DMARCの "t="タグはDMARCbisの "pct "を置き換える。
by
読書時間 4 分
日々進化するメールセキュリティの世界において、DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、ドメイン所有者にとって、メールドメインを悪用やフィッシングから守るための重要なツールとなっている。
時間の経過とともに、このプロトコルはいくつかのアップデートを経験しており、そのような予見可能な変更の1つは、IETFがDMARCbis技術草案で報告しているように、"pct "タグを "t "タグに置き換えることかもしれない。
この記事では、この変更の背景と、電子メールのセキュリティへの影響を探ります。
注:この記事を鵜呑みにして行動を起こしてはならない。IETFの文書はまだ草案であり、将来変更される可能性がある。
主なポイント
- DMARCは、フィッシングや悪用からメールドメインを保護するために不可欠である。
- pct」タグは、DMARCポリシーの段階的な実施を可能にしたが、運用上の課題に直面した。
- t "タグの導入は、DMARCポリシーの実装と管理を簡素化することを目的としている。
- t=y」設定は、ドメインがDMARCポリシーを実施せずにテストしていることを示す。
- DMARCプロトコルの変更はまだ草案の段階であるため、注意深く監視する必要がある。
pct」タグ
RFC7489で文書化されているDMARCプロトコルの以前のバージョンでは、"pct "タグが導入されていた。このタグにより、ドメイン所有者はより厳しいDMARCポリシーの対象となるメッセージの割合を指定できるようになった。 なし」から「隔離または quarantine'から'reject'への移行などである。この意図は、ドメイン所有者がより厳格なメールポリシーに容易に移行できるように、段階的な移行を提供することでした。
PowerDMARCでセキュリティを簡素化!
pct "タグの課題
しかし、運用の経験から、"pct "タグにはさまざまな課題があることが判明した。値が "0 "か "100"(デフォルト)の場合を除き、不正確に適用されることが多かった。
デフォルト値である「100」は、メール受信者側で特別な処理をする必要がないため、多くの人にとって簡単な選択であった。一方、"0 "という "pct "値は、標準的な処理から逸脱している。主に、仲介業者やメールボックスプロバイダが、下流でDMARCの失敗を避けるためにRFC5322のFromヘッダーを書き換えたことが原因である。
カスタムアクションと貴重なインサイト
奇妙なことに、この "pct=0 "の意図しない使い方は、メールコミュニティにとって貴重なものだった。仲介業者が "pct=0 "でヘッダーを書き換えたとき、ドメイン所有者は自分のメールトラフィックのどれだけがRFC5322を変更していない仲介業者を通過したかを知ることができた。この比較には労力を要しましたが、ドメイン所有者にとっては重要な情報源でした。
仲介者によるヘッダー書き換えからRFC5322がないためにDMARC失敗の可能性があるメールの範囲を知ることで、ドメイン所有者は情報に基づいた決定を下すことができる。ドメイン所有者はDMARCの失敗に対する許容範囲を評価し、"p=none "から "p=quarantine "または "p=reject "に移行するかどうかを決めることができる。
t "タグの導入
ドメイン所有者にとっての "pct=0 "の価値を認識し、DMARCプロトコル内にこの機能を保持することは理にかなっていた。しかし、有効な値が2つしかない "pct "というタグを維持することは、もはや意味をなさない。これに対処するため、DMARCプロトコルの最新バージョンでは、"testing "を意味する "t "タグを導入する可能性がある。t "タグには2つの有効な値がある:「y」と「n」である。
詳細については、DMARC IETFドラフトを参照してください。
t "タグと "pct "タグの比較
t」タグは、メールボックス・プロバイダーと仲介業者による適用において、それぞれ「pct」タグの値「0」と「100」に類似するように設計される。両者の比較は以下の通りである:
- 「t=y」は「pct=0」と等価である:t=y "でマークされたメッセージは、ドメイン所有者が現在ポリシー展開のテスト段階にあり、チェックを実行する受信者によってポリシーが適用されないことを意味する。
- 「t=n」は「pct=100」と同等です:t=n "でマークされたメッセージは、以前の "pct=100 "設定と同様に、デフォルトのDMARCポリシーに従います。
t=タグについては、DMARC IETFの公式ドラフトをお読みください。
t "タグの意味
全体として、"t "タグの導入はDMARCポリシーの取り扱いを単純化するかもしれない。これは当初は些細な変更に見えるかもしれないが、DMARCポリシーの設定と実装を合理化するものでもある。新しいタグは、ポリシーがより正確に適用されることを保証し、以前の問題に対処するのに役立つかもしれません。
結論
提供された情報は、まだ確認も実装もされていないドラフト文書に基づいています。DMARCプロトコルの現行バージョンは、現在もDMARC "pct "タグを積極的に使用し、サポートしています。この記事で述べられている見解は私たちだけのものであり、IETFからの正式な確認がない限り、これに基づいて行動を起こすべきではありません。
ドメインとメールセキュリティのエキスパートPowerDMARC
ユネスはPowerDMARCのオペレーションチームリーダーで、メール認証とセキュリティの専門知識を持つ。マイクロソフト認定のAzureアドミニストレーターアソシエイトであり、CompTIA A+やその他多くの資格を持っています。
最新記事 by Yunes Tarada(全て見る)
- 電子メールによるソルティング攻撃:隠されたテキストはどのようにセキュリティをバイパスするか- 2025年2月26日
- SPFフラット化:SPFフラット化とは何か?- 2025年2月26日
- DMARCとDKIM:主な違いと両者の連携方法- 2025年2月16日
