ポスト

自分のドメインに複数のDMARCレコードがあるのは絶対にダメ!その理由は?DMARCのような電子メール認証プロトコルを実装することは、組織のレピュテーションとデータセキュリティにとって不可欠であり、そのためにはドメインオーナーはDNSにTXTレコードを発行する必要があることがわかっています。しかし、コミュニティで何度も繰り返される質問は、" 自分のドメインに複数のDMARCレコードを持つことができますか?" というものです。答えはノーです。同じドメインに複数のDMARCレコードがあると、レコードが無効になり、ドメインに設定されたDMARC認証ポリシーが機能しなくなります。

DMARCレコードはMTAでどのように処理されるのですか?

あなたのドメインのDNSで公開されているDMARCレコードは、以下のようなものです。

TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]

したがって、DMARCが設定されているドメインが電子メールを送信すると、電子メールを受信するMTAは、v=DMARC1で始まるすべてのTXTレコードをフェッチします。MTAは送信ドメインのDNSを照会し、次のようなシナリオに遭遇する可能性があります。

  1. 送信元ドメインのDNSに有効なDMARCレコードを1つ発見し、DMARCポリシーの仕様に基づいてメールを処理する。
  2. 送信ドメインのDMARCレコードが見つからず、DMARCの処理が自動的に停止した場合、送信元を確認せずにメールが配信される。
  3. 同一ドメイン上に複数のDMARCレコードが見つかり、この場合、DMARC処理が中止され、適用されたポリシーが実行されません。

複数のDMARCレコードがあります。修正方法は?

ドメインにDMARCを設定し、ポリシーを設定すると、MTAがあなたの意図に沿った方法でメールに応答するようになります。このようにして、DMARCはなりすましやスプーフィングからドメインを保護することができます。設定されたプロトコルが効果的に機能するためには、以下の手順を推奨します。

  • ドメインに複数のDMARCレコードが発行されていないか確認してください。
  • DMARCレコードに構文エラーが含まれていないことを確認してください。
  • DMARCレコードを手動で作成する代わりに、当社の無料DMARCレコードジェネレーターのような信頼性の高いツールを使用して作業を行ってください。
  • ドメインのDMARCレポートを有効にして、メールの流れと認証結果を随時監視することで、配信の問題を追跡し、悪意のある送信元に対して対策を講じることができます。
  • permerrorの結果にならないように、SPF10のルックアップの上限を超えないようにしてください。

あなたのドメインに正しくDMARCを実装し、複数のDMARCレコードを回避するためにできるいくつかのステップの代わりに、単に私たちのDMARCアナライザーにサインアップすることもできます。

PowerDMARCは、複雑な作業のほとんどをバックグラウンドで処理し、メール認証作業を自動化するとともに、メール配信の問題を引き起こす可能性のある設定エラーを軽減することができます。

電子メール認証は、電子メール・プロバイダーの仕事の重要な側面です。SPFやDKIMとして知られる電子メール認証は、電子メールプロバイダのアイデンティティをチェックします。DMARCは、電子メールが正当なドメインから送信されたかどうかをアライメントによってチェックし、認証チェックに失敗したメッセージにどのように応答するかを受信サーバーに指定することで、電子メールを検証するプロセスを追加します。今日は、「なぜDMARCが失敗するのか」という疑問に答えるために、さまざまなシナリオについて説明します。

DMARCは、偽造された「なりすまし」メールがトランザクション・スパムフィルターを通過するのを防ぐための、メール認証ポリシーにおける重要な活動です。しかし、これはスパム対策プログラム全体の柱の一つに過ぎず、すべてのDMARCレポートが同じように作られているわけではない。メール受信者が各メッセージに対して行った正確なアクションを伝えるものもあれば、メッセージが成功したかどうかだけを伝えるものもある。メッセージが失敗した理由を理解することは、メッセージが成功したかどうかを知ることと同じくらい重要です。以下の記事では、メッセージがDMARC認証チェックに失敗する理由を説明しています。これらは、メッセージがDMARC認証チェックに失敗する最も一般的な理由である(そのうちのいくつかは簡単に修正できる)。

メッセージがDMARCに失敗する一般的な理由

DMARCが失敗している理由を特定するのは複雑です。しかし、ここでは典型的な理由とその要因を説明し、ドメイン所有者がより迅速に問題を解決できるようにします。

DMARC アライメントの失敗

DMARCは、ドメインの整合性を利用して電子メールを認証します。つまり、DMARCは、Fromアドレス(可視ヘッダー)に記載されているドメインが本物であるかどうかを、隠されたReturn-pathヘッダー(SPFの場合)とDKIM署名ヘッダー(DKIMの場合)に記載されているドメインと照合することで検証する。どちらかが一致すれば、そのメールはDMARCを通過し、そうでなければDMARCは失敗します。

そのため、メールがDMARCに失敗する場合は、ドメインの不整合の可能性があります。つまり、SPFやDKIMの識別子が一致せず、メールが不正な送信元から送られているように見えるのです。しかし、これはDMARCが失敗する理由の一つに過ぎません。

DMARC アライメントモード 

プロトコルのアライメントモードも、メッセージがDMARCを通過するかしないかに大きく影響します。SPF認証では、以下のアライメントモードを選択することができます。

  • Relaxed:Return-pathヘッダのドメインとFromヘッダのドメインが単純に組織的に一致している場合、SPFであっても通過することを意味しています。
  • ストリクトです。これは、Return-pathヘッダーのドメインとFromヘッダーのドメインが完全に一致した場合にのみ、SPFを通過させることを意味します。

DKIM認証のアライメントモードは、以下の中から選択できます。

  • Relaxed: これは、DKIM署名のドメインとFromヘッダーのドメインが単に組織的に一致している場合、DKIMであっても合格することを意味します。
  • 厳密。これは、DKIM署名のドメインとFromヘッダーのドメインが完全に一致した場合にのみ、DKIMが成立することを意味します。

なお、メールがDMARC認証を通過するためには、SPFまたはDKIMのどちらかを揃える必要があります。  

DKIM署名を設定していない 

DMARCが失敗するケースとして非常に多いのが、ドメインのDKIM署名を指定していない場合です。このような場合、メール交換サービスプロバイダーは、あなたのFromヘッダーのドメインと一致しないデフォルトのDKIM署名を送信メールに割り当てます。受信側のMTAは2つのドメインを整合させることができず、その結果、メッセージのDKIMとDMARCが失敗します(メッセージがSPFとDKIMの両方に対して整合されている場合)。

DNSに送信元を追加していない 

ドメインにDMARCを設定すると、受信側のMTAは送信元を認証するためにDNSクエリを実行することに注意することが重要である。つまり、ドメインのDNSにすべての許可された送信ソースがリストアップされていなければ、リストアップされていないソースのメールはDMARCに失敗するということです。したがって、正当な電子メールが常に配信されるようにするためには、あなたのドメインに代わって電子メールを送信することを許可されている、すべての認可されたサードパーティの電子メールベンダーをDNSに登録するようにしてください。

メール転送の場合

電子メールの転送では、電子メールは仲介サーバを経由して、最終的に受信サーバに届けられます。メール転送時には、仲介サーバのIPアドレスが送信サーバのIPアドレスと一致せず、この新しいIPアドレスが元のサーバのSPFレコードに含まれていないことが多いため、SPFチェックが失敗します。一方で、メールの転送は、仲介サーバや転送元がメッセージの内容を変更しない限り、通常はDKIMメール認証に影響を与えません。

メール転送時にSPFが失敗することは周知の通りですが、万が一、送信元がDKIMニュートラルで、SPFにのみ検証を依存している場合、DMARC認証時に転送されたメールが不正なものとなってしまいます。この問題を解決するためには、直ちに組織で完全なDMARCコンプライアンスを選択し、SPFとDKIMの両方に対してすべての送信メッセージを整合させ、認証する必要があります。

お客様のドメインが偽装されている

DMARC、SPF、DKIMの各プロトコルがドメインに対して適切に設定されており、ポリシーが施行されていて、有効なエラーフリーレコードがあり、問題が上記のいずれのケースでもない場合、メールがDMARCに失敗する最も可能性の高い理由は、あなたのドメインがなりすましや偽造されていることです。これは、なりすましや脅威の行為者が、悪意のあるIPアドレスを使って、あなたのドメインから来ているように見せかけてメールを送ろうとする場合です。

最近の電子メール詐欺の統計では、電子メールになりすましたケースが最近増加しており、組織の評判にとって非常に大きな脅威となっていると結論づけられています。このようなケースでは、DMARCを拒否ポリシーで実装していても、失敗してしまい、なりすましメールは受信者の受信箱に届けられません。したがって、ドメインスプーフィングは、なぜDMARCが失敗するのかという疑問に対する答えになります。

無料のDMARC Analyzerにサインアップして、DMARCレポートとモニタリングの旅を始めることをお勧めします。

  • noneポリシーでは、DMARC (RUA) Aggregate Reportsでドメインを監視し、受信メールと送信メールに目を配ることができます。これにより、望ましくない配信問題に対応することができます。
  • その後、最終的にドメイン偽装やフィッシング攻撃に対する免疫を獲得するための強制的なポリシーへの移行を支援します。
  • 今後のなりすまし攻撃を回避するために、PowerDMARCプラットフォームから直接、悪意のあるIPアドレスを取り除いて報告することができます(Threat Intelligenceエンジンを使用)。
  • PowerDMARCのDMARC(RUF)フォレンジックレポートは、メールがDMARCに失敗したケースについての詳細な情報を得るのに役立ち、問題の根本を突き止めて修正することができます。

ドメイン偽装を防ぎ、メールフローを監視するPowerDMARCを今すぐご利用ください。