ポスト

DMARCレコードを公開する方法について

DMARCレコードの発行に進む前に、DMARCレコードとは何かを理解することが重要である。DMARCレコードとは、ドメインにDomain-Based Message Authentication, Reporting, and Conformance(DMARC)を設定するために、ドメインのDNS (Domain Naming System)で発行されるDNS TXTレコードに他ならない。ドメインにDMARCを設定することで、ドメインの所有者は、受信サーバーに対して、未承認または違法な送信元から送られてきた電子メールにどのように応答すべきかを指定することができます。

DMARCレコードを作成するための手順

当社の無料DMARCレコード生成ツールをご利用いただければ、DMARC DNSレコードの生成プロセスは非常に簡単です。必要なのは、以下の条件を記入するだけです。

  • DMARCポリシーモードの選択(メール認証を始めたばかりのお客様には、メールの流れを監視できるように、最初はp=noneのポリシーをお勧めします。
  • サブドメインのDMARCポリシーモードを選択してください(サブドメインに異なるポリシーを選択したい場合にのみ、この基準を有効にすることをお勧めします、デフォルトではメインドメインと同じポリシーが適用されます)。
  • DMARC RUA(集計)およびRUF(フォレンジック)レポートの配信先となるメールアドレスを入力してください。
  • DKIMアライメントモードを選択してください(厳密なアライメントでは、メールヘッダのDKIM署名がfromヘッダにあるドメインと正確に一致しなければなりません。リラックス・アライメントでは、2つのドメインが同じ組織ドメインを共有している必要があります。)
  • SPFアライメントモードを選択する(strict alignmentの場合、Return-pathヘッダーのドメインとfromヘッダーのドメインが完全に一致する必要がある。リラックスアライメントの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。)
  • フォレンジックオプションの選択(どのような状況でフォレンジックレポートの受け取りを希望するかを表します。

典型的なエラーフリーのDMARCレコードは次のようなものです。

v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

生成されたレコードは、あなたのドメインのDNSのサブドメインで公開されます。_dmarc.YOURDOMAIN.com

DMARCレコードを公開するには? 

生成したDMARCレコードを公開するには、DNSコンソールにログインして、DMARCを設定する特定のドメインに移動する必要があります。

DNS管理コンソールでドメインにナビゲートした後、ホスト名とリソースタイプを指定する必要があります。DMARCはDNSのTXTレコードとしてドメイン内に存在するので、そのリソースタイプは TXTであり、この場合に指定するホスト名は: _dmarc

最後に、DMARCレコード(前に生成したレコード)の値を追加する必要があります。 v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

変更を保存すると、ドメインにDMARCを設定することができます。

次のステップは何ですか?

DMARCレコードの公開が完了したら、次のステップとして、あなたのドメインを詐欺師やなりすましから守ることに専念してください。これは、セキュリティプロトコルやメール認証サービスを導入する際の主要な課題です。単にp=noneポリシーでDMARCレコードを発行するだけでは、ドメイン・スプーフィング攻撃やメール詐欺からの保護にはなりません。そのためには、DMARCのエンフォースメントに移行する必要がある。

DMARC Enforcementとは何ですか?

DMARCポリシーモードをp=rejectまたはp=quarantineで実装すると、DMARCのエンフォースメントを実現することができます。ドメイン・スプーフィング攻撃やBECから最大限に保護するには、ポリシーモードをrejectにすることをお勧めします。 しかし、DMARCエンフォースメントを実現するためのプロセスは、ポリシーモードをモニタリングからエンフォースメントに変更するほど単純ではありません。メールの配信に影響が出ないようにしながら、なりすまし攻撃からの免疫力を得るためには、以下のことが必要です。

  • PowerDMARCにサインアップし、ドメインのDMARCレポートを有効にする。
  • メール認証の結果を示すDMARC RUAレポートを毎日発行し、分かりやすい表示方法で提供
  • メールが認証に失敗した場合、ダッシュボードにフォレンジックレポートの更新情報を表示
  • SPFレコードが無効にならないように、SPFのハードリミットを守ってください。

DMARCの集計とフォレンジックレポートを利用すれば、ドメイン所有者にとって、モニタリングからエンフォースメントへの移行が容易になります。PowerDMARCプラットフォームから、メールフローを視覚的に監視し、配信性の問題を追跡して即座に対応することができます。今すぐ登録して、DMARCアナライザーの無料トライアルをご利用ください。

ドメイン所有者は、ドメインやブランド名を利用して悪質な活動を行う、ドメイン・スプーフィング攻撃やフィッシング攻撃を仕掛ける脅威に常に注意する必要があります。どのようなメール交換ソリューションを使用していても、ブランドの信頼性を確保し、尊敬する顧客層からの信頼を維持するためには、なりすましや偽装からドメインを保護することが不可欠です。このブログでは、Office 365ユーザー向けにDMARCレコードを設定する手順をご紹介します。

最近では、多くの企業が、効果的で堅牢なクラウドベースのプラットフォームやOffice 365などのホスティングされた電子メール交換ソリューションを使用する方向にシフトしています。その結果、サイバー犯罪者は、プラットフォームに統合されたセキュリティソリューションを巧みに操り、電子メール詐欺を行う悪質な技術をアップグレードしてきました。このような理由から、マイクロソフト社はDMARCのような電子メール認証プロトコルのサポートをすべての電子メールプラットフォームに拡大しました。しかし、DMARCの利点を十分に活用するためには、Office 365にDMARCを正しく実装する方法を知っておく必要があります。

なぜDMARCなのか?

最初の疑問は、偽の電子メールをブロックするためのアンチスパム・ソリューションや電子メール・セキュリティ・ゲートウェイがすでにOffice 365スイートに統合されているのに、なぜ認証にDMARCを必要とするのかということです。これは、これらのソリューションが、あなたのドメインに送信されたインバウンドのフィッシングメールを特に保護する一方で、DMARC認証プロトコルは、ドメイン所有者に、認証チェックに失敗したあなたのドメインから送信されたメールにどのように対応するかを受信側のメールサーバーに指定する権限を与えるからです。

DMARCは、SPFとDKIMという2つの標準的な認証方法を利用して、電子メールの真正性を検証します。ポリシーを設定して実施することで、DMARCはなりすまし攻撃やダイレクトドメインスプーフィングに対して高いレベルの保護を提供することができます。

Office 365を使用する際に、本当にDMARCが必要なのか?

企業の間では、「Office 365ソリューションを持っていれば、スパムやフィッシング攻撃からの安全性が確保できる」という誤解がよくあります。しかし、2020年5月、Office 365を利用している中東の保険会社数社を狙った一連のフィッシング攻撃により、多額のデータが失われ、かつてないほどのセキュリティ侵害が発生しました。このように、マイクロソフトの統合されたセキュリティソリューションに頼るだけで、ドメインを保護するための外部からの取り組みを行わないことは、大きな過ちとなり得るのです

Office 365の統合されたセキュリティソリューションは、インバウンドのセキュリティ上の脅威やフィッシング対策を提供しますが、自社ドメインから送信されたアウトバウンドメッセージが顧客やパートナーの受信箱に届く前に、効果的に認証されているかどうかを確認する必要があります。そこで登場するのがDMARCです。

DMARCによるOffice 365のなりすましと偽装の防止

Office 365に付属するセキュリティソリューションは、スパムフィルターとして機能しますが、ドメインをなりすましから保護することはできず、DMARCの必要性が強調されています。DMARCは、お客様のドメインのDNSにDNS TXTレコードとして存在します。お客様のドメインにDMARCを設定するには、次のことが必要です。

ステップ1ドメインの有効なメールソースを特定する
ステップ2ドメインにSPFを設定します。
ステップ3:DKIMを設定する
ステップ4 ドメインのDNSにDMARC TXTレコードを発行します。

PowerDMARCの無料DMARCレコードジェネレーターを使えば、正しい構文のレコードを即座に生成してDNSで公開し、ドメインにDMARCを設定することができます。ただし、なりすまし攻撃やドメインの不正使用を効果的に軽減できるのは、拒否という実施ポリシーだけであることに注意してください。

しかし、DMARCレコードの公開だけで十分なのでしょうか?答えは、「ノー」です。ここからは、最後の最後、DMARCのレポートとモニタリングについて説明します。

Microsoft Office365を利用する上でPowerDMARCが必要な5つの理由

Microsoft Office 365は、クラウドベースのサービスやソリューションを提供するとともに、スパム対策フィルターが組み込まれています。しかし、様々な利点がある一方で、セキュリティの観点から見ると、以下のような欠点があります。

  • 自身のドメインから送信されたアウトバウンドメッセージを検証するソリューションがない
  • 認証チェックに失敗したメールを報告する仕組みがない
  • メールエコシステムを可視化できない
  • インバウンドとアウトバウンドのメールフローを管理・監視するダッシュボードがない
  • SPFレコードが常に10ルックアップ制限以下であることを保証する仕組みがない

PowerDMARCによるDMARCレポートとモニタリング

PowerDMARCは、Office 365とシームレスに統合し、BECやダイレクトドメインスプーフィングのような高度なソーシャルエンジニアリング攻撃から保護する高度な認証ソリューションをドメインオーナーに提供します。PowerDMARCは、メール認証のベストプラクティス(SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMI)を統合するだけでなく、メールエコシステムを完全に可視化する広範で詳細なDMARCレポートメカニズムを提供するマルチテナント型のSaaSプラットフォームです。PowerDMARCダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます。

  • 集計レポート
  • フォレンジックレポート

私たちは、業界の様々な問題を解決することで、お客様の認証体験をより良いものにするよう努めてきました。PowerDMARCは、DMARCフォレンジックレポートを確実に暗号化するだけでなく、7つの異なるビューで集計レポートを表示し、ユーザーエクスペリエンスを向上させ、わかりやすくします。PowerDMARCは、メールの流れや認証の失敗を監視し、世界中の悪意のあるIPアドレスをブラックリストに登録するのに役立ちます。当社のDMARCアナライザーツールは、お客様のドメインに対してDMARCを正しく設定し、監視から実施へとあっという間に移行するのに役立ちます。

 

ビジネス・メール・コンプロマイズ(BEC)とは、電子メールのセキュリティ侵害やなりすまし攻撃の一種であり、商業、政府、非営利団体、中小企業、新興企業、多国籍企業などに影響を与え、ブランドや組織に悪影響を及ぼす可能性のある機密データを抽出するものです。スピアフィッシング、請求書詐欺、スプーフィングなどがBECの一例です。

サイバー犯罪者は、組織内の特定の人物、特にCEOなどの権威ある立場の人物や、信頼のおける顧客などを意図的に狙う策略の専門家です。BECによる世界的な経済的影響は甚大であり、特に米国がその中心的存在となっています。世界のBEC詐欺の被害状況についてはこちらをご覧ください。解決策は?DMARCに切り替えましょう。

DMARCとは何ですか?

DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、電子メール認証の業界標準である。この認証メカニズムは、SPFやDKIMの認証チェックに失敗したメールへの対応方法を受信サーバーに指定するものです。DMARCは、あなたのブランドがBEC攻撃の餌食になる可能性をかなりの割合で最小限に抑え、あなたのブランドの評判、機密情報、金融資産を保護するのに役立ちます。

DMARC認証は、ドメインを代表して送信されたメッセージを検証するために、これらの2つの標準的な認証プロトコルを使用するので、DMARCレコードを公開する前に、あなたのドメインにSPFとDKIMを実装する必要があることに注意してください。

無料のSPF Record GeneratorDKIM Record Generatorを使って、お客様のドメインのDNSで公開するレコードを生成することができます。

BEC対策のためにDMARCレコードを最適化するには?

お客様のドメインをビジネスメールの侵害から保護するとともに、認証結果を監視するための広範なレポートメカニズムを有効にし、お客様のメールエコシステムを完全に可視化するために、お客様のドメインのDNSで以下のDMARCレコード構文を公開することをお勧めします。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

DMARCレコードの生成時に使用されるタグの理解。

V(必須このメカニズムでは、プロトコルのバージョンを指定します。
p(必須このメカニズムは、使用中のDMARCポリシーを指定します。DMARCポリシーを設定することができます。

p=none(認証チェックに失敗した電子メールが受信者の受信箱に届くような、監視のみのDMARC)。 p=quarantine(認証チェックに失敗した電子メールが隔離されるか、スパムフォルダに格納されるような、強制のDMARC)。

p=reject(DMARCを最大限に強化し、認証チェックに失敗したメールは破棄されるか、まったく配信されない)。

しかし、このブログの目的である、BECからドメインを保護したい場合、最大限の保護を確保するためには、p=rejectが推奨されるポリシーです。

sp (オプションこのタグはサブドメインのポリシーを指定するもので、sp=none/quarantine/rejectに設定することで、メールがDMARC認証に失敗したすべてのサブドメインに対するポリシーを要求することができます。

このタグは、メインドメインとサブドメインに異なるポリシーを設定したい場合にのみ有効です。指定しない場合は、デフォルトですべてのサブドメインに同じポリシーが適用されます。

adkim (オプションこのメカニズムは、DKIM識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

Strict alignmentは、メールヘッダのDKIMシグネチャのd=フィールドが、fromヘッダのドメインと正確に一致しなければならないことを指定します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

aspf (オプション この機構は、SPF識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

ストリクト・アラインメントとは、「Return-path」ヘッダーのドメインが、「from」ヘッダーのドメインと完全に一致することを意味します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

ルア(任意ですがお勧めしますこのタグは、mailto:フィールドの後に指定されたアドレスに送信されるDMARC集約レポートを指定し、DMARCを通過したメールと失敗したメールについての洞察を提供します。
ruf(オプションだが推奨このタグは、mailto: フィールドの後に指定されたアドレスに送信される DMARC フォレンジックレポートを指定します。フォレンジックレポートは、認証失敗に関するより詳細な情報を提供するメッセージレベルのレポートです。これらのレポートには電子メールのコンテンツが含まれている可能性があるため、暗号化することが最善の方法です。
pct(オプションこのタグは、DMARCポリシーが適用されるメールの割合を指定します。デフォルト値は100に設定されています。
fo(オプションだが推奨DMARCレコードのフォレンジックオプションを設定することができます。

→DKIMとSPFが通らない、揃わない(0)

→DKIMやSPFが通らない、または揃わない(1)

→DKIMが通らない、揃わない(d)

→SPFが通らない、揃わない(S

推奨モードはfo=1で、DKIMまたはSPFの認証チェックにメールが失敗した場合、フォレンジックレポートを生成してドメインに送信することを指定します。

PowerDMARCの無料DMARCレコードジェネレーターを使ってDMARCレコードを生成することができ、希望する施行レベルに応じてフィールドを選択することができます。

なお、BECを最小限に抑え、なりすましやフィッシング攻撃からドメインを守ることができるのは、拒否の実施ポリシーだけです。

DMARCは、BECからビジネスを守るための有効な基準となりますが、DMARCを正しく実装するには労力とリソースが必要です。電子メール認証のパイオニアであるPowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスをひとつにまとめた電子メール認証SaaSプラットフォームであり、認証の初心者でも、認証の愛好家でもあります。私たちはあなたを支援します。

  • モニタリングからエンフォースメントへ瞬時に移行し、BECを抑える
  • 当社の集計レポートは、複雑なXMLファイルを読まなくても簡単に理解できるように、簡素化されたチャートやテーブルの形で生成されます。
  • フォレンジックレポートを暗号化し、お客様の情報を保護します。
  • 認証結果を7つのフォーマット(結果ごと、送信元ごと、組織ごと、ホストごと、詳細な統計情報、ジオロケーションレポート、国ごと)で、ユーザーフレンドリーなダッシュボード上に表示し、最適なユーザーエクスペリエンスを提供します。
  • SPFとDKIMの両方に対してメールを調整することで、100%のDMARCコンプライアンスを実現し、いずれかの認証チェックポイントに失敗したメールが受信箱に届かないようにする

DMARCはどのようにしてBECから守るのか?

DMARCポリシーを最大施行(p=reject)に設定すると同時に、DMARCは、なりすまし攻撃やドメイン乱用の可能性を減らすことで、メール詐欺からブランドを守ります。すべての受信メッセージは、SPFとDKIMのメール認証チェックで検証され、有効な送信元からのメッセージであることが確認されます。

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。受信側のメールサーバーは、SPFレコードに照らし合わせてメールを検証し、認証を行います。DKIMは、秘密鍵を使って作成された暗号化された署名を割り当て、受信サーバーで電子メールを検証します。受信者は、送信者のDNSから公開鍵を取得してメッセージを認証します。

拒否のポリシーを設定すると、認証チェックに失敗し、ブランドが偽装されていることを示す場合、メールは受信者のメールボックスに一切配信されません。これにより、なりすましやフィッシングなどのBEC攻撃を防ぐことができます。

PowerDMARCの中小企業向け基本プラン

ベーシックプランは、月額わずか8米ドルからご利用いただけますので、DMARCのような安全なプロトコルを採用しようとしている中小企業やスタートアップ企業には、簡単にご利用いただけます。このプランをご利用いただくと、以下のようなメリットがあります。

  • 年間プランで20%割引
  • 最大2,000,000件のDMARC準拠の電子メール
  • 最大5つのドメイン
  • 1年間のデータ履歴
  • 2 プラットフォームユーザー
  • 主催するBIMI
  • ホスト型MTA-STS
  • TLS-RPT

今すぐPowerDMARCに登録して、ビジネスメールの不正使用やメール詐欺の可能性を最小限に抑え、ブランドのドメインを守りましょう。

もしあなたがこのブログを読んでいるなら、おそらく3つの一般的なプロンプトのいずれかに遭遇したことがあるでしょう。

  • DMARCレコードなし 
  • DMARCレコードが見つかりません 
  • DMARCレコードがありません。
  • DMARCレコードが見つからない 
  • DMARCレコードが公開されていない 
  • DMARCポリシーが有効になっていない
  • DMARCレコードが見つからない

いずれにしても、これは、あなたのドメインが、最も高く評価され、一般的に使用されているメール認証規格であるDMARC(Domain-based Message Authentication, Reporting, and Conformance)に設定されていないことを意味します。DMARCとは何かを見てみましょう。

DMARCとは何ですか?なぜドメインにメール認証が必要なのですか?

DMARCレコードが見つかりません」という問題を解決する方法を知るために、DMARCとは何かを学びましょう。DMARCは、現在最も広く使用されている電子メール認証規格で、ドメインオーナーが受信サーバーに対して、認証チェックに失敗したメッセージをどのように処理すべきかを指定できるように設計されています。これにより、ドメインを不正アクセスやメールスプーフィング攻撃から守ることができます。DMARCは、一般的な標準認証プロトコルを使用して、ドメインからのインバウンドおよびアウトバウンドのメッセージを検証します。

DMARCでなりすまし攻撃やスプーフィングからビジネスを守る

サイバー犯罪者がブランド名を悪用する最も簡単な方法がEメールであることをご存知でしたか?

お客様のドメインを使用し、お客様のブランドになりすますことで、ハッカーはお客様の従業員や顧客に悪意のあるフィッシングメールを送信することができます。SMTPには、偽の「From」フィールドに対する安全なプロトコルが導入されていないため、攻撃者はメールヘッダを偽造して、貴社のドメインから不正なメールを送信することができます。このような行為は、組織内のセキュリティを危険にさらすだけでなく、ブランドの評判を著しく低下させます。

電子メールのなりすましは、BEC(Business Email Compromise)、企業の貴重な情報の損失、機密データへの不正アクセス、財務上の損失につながり、ブランドのイメージを悪くします。自社のドメインにSPFやDKIMを導入しても、サイバー犯罪者が自社のドメインになりすますのを防ぐことはできません。このため、DMARCのような電子メール認証プロトコルが必要となります。DMARCは、前述の両方のプロトコルを使用して電子メールを認証し、顧客、従業員、パートナーの受信サーバーに対して、電子メールが不正な送信元からのものであり、認証チェックに失敗した場合にどのように対応するかを指定します。これにより、正確なドメイン攻撃から最大限に保護され、企業のドメインを完全にコントロールすることができます。

さらに、DMARCのような効果的なメール認証規格の助けを借りれば、メールの配信率、到達率、信頼性を向上させることができます。

 


あなたのドメインに足りないDMARCレコードを追加する

オンラインツールを使ってドメインのDMARCレコードを確認する際に、「Hostname returned a missing or invalid DMARC record」というプロンプトが表示されるのは煩わしく、混乱を招く恐れがあります。

DMARCレコードが見つかりません」という問題を解決するには、ドメインにDMARCレコードを追加する必要があります。DMARCレコードの追加とは、基本的には、ドメインのDNSの_サブドメインに、テキスト(TXT)レコードを公開することです。dmarc.example.comサブドメインにテキスト(TXT)レコードを公開することです(DMARCの仕様に準拠)。DNSのDMARC TXTレコードは、以下のようになります。

v=DMARC1; p=none; rua=mailto:[email protected]

これで完成です。お使いのドメインがDMARC認証に設定され、DMARCレコードが含まれているため、「No DMARC record found」というプロンプトが解決されました。

しかし、これでいいのでしょうか?答えは「ノー」である。DNSにDMARC TXTレコードを追加するだけで、DMARCプロンプトが表示されない問題は解決するかもしれませんが、なりすまし攻撃やスプーフィングを軽減するには十分ではありません。

PowerDMARCによる正しい方法でのDMARCの実装

PowerDMARCは、認証基準を揃えることで、組織が100%のDMARCコンプライアンスを達成することを支援します。また、監視から施行への移行を支援し、「DMARCレコードが見つかりません」というプロンプトをすぐに解決します。さらに、私たちのインタラクティブでユーザーフレンドリーなダッシュボードは、以下を自動的に生成します。

  • 登録されているすべてのドメインの集計レポート(RUA)は、複雑なXMLファイル形式を理解しやすいように簡略化し、読みやすい表やグラフに変換しています。
  • 暗号化されたフォレンジックレポート(RUF)

DMARCレコードが見つかりませんでした」を軽減するために必要なのは

DMARCポリシーには、:

  • p=none(DMARCは監視のみに設定されています。認証に失敗したメールは受信者の受信箱に配信されますが、認証結果を通知する集計レポートを受け取ることができます。)
  • p=quarantine(DMARCが強制レベルに設定されており、認証に失敗したメールは受信箱ではなく、スパムボックスに配信されます)
  • p=reject(DMARCは最大の施行レベルに設定されており、認証に失敗したメールは削除されるか、全く配信されない。)

なぜPowerDMARCなのか?

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスを一つにまとめた電子メール認証SaaSプラットフォームです。詳細な集計レポートを利用してお客様のメールエコシステムに最適な可視性を提供し、お客様がDNSを手動で更新しなくても、ダッシュボードの変更を自動的に更新できるように支援します。

お客様のドメインに合わせたソリューションを提供し、設定、セットアップ、モニタリングまで、すべてをバックグラウンドで行います。DMARCを正しく実装することで、なりすまし攻撃を防ぐことができます。

今すぐPowerDMARCに登録して、あなたのドメインのDMARCを正しく設定しましょう。