分析日:20/05/2024

スイスにおけるDMARCとMTA-STSの導入:2024年レポート

電子メール認証は、2024年の電子メール・セキュリティのフロンティア・プレーヤーとして台頭してきた。グーグルやヤフーなどの大手メールサービスや受信箱プロバイダーは最近、送信者の必須要件をアップグレードし、販促用以外のメールと販促用のメールの両方でメール認証の実装を義務化した。しかし、なぜこのような突然の革命が起きたのでしょうか? 

電子メール詐欺が増加している。フィッシングやなりすまし攻撃は以前にも増して横行しており、その数は推定で 34億通の詐欺メールが毎日送信されています!悪意のあるメールから自社と顧客を守るためには、認証が必須です。

DMARCの統計を分析することで、これらのプロトコルが不正な電子メールの使用を防止し、可視性を高めるための詳細なレポートを提供することで、組織をどのように保護しているかが明らかになります。

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、メールドメインの所有者が、不正使用、なりすまし、フィッシング攻撃からドメインを保護できるように設計されたメール認証プロトコルです。DMARCポリシーを設定することで、不正なメールを拒否したり、メールチャネル、送信元、認証結果を可視化するためのレポート機能を有効にすることもできます。 

MTA-STS(Mail Transfer Agent Strict Transport Security)プロトコルは、電子メール送信時にTLS(Transport Layer Security)の使用を強制することで、電子メール通信のセキュリティを向上させるように設計されています。受動的な盗聴や能動的な中間者攻撃から電子メールトラフィックを保護するのに役立ちます。

デモのご予約 PDFダウンロード

脅威の状況を把握する

電子メールを使った脅威が世界的に急増する中、スイスはますます危険にさらされている。技術の急速な進歩、特にAIの導入により、世界中でサイバー犯罪の可能性が高まっている。こうした技術革新は、多くの点で有益である一方、サイバー犯罪者がすぐに悪用する新たな脆弱性も生み出している。 

スイスでは、他の国と同様、サイバー脅威が大幅に増加しており、組織や政府にとってサイバーセキュリティ態勢を強化することが重要となっている。組織は今、機密情報を保護し、電子メール通信の信頼性を維持するために、積極的なアプローチを取るべきである。

スイスインフォSwissinfo.chに掲載された記事によると、2023年、連邦事務局はantiphishing.chウェブサイトを通じて187,000件の報告を受け、スイス国内の8,223のフィッシングウェブサイトを削除した。

さらに、スイス国立サイバーセキュリティセンター(NCSC)の 2023年フィッシング対策レポートは、ブランド名になりすました10,000以上のフィッシング・ウェブサイトを分析し、そのうち60%以上がスイスのブランド名であることを明らかにした。NCSCは、2022年から2023年にかけて、スイスにおけるサイバー犯罪がほぼ倍増したことを明らかにし、大きな警戒心を引き起こした。

2024年スイスDMARCおよび電子メール認証導入レポートでは、以下の主要な懸念事項を取り上げます:

  • スイスの組織におけるSPFとDMARCの導入と施行の現状は?

  • スイスの組織におけるMTA-STS導入の現状は?

  • スイスの組織におけるDNSSECの有効化率は?

  • なりすまし攻撃を防ぐために、スイスのサイバーセキュリティと電子メール認証インフラをどのように改善すればよいのか?

  • フィッシングメールやその他のサイバー攻撃に最も脆弱なスイスの業種は?

  • 企業はどのようにして電子メールベースの脅威を軽減できるのか?

現在のシナリオをより深く理解するために、スイスのトップ企業や組織の1103のドメインを分析した:

  • フィットネス

  • ヘルスケア

  • メディア

  • 政府

数字は何を示しているのか?

SPF、DMARC、MTA-STS、DNSSECの徹底的な採用分析が、1103のスイスの全ドメインを調査しながら行われ、その結果、以下のことが判明した:

スイスドメインのSPF採用分析

BIMIロゴ

スイスドメインのDMARC導入分析

BIMIロゴ

スイスドメインのMTA-STS採用分析

BIMIロゴ

スイスドメインのDNSSEC導入分析

BIMIロゴ

グラフィカル分析:スイスのさまざまな組織に属する1103のドメインを調査した結果、730ドメイン(66.2%)が正しいSPFレコードを保有していたが、351ドメイン(31.8%)は残念ながらSPFレコードをまったく保有していなかった。487ドメイン(44.2%)が正しいDMARCレコードを持っていたが、6ドメイン(0.5%)がエラーを含むDMARCレコードを持っていた。大半のドメイン(610ドメイン、55.3%)はDMARCレコードが見つからなかった。264のドメインでDMARCポリシーが「なし」(23.9%)に設定され、監視のみが有効化され、117のドメイン(10.7%)でDMARCポリシーが「隔離」に設定され、106のドメイン(9.6%)でDMARCポリシーが最大実施(すなわちp=拒否)に設定された。

輸送部門

スイス運輸セクターにおけるSPF導入分析

BIMIロゴ

スイス運輸セクターにおけるDMARC導入分析

BIMIロゴ

スイス運輸セクターにおけるMTA-STS導入分析

BIMIロゴ

スイス運輸セクターにおけるDNSSEC導入分析

BIMIロゴ

主な調査結果

  • 33.1%のドメインにSPFレコードがない 
  • 17.7%のドメインがDMARCポリシーをp=noneに設定していた。
  • 62.9%のドメインでDMARCレコードが見つからなかった。 
  • 96%のドメインがMTA-STSを有効にしていない 
  • DNSSECは78.9%のドメインで無効化されていた。

銀行セクター

スイスの銀行セクターにおけるSPF導入分析

BIMIロゴ

スイスの銀行セクターにおけるDMARC導入分析

BIMIロゴ

スイスの銀行セクターにおけるMTA-STS導入分析

BIMIロゴ

スイスの銀行セクターにおけるDNSSEC導入分析

BIMIロゴ

主な調査結果

  • 11%のドメインにSPFレコードがなかった 
  • 54.9%のドメインがDMARCポリシーをp=noneに設定していた。
  • 27.5%のドメインでDMARCレコードが見つからなかった。 
  • 98.9%のドメインはMTA-STSを有効にしていない 
  • この分野のドメインの82.4%でDNSSECが無効になっていた。

教育部門

スイスの教育セクターにおけるSPF導入分析

BIMIロゴ

スイスの教育セクターにおけるDMARC導入分析

BIMIロゴ

スイスの教育セクターにおけるMTA-STS導入分析

BIMIロゴ

スイスの教育セクターにおけるDNSSEC導入分析

BIMIロゴ

主な調査結果

  • 49.1%のドメインにSPFレコードがない 
  • 20.5%のドメインがDMARCポリシーをp=noneに設定していた。
  • 64.3%のドメインでDMARCレコードが見つからなかった。 
  • どのドメインもMTA-STSを導入していない。 
  • DNSSECも、分析したドメインの80.4%で無効になっていた。

スイスにおける異なるセクター間のSPF導入の比較分析

BIMIロゴ

SPFの採用率は最も低かった。 最低であった。スイスの 教育およびメディア部門.一方 最もSPFの採用率が最も高かったのは、スイスの 政府、銀行 ジョブ・ボード、フィットネス・セクター.

スイスにおける異なるセクター間のDMARC導入の比較分析

BIMIロゴ

スイスの 教育、メディア、運輸 部門注目すべき 低い DMARCの導入率は低い。最も 最もDMARCの採用率が最も高かったのは スイスのフィットネス 部門であった。全セクターでDMARCを導入している組織の割合が高かった。 「なし」のDMARCポリシーを導入している.

スイスにおける異なるセクター間のMTA-STS導入の比較分析

BIMIロゴ

平均 89.97%スイスの1103のドメインのうち がMTA-STSを実装していなかった。.

スイスにおける異なるセクター間のDNSSEC導入の比較分析

平均 80.69%.分析した1103のドメインのうち、スイスのドメインの平均80.69%、 DNSSECが無効になっていました。.

スイスの組織が犯している重大な誤り

スイスのさまざまなセクターや業種にわたる1103のドメインを調査した結果、スイスの組織や政府が重大なミスを犯しており、悪用される可能性があることが判明しました。

  • SPFレコードとDMARCレコードの欠落

    ドメイン不足 SPFおよび DMARCレコードがないドメインは、スパム、なりすまし、フィッシング攻撃、メール配信の問題、ドメインの評判低下のリスクが高くなります。これは、SPFとDMARCがメール認証プロトコルであり、許可された送信者のみがあなたのドメインに代わってメッセージを送信できるように連携し、許可されていないメッセージは拒否される可能性があるためです(DMARCのp=rejectになっている場合)。

    さらに、グーグルとヤフーが更新した 送信者要件は、すべての送信者がSPFを実装し、一括送信者がDMARCを有効にすることを義務付けている。これを怠ったドメインは、GoogleやYahooの受信トレイにメールを送信しようとした際にブロックされる可能性がある。

  • 電子メール認証設定のエラー

    SPFの場合、よくある構文エラーには、間違ったバージョンタグ、空白の欠落や余分なスペース、不正なメカニズム、認識されない修飾子、文字/ルックアップ制限の超過、`all`メカニズムの欠落などがある。DMARCの場合、よくある構文エラーは、間違ったバージョンタグ(例えば、`v=DMARC1;`は正しい)、セミコロンの欠落や余分なスペース、間違ったポリシータグなどです。これらのエラーを避けることで、適切なメール認証が保証されます。

    同様に、MTA-STAレコードやMTA-STSポリシーファイルの構文エラーも、設定を無効にする可能性があります。したがって、正確性を確保することは必須です!

  • DMARCポリシーの使用方法

    DMARCの「なし」ポリシーは、何もしないポリシーです。つまり、メッセージがDMARC認証に失敗しても、受信者の受信トレイに配信されます!p=noneのドメインはサイバー攻撃から保護されません。これを補強するために、最近、ハッカーグループKimsukyは、寛容なDMARCポリシーを使用しているドメインを悪用した一連のフィッシング攻撃を開始しました。 

    DMARCを "なし "に設定して始めると、電子メールのトラフィックやアクティビティを監視するのに役立ちますが、このレベルを長く維持するのは効果的ではありません。徐々に、しかし安全に DMARCポリシーを "隔離 "または "拒否 "にアップグレードすることで、ドメインスプーフィングを防ぐことができます。

    スイスの多くの組織は現在、DMARCポリシーを「なし」に設定しており、ドメインのセキュリティを弱めている。DMARCアナライザー DMARCアナライザーを活用することで、より厳格な実施へのスムーズな移行を促進し、ドメインが悪用されるリスクを大幅に減らすことができます。

  • MTA-STSおよびTLS-RPTレコードの欠落

    MTA-STSは、暗号化されたTLSチャネルでの送信を強制することでSMTP電子メールを保護し、中間者攻撃などの傍受技術を防止します。MTA-STSを採用すると、電子メールのセキュリティが大幅に向上します。しかし、スイスの多数のドメインはMTA-STSを実装していないため、攻撃を受けやすくなっています。 SMTP TLSレポートは、TLS暗号化の失敗による電子メール配信の問題についての洞察を提供することで、MTA-STSと連携します。

  • ドメインに対するDNSSECの無効化

    DNSSECは、DNSで共有される情報の電子署名を支援するIETF拡張のコレクションです。認証を通じてDNSのセキュリティを強化し、DNSサーバーでの保護された情報交換を容易にします。DNSSECは、DNSスプーフィングなどのDNSレベルのサイバー攻撃を防ぐのに役立ちます。

    すべてのセクターに属するスイスのドメインの大多数がDNSSECを無効にしており、DNSが流出や改ざんに脆弱な状態になっていた。

  • SPFの最大ルックアップ制限を超える

    RFCは、ドメイン所有者のSPF処理制限を規定しており、SPF実装者はDNSルックアップ回数を10回未満に保たなければならないと述べている。include"、"ptr"、"redirect "など、いくつかのメカニズムや修飾子がルックアップ回数に加わります。また、サードパーティのメールベンダーも複雑さを増しています。したがって 10 DNSルックアップ制限SPFを破壊し、エラーを返すことはよくあることです。

    スイスのドメインのかなりの部分が無効なSPFレコードを持っているが、これはDNSルックアップの制限を超えるという一般的な問題によるものと思われる。

  • 同一ドメインに対する複数のDMARC/SPFレコード

    各ドメインが単一のSPFおよびDMARCレコードを持つようにすることが極めて重要です。同じドメインに複数のレコードがあると、SPFが無効になります。これはスイスの組織でよく見られる間違いですが、修正することができます。したがって、1つのドメインに複数のレコードを設定しないことが重要です。

スイスの組織は電子メールのセキュリティをどのように改善できるか?

スイスの組織や政府は、電子メールのセキュリティ態勢を改善するために、以下の措置を取ることができる:

  • SPFの文字数とルックアップの制限を守っていることを確認する。

  • 正確でエラーのないSPF、DMARC、MTA-STSレコードの実装

  • ドメインごとにSPFレコードとDMARCレコードを1つだけ公開する

  • ドメインと送信元を監視するためにDMARC RUAとRUFレポートを有効にする

  • メールベースの攻撃から身を守るために、DMARCポリシーをp=noneからp=rejectに段階的かつ計画的に移行する。

  • MTA-STSとTLS-RPTを有効にして、TLS暗号化SMTP通信を確保する。

  • DNSSECを有効にして、DNSに認証とセキュリティのレイヤーを追加します。

  • BIMIで認証された電子メールにブランドロゴを添付し、顧客の信頼を高めることができます。

このプロセスにおいて、私たちはどのようなお手伝いができるでしょうか?

電子メールのセキュリティを確保することは、あらゆる規模の組織にとって最も重要です。当社は、サイバー脅威からお客様の通信を保護することの重要性を理解しています。そのため、お客様の組織のニーズに合わせたEメールおよびドメインセキュリティソリューションの包括的なスイートを提供しています。

  • 完全な電子メール認証スイート

    当社のチームは、DMARC、DKIM、SPFなどの主要なメール認証プロトコルの設定と管理について、専門的なガイダンスを提供します。お客様のレコードがエラーフリーで、最高レベルのセキュリティに最適化されていることを保証します。

  • ホスト型電子メール認証サービス

    当社は、以下を含むさまざまなホスト型電子メール認証サービスを提供しています。 ホスト型DMARCDMARC、DKIM、SPF、MTA-STS、TLS-RPT、BIMIなど、さまざまなホスト型メール認証サービスを提供しています。当社のクラウドネイティブなプラットフォームは、設定と更新を簡素化し、複数のDNSアクセスを不要にします。

  • スマートでシンプルなレポーティング

    スマートで使いやすいレポート機能により、メール認証の状況を常に把握することができます。毎日の集計とフォレンジック DMARCレポートにより、メールアクティビティの監視が簡単かつ効果的になります。レポートはPDF/CSV形式でダウンロードでき、社内のチームと共有できます。

  • 年中無休の専用サポート

    当社の専門家チームは、DMARC施行へのスムーズな移行とコンプライアンスの向上を支援するために、卓越したサポートを提供します。お客様のプロトコルを最大限に活用できるよう、それ以上のサービスを提供します。

  • SPFレコードの最適化

    SPFマクロを活用すれば、簡単なステップでSPFレコードを最適化できます。DNSのルックアップとSPFの長さの制限を守り、SPFプロトコルが適切に機能するようサポートします。

  • 評判のモニタリング

    お客様のドメインのレピュテーションを常に監視し、レピュテーション監視サービスにより問題になる前に対処します。200以上のDNSブロックリストでお客様のドメインとIPを追跡し、メールの拒否やフラグを防ぐのに役立ちます。

  • リアルタイム・アラート

    カスタマイズされたアラートを設定することで、メールセキュリティの問題について常に情報を得ることができます。電子メール、Slack、Discord、またはWebhookアラートで通知を受け取り、リスクを軽減するためのタイムリーなアクションを確実に実行します。

  • コンプライアンス支援

    Google、Yahoo、PCI-DSSなど、最新のメール送信者要件やコンプライアンス義務に準拠。これらの要件に迅速かつ簡単に対応できるよう、当社の コンプライアンスプログラム.

  • MSPパートナーシップ・プログラム

    組織のニーズに合わせたマネージドセキュリティサービスを提供するPowerDMARCとパートナーシップを結んでください。当社の DMARC MSP/MSSP対応プラットフォームと専用サービスデスクにより、お客様のメールセキュリティの取り組みを包括的にサポートします。また、MSP にフルプラットフォーム・ホワイトラベリングの機会、専用のトレーニング資料などを提供しています!

DMARCの導入率を高め、スイス全土の企業のメールセキュリティインフラを強化するために手を携えましょう。お問い合わせは [email protected]までご連絡ください!

セキュア・メール・パワー・マークブランドの乱用や詐欺を防ぎ、メールチャネルを完全に把握する準備はできていますか?

15日間のトライアルデモを予約する