあります。 

  • アグリゲート(RUA)は、メール送信元、送信者のIPアドレス、組織ドメイン、ジオロケーションの追跡を支援するように設計されています。 
  • フォレンジック(RUF)は、スプーフィングなどのフォレンジックイベントが発生した際に、インシデントアラートレポートとして機能するよう設計されている
  • SPFとDKIMの両方を設定する SPFとDKIMとDMARC

DMARCの実装に関しては、料理人が多すぎてスープが台無しになることはない。むしろ、セキュリティ専門家は、DMARCをSPFとDKIMの両方と組み合わせることを推奨している。また、望まないDMARCの失敗を防ぐこともできる。 

DMARCは以下のいずれかを必要とします。 SPFまたは DKIMが必要です。

これは、SPFが失敗してDKIMが通過した場合、またはその逆の場合でも、意図したメッセージに対してMARCが通過することを保証し、拒否ポリシーを安全に実装するために極めて重要な役割を果たします。

すべての送信元を含める

SPFレコードの送信元を見逃すことは、DMARCの不合格を避けようとする場合、特に不利になります。すべてのメール送信元(サードパーティのメールベンダーやGmailなどのサービスプロバイダを含む)のリストを作成することが重要です。 GmailMicrosoft O365、Yahoo Mail、Zohoなど)

これは、SPFをDMARCと組み合わせてのみ使用している場合に特に重要です。送信元を追加または削除するたびに、SPFレコードに同じ変更を反映させる必要があります。 

p=rejectの後は? 

p=rejectに成功したら、次のことが期待できる:

  1. 電子メールセキュリティ:SPFとDKIMの両方の認証チェック(DMARCの設定によっては少なくとも1つ)に合格したメールのみが受信者に配信されます。これらのチェックに失敗したメールは拒否され、目的の受信トレイには届きません。
  2. なりすましやフィッシング攻撃の減少:p=rejectに到達することで、独自ドメインに対する直接ドメインのなりすましや電子メールによるフィッシング攻撃のリスクを最小限に抑えることができます。
  3. ドメイン偽装のリスクを低減:DMARCを導入することで、ドメイン名によるなりすましのリスクも最小限に抑えることができ、攻撃者がお客様のドメイン名を悪用してお客様の代わりに悪意のあるメールを送信することを防ぐことができます。

なぜp=rejectを超えてDMARCの旅を続けるのか?

p=rejectを有効にしたところで、あなたのドメインが魔法のように潜在的な脅威や出現しつつある脅威をすべて取り除けるわけではありません!ただ、それらに対する防御がうまくなっただけなのです。以上が、p=rejectの直後にDMARCの旅を止めるべきでない理由です: 

  1. メール配信の問題:p=rejectに到達した後のメールトラフィックの綿密な監視が欠けていると、メール配信の問題につながる可能性があります。
  2. 新たな攻撃ベクトル:脅威者は、サイバー攻撃を仕掛けるための新しく洗練された方法を随時考案しており、p=rejectであっても電子メールの認証チェックをバイパスすることが多い。
  3. 微調整:正当な電子メールが拒否された場合、SPF、DKIM、またはサードパーティサービスの設定を調整する必要がある場合があります。例えば、新しいサービスがお客様の代わりにメールを送信する場合、SPFレコードを更新したり、そのサービス用にDKIMを設定する必要があるかもしれません。

p=不合格達成後の優先課題

p=rejectを達成したら、メールのセキュリティをさらに強化し、ドメインの評判を維持するために、次の必要なステップを踏む必要があります: 

継続的なモニタリングと分析

引き続きDMARCレポートを確認し、インサイトを監視することで、不正メールの新たな送信元や設定ミスを特定することができます。 

非アクティブドメインとサブドメインの保護 

同じp=rejectポリシーがサブドメインや非アクティブドメインにも適用されていることを確認してください。安全でないサブドメインやパークドメインは、しばしばハッカーに悪用されます。 

BIMI(メッセージ識別のためのブランド・インジケータ)の導入 

強制DMARCポリシーは、以下の必須要件です。 BIMI.そのため、DMARCの有効化が完了したら、次のステップとしてBIMIを有効にする必要があります!これにより、送信メールにブランドロゴを添付したり、Google、Yahoo、Zoho Mailなどのいくつかのサポートメールボックスで青い検証済みチェックマークを取得したりすることができます。

着信メッセージのMTA-STSを有効にする 

DMARCを使用して送信メールを保護すると、受信メールはどうなりますか?有効化 MTA-STSを有効にすると、TLS暗号化が実施され、安全な接続を介して送信されたメッセージのみがメールボックスに届くようになり、中間者攻撃を防ぐことができます。

第三者ベンダー管理

電子メールを送信するサードパーティベンダーが、厳格な電子メール認証およびセキュリティ基準を遵守していることを確認する。ベンダーとの契約に、メール認証の遵守に関する条項が含まれていることを確認する。

脅威インテリジェンス技術の探求 

脅威予測インテリジェンスサービスは、AIを活用した高度な技術により、新たな電子メールベースの脅威やサイバー攻撃の検出、予測、軽減を支援します。セキュリティスタックに追加することで、ドメイン保護が大幅に強化されます。

p=reject後の人生を総括する

電子メール認証プロトコルのモニタリングは、p=reject後の生活に欠かせないものです。セキュリティ対策の有効性を維持するだけでなく、その機能性をより深く理解することで、何が最適かを判断することができます。  

PowerDMARCは、p=noneから拒否へのスムーズな移行をサポートし、次のステップへの準備を整えます。配信可能性の問題を回避し、メール認証プロトコルを簡単に管理することができます、 お問い合わせ今すぐご連絡ください!

最新記事 by Ahona Rudra(全て見る)
フィッシングとDMARCの統計DNSフォワーディングとは?