のタグアーカイブです: DMARCを設定する

DMARC設定:DMARC設定・構成ガイド

フィッシングやEメールベースの攻撃が流行しているため、DMARCの設定を行い、差し迫ったサイバー攻撃に対する防御を固める必要があります。DMARC(Domain-based Message Authentication Reporting and Conformance)プロトコルを設定することは、電子メールのコンプライアンスを得るための第一歩です。DMARCを設定するには、DNSレコードを作成し、ホスティングプロバイダーの助けを借りて公開するのが最も早い方法です。

設定方法 DMARCを設定するには、まずDMARCレコードを作成する必要があります。複雑に聞こえるかもしれませんが、DMARCの設定プロセスは比較的簡単です!

DMARCセットアップの説明

DMARC設定は、電子メールのなりすまし、フィッシング、および電子メール詐欺に対抗するために組織を支援する電子メール認証プロセスです。DMARCの設定は、SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)などの他の電子メール認証システムと連携して、電子メール通信の真正性を検証します。

DMARCを設定すべき理由

フィッシング攻撃の90%は電子メールを媒介としており、電子メール認証が不可欠となっている。2020年のFBIインターネット犯罪苦情センター(FBI IC3レポート2020)は、電子メールベースの攻撃に関して米国で28,500件の苦情が寄せられたと報告している。これは即座にDMARCを前面に押し出している。

ご存知でしたか?

  • 2020年、世界中の組織ドメインの75%が詐称され、フィッシングメールを送信した。 フィッシングメール被害者に
  • フィッシングキャンペーンの74%が成功
  • BECの頻度は昨年より15%増加した
  • IBM社の報告によると、昨年、5社に1社が悪意のある電子メールによるデータ漏洩を経験しています。

あなたのドメインメール詐欺からどれだけ守られているか、今すぐ確認してください!

DMARCセットアップの要件 

DMARCレコードを設定し、それを実行することを決定した場合、実装に移る前に必要な前提条件があります。

  • DNS管理コンソールにアクセスする必要があります
  • 許可されたメール送信者をすべて認識していることを確認する
  • DNSにSPFレコードやDKIMレコードを公開する。

DMARC設定の基本要素:SPFとDKIMのアライメント

DMARCポリシーを設定するには DMARCポリシー を設定するには、Sender Policy Framework (SPF) または DomainKeys Identified Mail (DKIM) のいずれか、あるいは両方を実装する必要があります。

SPFは、どのIPアドレスまたは送信元があなたのドメインからの送信メールの送信を許可されているかをメールサーバーに知らせます。 DKIMは、送信メールにデジタル署名を追加し、メッセージの改ざんを防止します。これにより、スパムメッセージや、フィッシング詐欺などで貴社のブランドになりすました詐欺メールが貴社のメールクライアントに届くのを防ぎます。

From:ドメインのSPFおよびDKIMヘッダーフィールドの部分一致を渡すようにドメインアライメントを設定することもできるし、完全一致を選んでより厳格な認証を選ぶこともできる。 

DMARCの設定方法とは? ステップバイステップガイド

DMARC DNSのセットアップを開始するには、以下のセットアップ手順に従ってください:

ステップ1:DMARCレコードの作成

セットアップダーマルク

ポリシーを定義し、実装を確立するDNSレコードを作成することから始めます。

無料のレコードを作成するには DMARCジェネレーターツールを使用してください。ツールの画面を開くと、いくつかの必須条件を入力する必要があります。

ステップ2:メールに適したDMARCポリシーを選択する

p=ポリシータグはDMARCセットアップで設定する必要のある必須タグです。これを省略すると、レコードは無効になります。 

DMARC-Record-Generator

p=ポリシータグはDMARCセットアップで設定する必要のある必須タグです。これを省略すると、レコードは無効になります。

メールのなりすましを防ぐには、DMARCポリシーを設定する必要があります。 DMARCポリシーを設定する必要があります。ただし、完全に実施する前にメールを監視したい場合は、「なし」ポリシーを選択できます。

ステップ3:レポートを有効にし、"生成 "をクリックする 

報告およびクリック生成を有効にする

残りの基準は必須ではありませんが、DKIMとSPFのアライメント・フレキシビリティを設定したり、DMARCレポートを有効にしたい場合は、設定できます。RUAとRUFレポートは、メールフローと認証結果を追跡し、不整合を迅速に検出するのに役立ちます。

最後に、「生成」ボタンをクリックしてDMARC設定を確定し、レコード作成プロセスを終了します。

ステップ4:レコード設定の公開と検証

TXTレコードの作成が完了したら、「コピー」ボタンを使用して構文を直接コピーし、DNS管理コンソールに移動します。DNSにレコードを貼り付け、DMARCのセットアップを完了します。

レコード・セットアップの公開と検証

DMARCレコードを公開する方法については DMARCレコードをご覧ください。

DMARCセットアップの例

以下は典型的なDMARC設定の例である:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; fo=0;

注:メール認証の初期段階では、DMARCポリシー(p)を「拒否」ではなく「なし」にして、メールの流れを監視し、厳密なポリシーに移行する前に問題を解決することができます。

レコード構文を否定する

DMARCセットアップのシンタックスは、メールがどのように認証され、認証後にどのようなアクションが実行されるかを決定するため、実装の最も重要な部分です。主なメカニズムをいくつか見てみましょう:

  1. v "フィールドは、DMARC1であるDMARCのプロトコルバージョンを決定する。
  2. p "フィールドは必須DMARCポリシーフィールドであり、none/reject/quarantineポリシーに設定できる。
  3. rua」アグリゲートフィードバックおよび「ruf」フォレンジックレポートフィールドはDMARCレポートオプションであり、受信ESPがお客様の受信者に送信されたメールに関するフィードバックを提供するのに役立ちます。

これらはほんの一部です。DMARCタグに関する詳細なブログでさらに詳しくご覧いただけます。

DMARCレコード設定の確認

DMARCを設定した後は、プロトコルがニーズどおりに動作していることを確認するために、設定を検証する必要があります。適切なチェックと監視を行わないと、メールの認証が非常に難しくなり、誤検知や失敗が発生し、メール配信のパフォーマンスに影響を与える可能性があります。

セットアップを確認するには、PowerDMARCのDMARCチェッカーツールを無料でご利用いただけます。これは、DNS TXTレコードを検証するための即時かつ効果的なツールであり、レコードの有効性のステータスを表示するだけでなく、エラーを強調表示し、より早くコンプライアンスを達成するための改善を提案します!

使うには

  1. 宛先ボックスにドメイン名を入力します(例:ウェブサイトのURLが https://company.comの場合、ドメイン名は company.com)
  2. 検索」ボタンをクリック
  3. スクリーンに表示される結果を見る

より迅速で正確、そして手間のかからない手動認証に代わる方法として、この認証方法をお勧めします。

DKIMやSPFなしでDMARCを設定できますか?

いいえ。メールが認証されるようにするには、2つのうちどちらかを設定する必要があります。両方設定することも可能で、それが最大のセキュリティのために推奨される方法ですが、これは完全にオプションです。

この2つのアプローチについては、ナレッジベースで詳しく解説している。

DMARC設定の利点と用途

DMARCの設定は、以下のような場合に有効です。

  • 許可された送信者のみが、お客様のメールドメインに代わってメールを送信できるようにします。
  • メールフィッシングやダイレクトドメイン詐称攻撃を防ぐために
  • お客様に代わって電子メールを送信するIPアドレスまたは送信元を表示する場合
  • スパムメールが受信者に届かないようにするために
  • 正当なメールトラフィックのメール配信性を向上させるため

最適なDMARC設定とは?

メールベースの攻撃から最大限保護したい場合、最適なDMARC設定はp=rejectです(pはレコードポリシーを指定するために使用されるメカニズムです)。適切なDMARCの設定は、あなたが望むエンフォースメントの量(DMARCに失敗したメールを受信者がどの程度厳格に処理したいか)に依存します。

監視のみを行う場合は、DMARCを "none "ポリシーで設定することができます。一方、未承認のメールを破棄または受け入れる前に、隔離フォルダまたはスパムフォルダで確認したい場合は、"quarantine "を設定することができます。

DMARCを活用したドメイン・スプーフィングの防止

DMARCを設定してドメインがなりすまされるのを防ぎ、フィッシングやBEC攻撃を阻止したい場合は、DMARCレコードを生成する際に以下の基準を選択することをお勧めします:

DMARCポリシーを p=拒否

これはどういうことでしょうか?

あなたの組織でDMARC設定を「拒否する」を選択してDMARC実施を構成する場合、これは、あなたのドメインから送信されたメールメッセージがDMARC認証に失敗するたびに、悪意のあるメールがメール受信者の受信トレイに配信されるのではなく、受信メールサーバーによって即座に拒否されることを意味します。

DMARCをオフにするには?

ドメインの電子メール認証をオフにすることは、推奨されませんし、推奨されません。その点を考慮した上で、それでもこのプロトコルを無効にしたい場合は、以下の手順に従ってください:

  1. DNSレジストラの管理コンソールにアクセスする。
  2. 高度なDNSエディタに移動して、DNS設定を編集します。
  3. DMARCを無効にしたいドメインを探す
  4. DMARC TXTレコードの削除
  5. 変更を保存し、変更が反映されるまでしばらく待つ。

コンソールにアクセスできない場合は、ドメインレジストラに連絡してレコードを削除することもできます。 

DMARCのDNSエントリを削除すると、特定のドメインのプロトコルが自動的に無効になります。ただし、DMARCが有効になっている複数のドメインがある場合は、当該ドメインのDNSエントリを手動で削除し、組織で無効にする必要があります。

PowerDMARCでDMARCを簡単にセットアップ

アカウント作成 アカウント作成時 PowerDMARC でアカウントを作成すると、プロトコルの実装とセットアップを代行します。また、お客様のドメインとEメールの健全性を管理・監視し、集計レポートを解析し、専用のダッシュボードで認証結果を整理します。

手動のセットアップの手間を省きたい場合は、15日間の無料トライアルでプロセスを自動化することができます。メール認証のメリットを享受し、お客様のドメインを効果的に保護するDMARCのセットアップを行うには、以下にサインアップしてください。 DMARCアナライザーにサインアップしてください!

セットアップダーマルク

/によって

DMARCを設定するには?

DMARCは、受信メッセージの真正性を検証することにより、電子メール詐欺やフィッシング攻撃を防止するためのプロトコルです。DMARCを設定するには、DMARCレコードを作成し、ポリシーを選択し、SPFとDKIMを設定し、DMARCレポートを監視し、必要に応じてポリシーを調整します。DMARCレコードは、認証チェックに失敗した電子メールを処理するためのポリシーを指定し、ポリシーはなし、隔離、または拒否に設定できます。 SPFおよび DKIMは、お客様のEメールがDMARCチェックを通過するように、お客様のドメインに設定する必要があります。

メール認証を向上させ、詐欺やフィッシング攻撃からドメインを保護するためには、DMARCレポートを定期的に監視し、必要に応じてポリシーを調整することが重要です。

DMARC TXTレコードとは何ですか?

DMARCは、DNS上で公開されるTXT形式で設定されます。Fromアドレスを送信ドメインの報告された所有者のアドレスと照合することで、メールメッセージの送信元を検証するものです。受信者のサーバーは、検証結果に応じて受信メールを処理します。このレコードは、不正な電子メールに対して何もしない、隔離する、メールボックスへの入力を完全に拒否するなどの設定を行うことができます。

公開されたDMARCレコードは、それぞれのドメインから見られるすべてのメールに関するデータを含むレポートを所有者に送信する役割も担っています。

DMARCを設定する手順

DMARC を構成するには、DMARC TXT レコードを作成して DNS で公開する必要があります。カスタムドメインを所有している場合やオンプレミスの Exchange サーバーを展開している場合は、自分のドメインから送信されるすべての送信メールに対して手動で DMARC を構成する方法を知っておく必要があります。このプロセスには、通常次のような手順が含まれます。

ステップ1:ドメインの有効なメール送信元を特定する

SPFをすでに導入している場合は、このドリルを意識しているはずです。しかし、メール認証のためのDMARCを設定するには、さらにいくつかのポイントを考慮する必要があります。

  • お客様のドメインを使用したメール送信を許可しているすべてのIPアドレスを確認できます。
  • サードパーティベンダーがお客様に代わって送信したすべてのメッセージについて、5321.MailFromと5322.From(ドメイン)が一致しているかどうかを確認します。 

ステップ2: ドメインのSPFを設定する

自社ドメインでのメール送信を許可する有効なIPアドレスのリストを作成したら、SPFを設定して、自社名でのフィッシング攻撃やなりすまし攻撃を回避します。

ステップ3:カスタムドメインのDKIMを設定する(オプションですが、推奨します)

SPFの設定が完了したら、次は DKIMの設定を設定する必要があります。DKIMは、電子メールヘッダにデジタル署名を追加するのに役立ちます。もし、ドメインのDKIM設定をリセットしない場合、5321.MailFromと5322.Fromアドレスの間にミスマッチが発生し、DMARCが失敗する可能性があります。

DMARCは、5321.MailFromと5322.Fromのアドレスが同じでない場合、サードパーティベンダーから送信されたメールでも失敗します。DMARCの失敗を避けるためには、自分のドメインをサードパーティの送信者と明確に一致させる必要があります。こうすれば、受信者のサーバーがあなたのメールを不審者としてマークすることはなく、そうでなければメールの到達率に影響を与える可能性があります。 

ステップ4:ドメインのDMARC TXTレコードを作成する

DMARC を設定するための次のステップは、次のとおりです。 は、以下のフォーマットでDMARC TXTレコードを作成します。

_dmarc.domain TTL IN TXT "v=DMARC1; p=policy; pct=100"

どこで

  • ドメイン は、DMARC を実装する必要があるドメインです。デフォルトでは、DMARCレコードはドメインとすべてのサブドメインからのメールを遮蔽します。
  • TTLは1時間と同等でなければなりません。つまり、時間(1時間)、分(60分)、秒(3600秒)のいずれかを設定することができます。ドメインレジストラの設定によります。
  • pct は、これらのDMARCルールが100%のメールに適用されることを指定します。
  • ポリシーは、あなたのドメインから送信された未認証のメールを受信者のメールサーバーがどのように処理したいかを示します。設定できる項目は、「なし」「隔離」「拒否」です。詳細はこちらをご覧ください。 DMARCポリシー.

無料でご利用いただける DMARCレコードジェネレーターこのツールは、DNSに公開するレコードを自動的に生成するため、手動で行う必要はありません。あとは、ポリシー(なし、隔離、拒否)を設定し、プロトコルのアライメントモードを選択するだけです。

レコードを形成した後、次のステップは、ドメインレジストラでそれを更新することです。

ステップ5:DMARCレコードをDNSに追加する

DNSにアクセスし、ドメインを選択します。次に 追加をクリックして、新しいDNSレコードを作成します。また、複数のレコードが追加されていないことを確認してください。列にTXT値を入力し、保存します。を使用して、時折それを検証し、監視することを忘れないでください。 DNSのTXTレコードのルックアップツールを使用して、時々検証し、監視することを忘れないでください。それは、構文や構成のエラーを明らかにし、簡単にそれらを修正します。

最後の言葉

DMARCの設定方法を理解することで、送信者になりすまして電子メールメッセージを悪用するフィッシャーや詐欺師の手の届かないところにいることができます。DMARCプロトコルを実装するには、DNSに追加されるTXTレコードを作成する必要があります。これは無料のツールを使って簡単に作成でき、ポリシー、アライメントモードを選択し、レポートを受け取りたいメールアドレスを追加して、DNSに追加する必要があります。

セットアップダーマルク

/によって