DMARCを利用した非アクティブ/パークドメインの保護
顧客とのコミュニケーションに電子メールを使用している企業は、顧客の情報の忠実性とプライバシーを保護するために、DMARCに準拠することが重要です。しかし、企業が犯しがちなミスは、ローカル/アクティブドメインのセキュリティを確保する一方で、パークドメインのセキュリティを完全に無視してしまうことです。
DMARCは、スパマーが正当なメールの送信者になりすますのを防ぐために設計されたメール認証プロトコルです。DMARCを使用することで、真の価値を得ることができます。DMARCは業界標準であるだけでなく、これを導入することで、顧客からの信頼と尊敬を得て、サイバー犯罪者からドメインをコントロールできるようになり、配信能力とメッセージの一貫性を高めることができます。
パークドドメインとは何ですか?
パークドメインとは、ウェブマスターが使いやすいエイリアスで、オンラインでの存在感を高めてくれるものです。基本的には、広告や管理目的で別のドメイン名(つまり、パークされた)を使用することを指します。パークドメインは、お客様のビジネスにさらなるブランドエクイティを生み出すための素晴らしい方法です。パークドドメインは、目的を持って登録されたドメインですが、必ずしもメール送信や検索エンジンでのランキングに使用されるわけではありません。
パーキングされたドメインは、通常、中身のない空虚なものです。このようなドメインは、電子メールの送信などのインタラクティブな目的では使用されず、眠ったままになっていることがよくあります。数年前に購入されたものも多く、日々の業務で複数のドメインを利用している大企業にとっては、当然のことながら忘れ去られています。では、そもそもパークされたドメインを保護する必要があるのか、と考えるのは当然でしょう。その答えは、「イエス」です。非アクティブなドメインのセキュリティが低いと、攻撃者に狙われやすくなります。DMARCは、これらのパークドメインを保護し、悪意のある目的に使用されるのを防ぐために役立ちます。
パークドメインの保護にDMARCを活用するには?
一般的に、ISPはDMARCレコードを持たないドメイン名(特にパークドメイン)を低レベルの精査で扱います。これは、これらのドメインがスパムや不正使用から十分に保護されていない可能性があることを意味します。このステップをスキップすることで、メインドメインをp=rejectのポリシーで100%DMARCエンフォースメントで保護しながら、パークドメインは脆弱なままにしている可能性があります。非アクティブドメインのDNSレコードを設定することで、フィッシングやマルウェアの配布に使用されるのを防ぐことができます。
企業経営者にとって、自社の評判は何よりも大切なものです。そのため、メール認証を選択する際には、所有するすべてのドメインに対して行う必要があります。さらに良いことに、DMARCを実装するには、DNSにいくつかのレコードを発行するだけで良いのです。
しかし、DMARCを導入する前に、以下の要素を考慮する必要があります。
1) DNSに有効なSPFレコードが発行されていることを確認してください。
活動していないドメインやパークされているドメインに対しては、特定のドメインが現在活動しておらず、そこから発信されたメールを拒否することを指定するレコードがあればよいのです。以下の構文の空のSPFレコードがまさにそれを行います。
yourparkeddomain.com TXT v=spf1 -all
2) あなたのDNSに機能的なDKIMレコードが発行されていることを確認してください。
過去に有効であったDKIMセレクターを無効にする最良の方法は、セレクターとして(*)を使用し、空の "p "メカニズムを持つDKIMレコードを公開することです。これはMTAに対して、そのパークされたドメインのセレクタがもう有効ではないことを指定します。
*._domainkey.yourparkeddomain.com TXT v=DKIM1; p=.
3) パークされているドメインのDMARCレコードの発行
SPFの公開に加え、パークドメインのDMARCレコードを公開する必要があります。非アクティブドメインのDMARCポリシーに「拒否」を設定することで、ドメインを保護することができます。DMARCを使用すると、当社のDMARCレポートアナライザーダッシュボードで表示できるレポートで、これらのドメインでの不正行為を表示および監視することもできます。
パーク化されたドメインに対して、以下のDMARCレコードを設定することができます。
_dmarc.yourparkeddomain.com TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]
注意 サンプルの RUA および RUF メールアドレスを、DMARC レポートを受信するための有効なメールアドレス (パークドメインを指していないもの) に置き換えてください。または、カスタム PowerDMARC RUA および RUF アドレスを追加して、PowerDMARC アカウントに直接レポートを送信し、DMARC レポートアナライザーダッシュボードで表示することもできます。
既に登録されているパークドメインが多数ある場合には、すべてのパークドメインに対して、単一のドメインを指す以下のCNAMEレコードを設定することができます。
_dmarc.yourparkeddomain.com CNAME _dmarc.parked.example.net
その後、パークドメインにDMARCを設定したのと同じドメインで、RUAとRUFのレポートを受信するメールアドレスを指すDMARC TXTレコードを発行します。
_dmarc.parked.example.net TXT v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]
アクティブドメインとパークドメインにDMARCを手動で実装するのを避けるために、当社の積極的なサポートチームと効果的なDMARCソフトウェアソリューションで、プロセスを自動化し、お客様の組織にとってシームレスなものにするお手伝いをいたします。今すぐDMARCアナライザーにご登録ください!
- ウェブ・セキュリティ101 - ベストプラクティスとソリューション- 2023年11月29日
- 電子メールの暗号化とは何か、そのさまざまな種類は何ですか? - 2023年11月29日
- MTA-STSとは?正しいMTA STSポリシーの設定- 2023年11月25日