ポスト

進化を続けるサイバー犯罪の中でも、電子メールを標的とした詐欺行為は、「Business Email Compromise(ビジネス・メール・コンプロマイズ)」と呼ばれています。企業、政府機関、非営利団体を対象としたBEC攻撃は、膨大な量のデータ損失、セキュリティ侵害、金融資産の漏洩につながります。サイバー犯罪者は通常、多国籍企業や企業レベルの組織を標的にしているというのは、よくある誤解です。最近では、中小企業も大企業と同様にメール詐欺の標的となっています。 

BECは組織にどのような影響を与えるか?

BEC攻撃の例としては、フィッシング、CEO詐欺、偽の請求書、メールスプーフィングなどの高度なソーシャルエンジニアリング攻撃が挙げられます。 また、BEC攻撃は、権威的な立場の人物になりすまして企業からの資金を詐取しようとする「なりすまし攻撃」とも呼ばれます。CFO(最高財務責任者)やCEO(最高経営責任者)、ビジネスパートナー、あるいは盲目的に信頼を置く人物などになりすますことで、これらの攻撃を成功させることができます。

2021年2月、ロシアのサイバーギャング「Cosmic Lynx」の活動が、BECに対する洗練されたアプローチで捉えられていました。このグループは、2019年7月以降、世界46カ国以上を対象に、グローバルに展開する巨大な多国籍企業を中心に、200件以上のBECキャンペーンを実施していることがすでに判明していました。極めてよくできたフィッシングメールで、人々が本物と偽物のメッセージを区別できないようにしています。

リモートワークにより、ビデオ会議アプリケーションは、パンデミック後の不可欠な存在となっています。このような状況を利用して、サイバー犯罪者は、ビデオ会議プラットフォームであるZoomからの通知を装った不正なメールを送信しています。これは、企業の大規模なデータ漏洩を行うためにログイン情報を盗むことを目的としています。

最近、BECの関連性が急速に表面化し、増加していることは明らかであり、脅威の行為者はより洗練された革新的な方法で不正行為を逃れようとしています。BEC攻撃は、世界の70%以上の組織に影響を及ぼし、毎年数十億ドルの損失をもたらしています。そのため、業界の専門家たちは、DMARCのような電子メール認証プロトコルを開発し、なりすましに対して高いレベルの保護を提供しています。

メール認証とは何ですか?

電子メール認証とは、電子メールの送信元に関する検証可能な情報を提供するために導入された多数の技術を指します。これは、メッセージ転送に関わるメール転送エージェントのドメイン所有権を認証することによって行われます。

電子メール転送の業界標準であるSimple Mail Transfer Protocol (SMTP)には、このようなメッセージ認証機能が組み込まれていません。このため、サイバー犯罪者は、セキュリティの欠如を悪用して、メールフィッシングやドメイン偽装などの攻撃を非常に簡単に行うことができます。そのため、DMARCのように、実際にその効果を発揮する効果的な電子メール認証プロトコルが必要とされているのです。

DMARCによるBEC攻撃の防止策

 

ステップ1:実装 

BEC攻撃に対抗するための最初のステップは、実際にあなたのドメインにDMARCを設定することです。DMARC(Domain-based Message Authentication, Reporting and Conformance)は、SPFとDKIMの認証規格を利用して、ドメインから送信されたメールを認証するものです。DMARCは、これらの認証チェックのいずれかまたは両方に失敗した電子メールにどのように応答するかを受信サーバーに指定し、ドメイン所有者が受信者の応答を制御できるようにします。したがって、DMARCを実装するためには、以下のことが必要となります。

  • お客様のドメインで許可されているすべての有効なメールソースを特定します。
  • お客様のドメインにSPFを設定するために、DNSにSPFレコードを発行してください。
  • お客様のドメインにDKIMを設定するために、DNSにDKIMレコードを発行します。
  • ドメインにDMARCを設定するために、DNSにDMARCレコードを発行する。

複雑な作業を避けるために、PowerDMARCの無料ツール(無料SPFレコードジェネレーター、無料DKIMレコードジェネレーター、無料DMARCレコードジェネレーター)を使って、正しい構文のレコードを即座に生成し、ドメインのDNSで公開することができます。

ステップ2:エンフォースメント 

あなたのDMARCポリシーは、以下のように設定できます。

  • p=none (DMARCは監視のみ。認証に失敗したメッセージは配信される)
  • p=quarantine (DMARCの実施。認証に失敗したメッセージは隔離される)
  • p=reject (DMARCを最大限に施行。認証に失敗したメッセージは全く配信されない)

メールの流れや配信の問題を監視できるように、監視のみを有効にしたポリシーでDMARCの使用を開始することをお勧めします。しかし、このようなポリシーでは、BECに対する保護はできません。そのため、最終的にはDMARCのエンフォースメントに移行する必要があるのです。PowerDMARCでは、p=rejectというポリシーを設定することで、受信サーバーに対して、あなたのドメインを使用した悪意のあるソースから送信された電子メールが、受信者の受信箱に全く配信されないことを指定することができ、モニタリングからエンフォースメントへのシームレスな移行をあっという間に行うことができます。

ステップ3:モニタリングとレポーティング 

DMARCポリシーをエンフォースメントに設定し、BEC攻撃を最小限に抑えることに成功しましたが、これで十分でしょうか?答えは、「ノー」です。電子メールの流れを監視し、配信上の問題に対応するためには、広範かつ効果的なレポートメカニズムが必要です。PowerDMARCのマルチテナントSaaSプラットフォームは、このようなお客様をサポートします。

  • 自分のドメインをコントロールする
  • 登録されているすべてのメール、ユーザー、ドメインの認証結果を視覚的に確認できます。
  • ブランドを偽装した不正なIPアドレスの削除

DMARCレポートは、PowerDMARCダッシュボード上で、主に2つのフォーマットで提供されています。

  • DMARC集約レポート(7種類のビューで利用可能
  • DMARCフォレンジックレポート(プライバシー保護のための暗号化機能付き

DMARCの導入、実施、レポート作成を総合的に行うことで、BEC攻撃やなりすましの被害に遭う可能性を大幅に減らすことができます。 

スパム対策フィルターを使用してもDMARCは必要ですか?

そうです。DMARCは、通常のアンチスパムフィルターやメールセキュリティゲートウェイとは全く異なる仕組みになっています。これらのソリューションは、通常、クラウドベースのメール交換サービスに統合されていますが、これらは、インバウンドのフィッシング攻撃に対する保護しか提供できません。あなたのドメインから送信されたメッセージは、依然としてなりすましの脅威にさらされています。そこで登場するのがDMARCです。

メールセキュリティ強化のための追加ヒント

 

DNS検索回数を常に10回以下に抑える 

SPF10ルックアップの制限を超えると、SPFレコードが完全に無効になり、正当なメールであっても認証に失敗することがあります。このような場合、DMARCを拒否に設定していると、正当なメールが届かなくなってしまいます。PowerSPFは、自動的かつ動的なSPFレコードフラットナーで、SPFのハードリミットを下回るようにサポートすることで、SPFパーメラーを軽減します。ネットブロックを自動更新し、メールサービスプロバイダがIPアドレスを変更した際には、お客様の手を煩わせることなく常にスキャンを行います。

送信中のメールをTLSで暗号化する

DMARCは、ソーシャルエンジニアリング攻撃やBECから保護することができますが、MITM(Man-in-the-middle)のような広汎なモニタリング攻撃に対しても準備する必要があります。これは、電子メールがドメインに送信されるたびに、SMTPサーバー間でTLSで保護された接続がネゴシエートされるようにすることで実現できます。PowerDMARCのホスト型MTA-STSは、SMTPにTLS暗号化を必須とし、簡単な実装手順を備えています。

メール配信の問題点をレポートする

また、SMTP TLSレポートを有効にすると、ドメインにMTA-STSを設定した後、メール配信の問題に関する診断レポートを得ることができます。TLS-RPTは、メールエコシステムを可視化し、配信失敗につながる安全な接続のネゴシエーションの問題に適切に対応するのに役立ちます。TLSレポートは、PowerDMARCダッシュボード上の2つのビュー(結果ごとの集計レポートと送信元ごとのレポート)で利用できます。

BIMIでブランド想起を増幅する 

BIMI(Brand Indicators for Message Identification)を使えば、受信者が受信箱の中であなたを視覚的に識別できるようにすることで、あなたのブランド想起度を全く新しいレベルに引き上げることができます。BIMIは、あなたのドメインから送信されるすべてのメールに、あなたのユニークなブランドロゴを添付することで機能します。PowerDMARCは、ユーザーが3つの簡単なステップを踏むだけでBIMIを簡単に実装することができます。

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTを含む一連のメール認証プロトコルをワンストップで提供します。 今すぐ登録して、DMARC Analyzerの無料トライアルをご利用ください。

ARCとは?

ARC(Authenticated Received Chain)とは、電子メールを取り扱う際に、その電子メールの認証評価を各段階で表示する電子メール認証システムのことです。より簡単に言えば、Authenticated Received Chainは、電子メールメッセージの「Chain of Custody」と呼ぶことができ、メッセージを扱う各エンティティが、以前にメッセージを扱ったすべてのエンティティを効果的に見ることができます。2019年7月にRFC 8617で「Experimental」として公開・文書化された比較的新しいプロトコルであるARCは、SPFやDKIMが中間サーバーによって無効にされた場合でも、受信サーバーがメールを検証することを可能にします。

Authenticated Received Chainはどのように役立つのか?

すでにご存じのように、DMARCは電子メールをSPFおよびDKIMの電子メール認証規格に照らして認証し、認証に失敗した電子メールまたは合格した電子メールをどのように処理するかを受信者に指定することができます。しかし、組織内で厳格なDMARCポリシーに基づいてDMARCエンフォースメントを実施した場合、メーリングリストやフォワーダーを介して送信されたような正当なメールであっても、認証に失敗して受信者に届けられない可能性があります。Authenticated Received Chainは、この問題を効果的に軽減することができます。次のセクションでは、その方法をご紹介します。

アークがお手伝いできる場面

  • メーリング・リスト 

メーリングリストのメンバーは、メーリングリスト自体にアドレスを設定することで、そのメーリングリストに参加しているすべてのメンバーにメッセージを一度に送信することができます。受信アドレスは、その後、あなたのメッセージをすべてのリストのメンバーに転送します。現状では、DMARCはこの種のメッセージの検証に失敗し、正当な送信元からメールが送られてきたにもかかわらず、認証が失敗してしまいます。これは、メッセージが転送されるとSPFが壊れるためです。メーリングリストでは、メール本文に余分な情報を盛り込むことが多いため、メール内容の変更によってDKIM署名が無効になることもあります。

  • メッセージの転送 

転送されたメッセージの場合のように、送信サーバーから直接メールを受け取るのではなく、中間サーバーからメールを受け取るなど、間接的なメールの流れがある場合、SPFが壊れ、メールは自動的にDMARC認証に失敗します。また、フォワーダーの中にはメールの内容を変更するものもあるため、DKIMの署名も無効になってしまいます。

 

 

このような状況では、Authenticated Received Chainが助けになります。どうやって?それを見てみましょう。

アークの機能とは?

上記の状況では、フォワーダーは最初にDMARC設定に照らして検証されたメールを、認証された送信元から受信していました。Authenticated Received Chainは、Authentication-Resultsヘッダーをメッセージ配信の次のホップに渡すための仕様として開発されました。

転送されたメッセージの場合、受信側のメールサーバーは、DMARC認証に失敗したメッセージを受信すると、最初のホップのARC Authentication-Resultsを抽出して、そのメールに対して提供されたAuthenticated Received Chainに対して2回目の検証を試み、仲介サーバーが受信側のサーバーに転送する前に正当性が検証されたかどうかを確認しています。

受信者は、抽出された情報に基づいて、ARCの結果がDMARCポリシーを上書きすることを許可するかどうかを決定し、それによって電子メールが真正で有効であると認められ、受信者の受信箱に正常に配信されることを許可する。

ARCの実装により、受信者は以下の情報を用いて効果的にメールを認証することができます。

  • 中間サーバーが目撃した認証結果と、最初のホップでのSPFとDKIMの検証結果の全履歴を表示します。
  • 送信されたデータを認証するために必要な情報です。
  • 送信された署名を仲介サーバにリンクさせるための情報で、仲介者がコンテンツを変更しても、新しい有効なDKIM署名を転送していれば、受信サーバでメールが検証されるようになっています。

Authenticated Received Chainの実装

ARCは3つの新しいメールヘッダを定義しています。

  • ARC-Authentication-Results(AAR)。メールヘッダの最初にあるAARは、SPF、DKIM、DMARCなどの認証結果をカプセル化したものです。

  • ARC-Seal (AS) - ASはDKIM署名の簡易版で、認証ヘッダーの結果とARC署名の情報を含んでいます。

  • ARC-Message-Signature(AMS) - AMSもDKIMの署名に似ていますが、ARC-Sealヘッダー以外のTo:フィールド、From:フィールド、件名、メッセージの本文全体を含むメッセージヘッダーのイメージを取得します。

変更内容に署名するために中間サーバーが行う手順。

ステップ1:サーバーはAuthentication-Resultsフィールドを新しいAARフィールドにコピーし、それをメッセージのプレフィックスとします。

ステップ2:サーバは、メッセージに対するAMSを(AARとともに)策定し、メッセージの前に追加します。

ステップ3:サーバは、前回のARC-SealヘッダのASを策定し、メッセージに追加します。

最後に、Authenticated Received Chainを検証し、転送されたメッセージが正当なものであるかどうかを確認するために、受信者はチェーン、ARC Seal-headers、および最新のARC-Message-Signatureを検証します。万が一、ARCヘッダーが何らかの形で変更されていた場合、そのメールは結果的にDKIM認証に失敗します。しかし、メッセージの送信に関わるすべてのメールサーバーが正しくARCに署名して送信していれば、メールはDKIM認証の結果を維持し、DMARC認証を通過して、受信者の受信箱にメッセージが正常に届けられることになります。

ARCの導入は、すべての正当な電子メールが一度の失敗もなく認証されるように、組織におけるDMARCの導入をバックアップおよびサポートします。今すぐDMARCの無料トライアルにお申し込みください。

 

ドメイン所有者は、ドメインやブランド名を利用して悪質な活動を行う、ドメイン・スプーフィング攻撃やフィッシング攻撃を仕掛ける脅威に常に注意する必要があります。どのようなメール交換ソリューションを使用していても、ブランドの信頼性を確保し、尊敬する顧客層からの信頼を維持するためには、なりすましや偽装からドメインを保護することが不可欠です。このブログでは、Office 365ユーザー向けにDMARCレコードを設定する手順をご紹介します。

最近では、多くの企業が、効果的で堅牢なクラウドベースのプラットフォームやOffice 365などのホスティングされた電子メール交換ソリューションを使用する方向にシフトしています。その結果、サイバー犯罪者は、プラットフォームに統合されたセキュリティソリューションを巧みに操り、電子メール詐欺を行う悪質な技術をアップグレードしてきました。このような理由から、マイクロソフト社はDMARCのような電子メール認証プロトコルのサポートをすべての電子メールプラットフォームに拡大しました。しかし、DMARCの利点を十分に活用するためには、Office 365にDMARCを正しく実装する方法を知っておく必要があります。

なぜDMARCなのか?

最初の疑問は、偽の電子メールをブロックするためのアンチスパム・ソリューションや電子メール・セキュリティ・ゲートウェイがすでにOffice 365スイートに統合されているのに、なぜ認証にDMARCを必要とするのかということです。これは、これらのソリューションが、あなたのドメインに送信されたインバウンドのフィッシングメールを特に保護する一方で、DMARC認証プロトコルは、ドメイン所有者に、認証チェックに失敗したあなたのドメインから送信されたメールにどのように対応するかを受信側のメールサーバーに指定する権限を与えるからです。

DMARCは、SPFとDKIMという2つの標準的な認証方法を利用して、電子メールの真正性を検証します。ポリシーを設定して実施することで、DMARCはなりすまし攻撃やダイレクトドメインスプーフィングに対して高いレベルの保護を提供することができます。

Office 365を使用する際に、本当にDMARCが必要なのか?

企業の間では、「Office 365ソリューションを持っていれば、スパムやフィッシング攻撃からの安全性が確保できる」という誤解がよくあります。しかし、2020年5月、Office 365を利用している中東の保険会社数社を狙った一連のフィッシング攻撃により、多額のデータが失われ、かつてないほどのセキュリティ侵害が発生しました。このように、マイクロソフトの統合されたセキュリティソリューションに頼るだけで、ドメインを保護するための外部からの取り組みを行わないことは、大きな過ちとなり得るのです

Office 365の統合されたセキュリティソリューションは、インバウンドのセキュリティ上の脅威やフィッシング対策を提供しますが、自社ドメインから送信されたアウトバウンドメッセージが顧客やパートナーの受信箱に届く前に、効果的に認証されているかどうかを確認する必要があります。そこで登場するのがDMARCです。

DMARCによるOffice 365のなりすましと偽装の防止

Office 365に付属するセキュリティソリューションは、スパムフィルターとして機能しますが、ドメインをなりすましから保護することはできず、DMARCの必要性が強調されています。DMARCは、お客様のドメインのDNSにDNS TXTレコードとして存在します。お客様のドメインにDMARCを設定するには、次のことが必要です。

ステップ1ドメインの有効なメールソースを特定する
ステップ2ドメインにSPFを設定します。
ステップ3:DKIMを設定する
ステップ4 ドメインのDNSにDMARC TXTレコードを発行します。

PowerDMARCの無料DMARCレコードジェネレーターを使えば、正しい構文のレコードを即座に生成してDNSで公開し、ドメインにDMARCを設定することができます。ただし、なりすまし攻撃やドメインの不正使用を効果的に軽減できるのは、拒否という実施ポリシーだけであることに注意してください。

しかし、DMARCレコードの公開だけで十分なのでしょうか?答えは、「ノー」です。ここからは、最後の最後、DMARCのレポートとモニタリングについて説明します。

Microsoft Office365を利用する上でPowerDMARCが必要な5つの理由

Microsoft Office 365は、クラウドベースのサービスやソリューションを提供するとともに、スパム対策フィルターが組み込まれています。しかし、様々な利点がある一方で、セキュリティの観点から見ると、以下のような欠点があります。

  • 自身のドメインから送信されたアウトバウンドメッセージを検証するソリューションがない
  • 認証チェックに失敗したメールを報告する仕組みがない
  • メールエコシステムを可視化できない
  • インバウンドとアウトバウンドのメールフローを管理・監視するダッシュボードがない
  • SPFレコードが常に10ルックアップ制限以下であることを保証する仕組みがない

PowerDMARCによるDMARCレポートとモニタリング

PowerDMARCは、Office 365とシームレスに統合し、BECやダイレクトドメインスプーフィングのような高度なソーシャルエンジニアリング攻撃から保護する高度な認証ソリューションをドメインオーナーに提供します。PowerDMARCは、メール認証のベストプラクティス(SPF、DKIM、DMARC、MTA-STS、TLS-RPT、BIMI)を統合するだけでなく、メールエコシステムを完全に可視化する広範で詳細なDMARCレポートメカニズムを提供するマルチテナント型のSaaSプラットフォームです。PowerDMARCダッシュボード上のDMARCレポートは、2つのフォーマットで生成されます。

  • 集計レポート
  • フォレンジックレポート

私たちは、業界の様々な問題を解決することで、お客様の認証体験をより良いものにするよう努めてきました。PowerDMARCは、DMARCフォレンジックレポートを確実に暗号化するだけでなく、7つの異なるビューで集計レポートを表示し、ユーザーエクスペリエンスを向上させ、わかりやすくします。PowerDMARCは、メールの流れや認証の失敗を監視し、世界中の悪意のあるIPアドレスをブラックリストに登録するのに役立ちます。当社のDMARCアナライザーツールは、お客様のドメインに対してDMARCを正しく設定し、監視から実施へとあっという間に移行するのに役立ちます。

 

ビジネス・メール・コンプロマイズ(BEC)とは、電子メールのセキュリティ侵害やなりすまし攻撃の一種であり、商業、政府、非営利団体、中小企業、新興企業、多国籍企業などに影響を与え、ブランドや組織に悪影響を及ぼす可能性のある機密データを抽出するものです。スピアフィッシング、請求書詐欺、スプーフィングなどがBECの一例です。

サイバー犯罪者は、組織内の特定の人物、特にCEOなどの権威ある立場の人物や、信頼のおける顧客などを意図的に狙う策略の専門家です。BECによる世界的な経済的影響は甚大であり、特に米国がその中心的存在となっています。世界のBEC詐欺の被害状況についてはこちらをご覧ください。解決策は?DMARCに切り替えましょう。

DMARCとは何ですか?

DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、電子メール認証の業界標準である。この認証メカニズムは、SPFやDKIMの認証チェックに失敗したメールへの対応方法を受信サーバーに指定するものです。DMARCは、あなたのブランドがBEC攻撃の餌食になる可能性をかなりの割合で最小限に抑え、あなたのブランドの評判、機密情報、金融資産を保護するのに役立ちます。

DMARC認証は、ドメインを代表して送信されたメッセージを検証するために、これらの2つの標準的な認証プロトコルを使用するので、DMARCレコードを公開する前に、あなたのドメインにSPFとDKIMを実装する必要があることに注意してください。

無料のSPF Record GeneratorDKIM Record Generatorを使って、お客様のドメインのDNSで公開するレコードを生成することができます。

BEC対策のためにDMARCレコードを最適化するには?

お客様のドメインをビジネスメールの侵害から保護するとともに、認証結果を監視するための広範なレポートメカニズムを有効にし、お客様のメールエコシステムを完全に可視化するために、お客様のドメインのDNSで以下のDMARCレコード構文を公開することをお勧めします。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

DMARCレコードの生成時に使用されるタグの理解。

V(必須このメカニズムでは、プロトコルのバージョンを指定します。
p(必須このメカニズムは、使用中のDMARCポリシーを指定します。DMARCポリシーを設定することができます。

p=none(認証チェックに失敗した電子メールが受信者の受信箱に届くような、監視のみのDMARC)。 p=quarantine(認証チェックに失敗した電子メールが隔離されるか、スパムフォルダに格納されるような、強制のDMARC)。

p=reject(DMARCを最大限に強化し、認証チェックに失敗したメールは破棄されるか、まったく配信されない)。

しかし、このブログの目的である、BECからドメインを保護したい場合、最大限の保護を確保するためには、p=rejectが推奨されるポリシーです。

sp (オプションこのタグはサブドメインのポリシーを指定するもので、sp=none/quarantine/rejectに設定することで、メールがDMARC認証に失敗したすべてのサブドメインに対するポリシーを要求することができます。

このタグは、メインドメインとサブドメインに異なるポリシーを設定したい場合にのみ有効です。指定しない場合は、デフォルトですべてのサブドメインに同じポリシーが適用されます。

adkim (オプションこのメカニズムは、DKIM識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

Strict alignmentは、メールヘッダのDKIMシグネチャのd=フィールドが、fromヘッダのドメインと正確に一致しなければならないことを指定します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

aspf (オプション この機構は、SPF識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

ストリクト・アラインメントとは、「Return-path」ヘッダーのドメインが、「from」ヘッダーのドメインと完全に一致することを意味します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

ルア(任意ですがお勧めしますこのタグは、mailto:フィールドの後に指定されたアドレスに送信されるDMARC集約レポートを指定し、DMARCを通過したメールと失敗したメールについての洞察を提供します。
ruf(オプションだが推奨このタグは、mailto: フィールドの後に指定されたアドレスに送信される DMARC フォレンジックレポートを指定します。フォレンジックレポートは、認証失敗に関するより詳細な情報を提供するメッセージレベルのレポートです。これらのレポートには電子メールのコンテンツが含まれている可能性があるため、暗号化することが最善の方法です。
pct(オプションこのタグは、DMARCポリシーが適用されるメールの割合を指定します。デフォルト値は100に設定されています。
fo(オプションだが推奨DMARCレコードのフォレンジックオプションを設定することができます。

→DKIMとSPFが通らない、揃わない(0)

→DKIMやSPFが通らない、または揃わない(1)

→DKIMが通らない、揃わない(d)

→SPFが通らない、揃わない(S

推奨モードはfo=1で、DKIMまたはSPFの認証チェックにメールが失敗した場合、フォレンジックレポートを生成してドメインに送信することを指定します。

PowerDMARCの無料DMARCレコードジェネレーターを使ってDMARCレコードを生成することができ、希望する施行レベルに応じてフィールドを選択することができます。

なお、BECを最小限に抑え、なりすましやフィッシング攻撃からドメインを守ることができるのは、拒否の実施ポリシーだけです。

DMARCは、BECからビジネスを守るための有効な基準となりますが、DMARCを正しく実装するには労力とリソースが必要です。電子メール認証のパイオニアであるPowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスをひとつにまとめた電子メール認証SaaSプラットフォームであり、認証の初心者でも、認証の愛好家でもあります。私たちはあなたを支援します。

  • モニタリングからエンフォースメントへ瞬時に移行し、BECを抑える
  • 当社の集計レポートは、複雑なXMLファイルを読まなくても簡単に理解できるように、簡素化されたチャートやテーブルの形で生成されます。
  • フォレンジックレポートを暗号化し、お客様の情報を保護します。
  • 認証結果を7つのフォーマット(結果ごと、送信元ごと、組織ごと、ホストごと、詳細な統計情報、ジオロケーションレポート、国ごと)で、ユーザーフレンドリーなダッシュボード上に表示し、最適なユーザーエクスペリエンスを提供します。
  • SPFとDKIMの両方に対してメールを調整することで、100%のDMARCコンプライアンスを実現し、いずれかの認証チェックポイントに失敗したメールが受信箱に届かないようにする

DMARCはどのようにしてBECから守るのか?

DMARCポリシーを最大施行(p=reject)に設定すると同時に、DMARCは、なりすまし攻撃やドメイン乱用の可能性を減らすことで、メール詐欺からブランドを守ります。すべての受信メッセージは、SPFとDKIMのメール認証チェックで検証され、有効な送信元からのメッセージであることが確認されます。

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。受信側のメールサーバーは、SPFレコードに照らし合わせてメールを検証し、認証を行います。DKIMは、秘密鍵を使って作成された暗号化された署名を割り当て、受信サーバーで電子メールを検証します。受信者は、送信者のDNSから公開鍵を取得してメッセージを認証します。

拒否のポリシーを設定すると、認証チェックに失敗し、ブランドが偽装されていることを示す場合、メールは受信者のメールボックスに一切配信されません。これにより、なりすましやフィッシングなどのBEC攻撃を防ぐことができます。

PowerDMARCの中小企業向け基本プラン

ベーシックプランは、月額わずか8米ドルからご利用いただけますので、DMARCのような安全なプロトコルを採用しようとしている中小企業やスタートアップ企業には、簡単にご利用いただけます。このプランをご利用いただくと、以下のようなメリットがあります。

  • 年間プランで20%割引
  • 最大2,000,000件のDMARC準拠の電子メール
  • 最大5つのドメイン
  • 1年間のデータ履歴
  • 2 プラットフォームユーザー
  • 主催するBIMI
  • ホスト型MTA-STS
  • TLS-RPT

今すぐPowerDMARCに登録して、ビジネスメールの不正使用やメール詐欺の可能性を最小限に抑え、ブランドのドメインを守りましょう。

1982年にSMTPが初めて仕様化されたとき、SMTPにはメール転送エージェント間の通信を保護するトランスポートレベルのセキュリティを提供する仕組みはありませんでした。しかし、1999年にSMTPに追加されたSTARTTLSコマンドは、サーバー間の電子メールの暗号化をサポートし、非セキュアな接続をTLSプロトコルで暗号化されたセキュアな接続に変換する機能を提供しました。

しかし、SMTPでは暗号化はオプションであり、平文であっても電子メールの送信が可能であることを意味する。 メール転送エージェント-制限付きトランスポートセキュリティ(MTA-STSは比較的新しい規格で、メールサービスプロバイダーがSMTP接続を保護するためにTLS(Transport Layer Security)を実施したり、信頼できるサーバー証明書でTLSを提供していないMXホストへのメール配信を送信側SMTPサーバーが拒否するかどうかを指定したりすることができます。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃を軽減できることが実証されています。 SMTP TLSレポート(TLS-RPT)については、電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出するための規格です。電子メールがTLSで暗号化されていないときに発生する電子メール配信の問題の報告を可能にします。2018年9月、この規格はRFC 8460で初めて文書化されました。

なぜメールには転送時の暗号化が必要なのか?

その主な目的は、SMTP通信時のトランスポートレベルのセキュリティを向上させ、電子メールのトラフィックのプライバシーを確保することです。また、受信および送信メッセージの暗号化は、電子情報を保護するための暗号技術を用いて、情報セキュリティを強化します。 さらに、MITM(Man-In-The-Middle)やTLS Downgradeなどの暗号攻撃は、最近ではサイバー犯罪者の間で一般的になっていますが、TLSの暗号化を強制し、安全なプロトコルへのサポートを拡張することで回避することができます。

MITM攻撃はどのようにして行われるのか?

暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに依存する必要がありました。MITM攻撃者は、アップグレードコマンドを改ざんすることでSMTP接続のダウングレード攻撃を実行し、クライアントを平文でのメール送信に強制的に戻すことで、この機能を容易に悪用することができます。

通信を傍受したMITM攻撃者は、復号化された情報を容易に盗み出し、電子メールの内容にアクセスすることができます。これは、メール転送の業界標準であるSMTPがオポチュニスティック暗号を使用しているためです。オポチュニスティック暗号とは、暗号化が任意であり、電子メールを平文で配信できることを意味します。

TLSダウングレード攻撃はどのように行われるのか?

暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに依存する必要がありました。MITM攻撃者は、アップグレードコマンドを改ざんすることによってSMTP接続のダウングレード攻撃を行うことで、この機能を悪用することができます。攻撃者は、STARTTLSを、クライアントが識別できない文字列で単純に置き換えることができます。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。

つまり、ダウングレード攻撃は、MITM攻撃の一環として行われることが多く、最新バージョンのTLSプロトコルで暗号化された接続の場合には不可能な攻撃を可能にする経路を作るために、STARTTLSコマンドを置き換えたり削除したりして、通信を平文に戻すというものです。

情報セキュリティの強化や広汎なモニタリング攻撃の緩和以外にも、送信中のメッセージを暗号化することで、複数のSMTPセキュリティ問題を解決することができます。

MTA-STSによる電子メールの強制的なTLS暗号化の実現

安全な接続でメールを送信しないと、データが漏洩したり、サイバー攻撃者によって改ざんされてしまう可能性があります。ここでMTA-STSが登場してこの問題を解決し、電子メールの安全な転送を可能にするとともに、TLS暗号化を強制することで暗号攻撃を緩和し、情報セキュリティを強化することに成功しました。簡単に言うと、MTA-STSはメールをTLS暗号化経路で転送することを強制し、暗号化された接続が確立できない場合、メールは平文で配信されるのではなく、全く配信されません。さらに、MTAはMTA-STSのポリシーファイルを保存するため、攻撃者がDNSスプーフィング攻撃を仕掛けることが難しくなります。

 

MTA-STSが提供するのは、...に対する保護です。

  • ダウングレード・アタック
  • MITM(Man-In-The-Middle)攻撃
  • 期限切れのTLS証明書やセキュアなプロトコルのサポート不足など、複数のSMTPセキュリティ問題を解決します。

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダがMTA-STSをサポートしています。業界最大手のGoogleは、どのプロトコルを採用しても中心的な役割を果たします。GoogleがMTA-STSを採用したことは、安全なプロトコルへのサポートが拡大していることを示しており、転送中のメール暗号化の重要性を強調しています。

TLS-RPTによるメール配信のトラブルシューティング

SMTP TLS Reportingは、お客様のドメインに送信されたメールのうち、配信問題に直面しているものや、ダウングレード攻撃などにより配信できなかったものについて、詳細な情報を記載した診断レポート(JSONファイル形式)をドメインオーナーに提供し、お客様が問題を事前に解決できるようにします。TLS-RPTを有効にするとすぐに、acquiescent Mail Transfer Agentは、通信しているサーバー間のメール配信問題に関する診断レポートを、指定されたメールドメインに送信し始めます。レポートは通常1日1回送信され、送信者が観測したMTA-STSポリシー、トラフィック統計、およびメール配信の失敗や問題に関する情報をカバーして伝えます。

TLS-RPTを導入する必要性について :

  • 万が一、配送上の問題で受信者にメールが届かなかった場合は、お客様にお知らせします。
  • TLS-RPTは、すべてのメールチャネルの可視性を高め、配信に失敗しているメッセージを含め、ドメイン内で起こっているすべてのことをよりよく把握できるようにします。
  • TLS-RPTは、詳細な診断レポートを提供することで、メール配信の問題を特定して根本的に解決し、遅滞なく修正することができます。

MTA-STSとTLS-RPTの採用は、PowerDMARCで簡単かつスピーディに。

MTA-STSには、有効な証明書を備えたHTTPS対応のウェブサーバ、DNSレコード、および継続的なメンテナンスが必要です。PowerDMARCは、証明書やMTA-STSポリシーファイルの生成からポリシーの適用まで、これらすべてをバックグラウンドで処理することにより、プロトコルの採用に伴う非常に複雑な作業を回避することができ、お客様の生活をより快適にします。証明書やMTA-STSポリシーファイルの生成からポリシーの適用まで、完全にバックグラウンドで処理することで、お客様がプロトコルの採用に伴う非常に複雑な作業から逃れることができます。

PowerDMARCの電子メール認証サービスを利用すれば、手間をかけずにスピーディにホスト型MTA-STSを導入することができます。このサービスを利用すれば、TLS暗号化接続でドメインに電子メールを送信するように強制することができ、接続を安全にしてMITM攻撃を防ぐことができます。

PowerDMARCは、SMTP TLS Reporting (TLS-RPT)の実装プロセスを簡単かつスピーディに行うことで、お客様の生活をより快適にします。お客様がPowerDMARCにサインアップしてドメインのSMTP TLS Reportingを有効にするとすぐに、メール配信問題のレポートを含む複雑なJSONファイルを、お客様が簡単に見て理解できるようなシンプルで読みやすいドキュメント(結果ごと、送信元ごと)に変換する作業を行います。PowerDMARCのプラットフォームは、お客様が直面しているメール配信の問題を自動的に検出し、それを伝えることで、お客様はすぐに問題に対処し、解決することができます。

今すぐ登録して、無料のDMARCを手に入れよう

もしあなたがこのブログを読んでいるなら、おそらく3つの一般的なプロンプトのいずれかに遭遇したことがあるでしょう。

  • DMARCレコードなし 
  • DMARCレコードが見つかりません 
  • DMARCレコードがありません。
  • DMARCレコードが見つからない 
  • DMARCレコードが公開されていない 
  • DMARCポリシーが有効になっていない
  • DMARCレコードが見つからない

いずれにしても、これは、あなたのドメインが、最も高く評価され、一般的に使用されているメール認証規格であるDMARC(Domain-based Message Authentication, Reporting, and Conformance)に設定されていないことを意味します。DMARCとは何かを見てみましょう。

DMARCとは何ですか?なぜドメインにメール認証が必要なのですか?

DMARCレコードが見つかりません」という問題を解決する方法を知るために、DMARCとは何かを学びましょう。DMARCは、現在最も広く使用されている電子メール認証規格で、ドメインオーナーが受信サーバーに対して、認証チェックに失敗したメッセージをどのように処理すべきかを指定できるように設計されています。これにより、ドメインを不正アクセスやメールスプーフィング攻撃から守ることができます。DMARCは、一般的な標準認証プロトコルを使用して、ドメインからのインバウンドおよびアウトバウンドのメッセージを検証します。

DMARCでなりすまし攻撃やスプーフィングからビジネスを守る

サイバー犯罪者がブランド名を悪用する最も簡単な方法がEメールであることをご存知でしたか?

お客様のドメインを使用し、お客様のブランドになりすますことで、ハッカーはお客様の従業員や顧客に悪意のあるフィッシングメールを送信することができます。SMTPには、偽の「From」フィールドに対する安全なプロトコルが導入されていないため、攻撃者はメールヘッダを偽造して、貴社のドメインから不正なメールを送信することができます。このような行為は、組織内のセキュリティを危険にさらすだけでなく、ブランドの評判を著しく低下させます。

電子メールのなりすましは、BEC(Business Email Compromise)、企業の貴重な情報の損失、機密データへの不正アクセス、財務上の損失につながり、ブランドのイメージを悪くします。自社のドメインにSPFやDKIMを導入しても、サイバー犯罪者が自社のドメインになりすますのを防ぐことはできません。このため、DMARCのような電子メール認証プロトコルが必要となります。DMARCは、前述の両方のプロトコルを使用して電子メールを認証し、顧客、従業員、パートナーの受信サーバーに対して、電子メールが不正な送信元からのものであり、認証チェックに失敗した場合にどのように対応するかを指定します。これにより、正確なドメイン攻撃から最大限に保護され、企業のドメインを完全にコントロールすることができます。

さらに、DMARCのような効果的なメール認証規格の助けを借りれば、メールの配信率、到達率、信頼性を向上させることができます。

 


あなたのドメインに足りないDMARCレコードを追加する

オンラインツールを使ってドメインのDMARCレコードを確認する際に、「Hostname returned a missing or invalid DMARC record」というプロンプトが表示されるのは煩わしく、混乱を招く恐れがあります。

DMARCレコードが見つかりません」という問題を解決するには、ドメインにDMARCレコードを追加する必要があります。DMARCレコードの追加とは、基本的には、ドメインのDNSの_サブドメインに、テキスト(TXT)レコードを公開することです。dmarc.example.comサブドメインにテキスト(TXT)レコードを公開することです(DMARCの仕様に準拠)。DNSのDMARC TXTレコードは、以下のようになります。

v=DMARC1; p=none; rua=mailto:[email protected]

これで完成です。お使いのドメインがDMARC認証に設定され、DMARCレコードが含まれているため、「No DMARC record found」というプロンプトが解決されました。

しかし、これでいいのでしょうか?答えは「ノー」である。DNSにDMARC TXTレコードを追加するだけで、DMARCプロンプトが表示されない問題は解決するかもしれませんが、なりすまし攻撃やスプーフィングを軽減するには十分ではありません。

PowerDMARCによる正しい方法でのDMARCの実装

PowerDMARCは、認証基準を揃えることで、組織が100%のDMARCコンプライアンスを達成することを支援します。また、監視から施行への移行を支援し、「DMARCレコードが見つかりません」というプロンプトをすぐに解決します。さらに、私たちのインタラクティブでユーザーフレンドリーなダッシュボードは、以下を自動的に生成します。

  • 登録されているすべてのドメインの集計レポート(RUA)は、複雑なXMLファイル形式を理解しやすいように簡略化し、読みやすい表やグラフに変換しています。
  • 暗号化されたフォレンジックレポート(RUF)

DMARCレコードが見つかりませんでした」を軽減するために必要なのは

DMARCポリシーには、:

  • p=none(DMARCは監視のみに設定されています。認証に失敗したメールは受信者の受信箱に配信されますが、認証結果を通知する集計レポートを受け取ることができます。)
  • p=quarantine(DMARCが強制レベルに設定されており、認証に失敗したメールは受信箱ではなく、スパムボックスに配信されます)
  • p=reject(DMARCは最大の施行レベルに設定されており、認証に失敗したメールは削除されるか、全く配信されない。)

なぜPowerDMARCなのか?

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスを一つにまとめた電子メール認証SaaSプラットフォームです。詳細な集計レポートを利用してお客様のメールエコシステムに最適な可視性を提供し、お客様がDNSを手動で更新しなくても、ダッシュボードの変更を自動的に更新できるように支援します。

お客様のドメインに合わせたソリューションを提供し、設定、セットアップ、モニタリングまで、すべてをバックグラウンドで行います。DMARCを正しく実装することで、なりすまし攻撃を防ぐことができます。

今すぐPowerDMARCに登録して、あなたのドメインのDMARCを正しく設定しましょう。