ポスト

このページを見ている方、このブログを読んでいる方は、以下のどちらかのプロンプトに遭遇したことがあると思います。

  • SPFレコードが見つかりません
  • SPFレコードがありません
  • SPFレコードなし
  • SPFレコードが見つかりません
  • SPFレコードが公開されていない
  • SPFレコードが見つかりません

このプロンプトは、単にお客様のドメインにSPFメール認証規格が設定されていないことを意味します。SPFレコードとは、ドメインのDNSで公開されるDNS TXTレコードで、SPFレコードに含まれる、ドメインを代表してメールを送信することを許可されたIPアドレスと照合してメッセージを認証します。そのため、SPFプロトコルで認証されていないドメインの場合、当然ながら「SPFレコードが見つかりません」というメッセージが表示されることがあります。

Sender Policy Framework(SPF)とは何ですか?

SPFメール認証規格は、スパマーがメールを偽造するのを防ぐために使われる仕組みです。DNSレコードを使用して、送信サーバーがドメイン名からのメール送信を許可されているかどうかを確認します。 SPFはSender Policy Frameworkの略で、自分のドメインでメールの送信が許可されている送信者を特定することができます。

SPFは、「パスベース」の認証システムであり、電子メールが最初の送信サーバから受信サーバに至るまでの経路に関係することを意味しています。SPFは、電子メールを送信する際にIPアドレスがドメイン名を使用することを組織が承認するだけでなく、受信側の電子メールサーバーがその承認を確認する方法を提供します。

SPFの設定は必要ですか?

SPF(Sender Policy Framework)のメール認証が必要だと言われたことがあると思います。しかし、ビジネスに本当に必要なのでしょうか?また、必要だとしたら、他にメリットはあるのでしょうか?その疑問は、通常、企業がその組織の大規模な電子メール交換者になったときに理解されます。SPFを使用すると、電子メールの動作を追跡して不正なメッセージを検出し、スパム関連の問題、なりすましやフィッシング攻撃からビジネスを守ることができます。SPFは、送信者の身元を確認することで、最大限の配信能力とブランド保護を実現するのに役立ちます。

SPFはどのように機能するのですか?

  • SPFレコードは、ドメイン管理者が発行する特殊なフォーマットのドメインネームシステム(DNS)レコードで、そのドメインに代わってメールを送信することを許可されたメールサーバーを定義するものです。
  • あなたのドメインにSPFが設定されていると、あなたのドメインからメールが送信されるたびに、受信者のメールサーバーは、リターンパスのドメインの仕様を
  • DNSを使用しています。続いて、送信者のIPアドレスを、SPFレコードに定義されている認証されたアドレスと照合しようとします。
  • その後、SPFポリシーの仕様に従って、受信サーバーは、認証に失敗した場合にメールを配信するか、拒否するか、フラグを立てるかを決定します。

SPFレコードの構文の説明

ダミードメインのSPFレコードを正しい構文で作成した場合を例に説明します。

v=spf1 ip4:29.337.148 include:domain.com -all

 

"No SPF Record Found "メッセージの停止について

SPFレコードが見つかりません」という迷惑なプロンプトを受けないようにするには、DNSのTXTレコードを発行してドメインにSPFを設定するだけです。当社の無料SPFレコード・ジェネレーターを使って、正しい構文のレコードをすぐに作成し、DNSで公開することができます。

必要なのは

  • MXとして登録されているサーバーにドメインのメール送信を許可するかどうかを選択します。
  • ドメインの現在のIPアドレスに、このドメインのメール送信を許可するかどうかを選択します。
  • ドメインからのメール送信を許可されたIPアドレスを記入してください。
  • お客様のドメインにメールを配信または中継する可能性のある他のサーバーのホスト名またはドメインを追加します。
  • SPFポリシーのモード、つまり受信サーバーの厳しさのレベルを、「Fail」(準拠していないメールは拒否される)、「Soft-fail」(準拠していないメールは受理されるがマークされる)、「Neutral」(メールはおそらく受理される)から選択してください。
  • をクリックすると SPFレコードの生成をクリックすると、すぐにレコードが作成されます。

すでにドメインにSPFを設定している場合は、無料の SPFレコードチェッカーを使って、SPFレコードを検索して検証し、問題を検出することもできます。

SPFレコードの発行だけでは不十分ですか?

答えはノーです。SPFだけでは、あなたのブランドのなりすましを防ぐことはできません。直接的なドメインのなりすまし、フィッシング攻撃、BECに対する最適な保護のためには、ドメインにDKIMとDMARCを設定する必要があります。

さらに、SPFにはDNSルックアップが10回までという制限があります。この制限を超えてしまうと、SPFが壊れてしまい、正当なメールであっても認証ができなくなってしまいます。このため、ダイナミックSPFフラットナーが必要となります。このSPFフラットナーは、10回のDNSルックアップの制限を超えないようにするだけでなく、メール交換プロバイダーによる変更を常に反映させることができます。

このブログが問題解決に役立ち、二度と「SPFレコードが見つかりません」というメッセージに悩まされることがなくなることを願っています。今すぐメール認証の無料トライアルに登録して、メールの配信力とメールセキュリティを向上させましょう。

 

進化を続けるサイバー犯罪の中でも、電子メールを標的とした詐欺行為は、「Business Email Compromise(ビジネス・メール・コンプロマイズ)」と呼ばれています。企業、政府機関、非営利団体を対象としたBEC攻撃は、膨大な量のデータ損失、セキュリティ侵害、金融資産の漏洩につながります。サイバー犯罪者は通常、多国籍企業や企業レベルの組織を標的にしているというのは、よくある誤解です。最近では、中小企業も大企業と同様にメール詐欺の標的となっています。 

BECは組織にどのような影響を与えるか?

BEC攻撃の例としては、フィッシング、CEO詐欺、偽の請求書、メールスプーフィングなどの高度なソーシャルエンジニアリング攻撃が挙げられます。 また、BEC攻撃は、権威的な立場の人物になりすまして企業からの資金を詐取しようとする「なりすまし攻撃」とも呼ばれます。CFO(最高財務責任者)やCEO(最高経営責任者)、ビジネスパートナー、あるいは盲目的に信頼を置く人物などになりすますことで、これらの攻撃を成功させることができます。

2021年2月、ロシアのサイバーギャング「Cosmic Lynx」の活動が、BECに対する洗練されたアプローチで捉えられていました。このグループは、2019年7月以降、世界46カ国以上を対象に、グローバルに展開する巨大な多国籍企業を中心に、200件以上のBECキャンペーンを実施していることがすでに判明していました。極めてよくできたフィッシングメールで、人々が本物と偽物のメッセージを区別できないようにしています。

リモートワークにより、ビデオ会議アプリケーションは、パンデミック後の不可欠な存在となっています。このような状況を利用して、サイバー犯罪者は、ビデオ会議プラットフォームであるZoomからの通知を装った不正なメールを送信しています。これは、企業の大規模なデータ漏洩を行うためにログイン情報を盗むことを目的としています。

最近、BECの関連性が急速に表面化し、増加していることは明らかであり、脅威の行為者はより洗練された革新的な方法で不正行為を逃れようとしています。BEC攻撃は、世界の70%以上の組織に影響を及ぼし、毎年数十億ドルの損失をもたらしています。そのため、業界の専門家たちは、DMARCのような電子メール認証プロトコルを開発し、なりすましに対して高いレベルの保護を提供しています。

メール認証とは何ですか?

電子メール認証とは、電子メールの送信元に関する検証可能な情報を提供するために導入された多数の技術を指します。これは、メッセージ転送に関わるメール転送エージェントのドメイン所有権を認証することによって行われます。

電子メール転送の業界標準であるSimple Mail Transfer Protocol (SMTP)には、このようなメッセージ認証機能が組み込まれていません。このため、サイバー犯罪者は、セキュリティの欠如を悪用して、メールフィッシングやドメイン偽装などの攻撃を非常に簡単に行うことができます。そのため、DMARCのように、実際にその効果を発揮する効果的な電子メール認証プロトコルが必要とされているのです。

DMARCによるBEC攻撃の防止策

 

ステップ1:実装 

BEC攻撃に対抗するための最初のステップは、実際にあなたのドメインにDMARCを設定することです。DMARC(Domain-based Message Authentication, Reporting and Conformance)は、SPFとDKIMの認証規格を利用して、ドメインから送信されたメールを認証するものです。DMARCは、これらの認証チェックのいずれかまたは両方に失敗した電子メールにどのように応答するかを受信サーバーに指定し、ドメイン所有者が受信者の応答を制御できるようにします。したがって、DMARCを実装するためには、以下のことが必要となります。

  • お客様のドメインで許可されているすべての有効なメールソースを特定します。
  • お客様のドメインにSPFを設定するために、DNSにSPFレコードを発行してください。
  • お客様のドメインにDKIMを設定するために、DNSにDKIMレコードを発行します。
  • ドメインにDMARCを設定するために、DNSにDMARCレコードを発行する。

複雑な作業を避けるために、PowerDMARCの無料ツール(無料SPFレコードジェネレーター、無料DKIMレコードジェネレーター、無料DMARCレコードジェネレーター)を使って、正しい構文のレコードを即座に生成し、ドメインのDNSで公開することができます。

ステップ2:エンフォースメント 

あなたのDMARCポリシーは、以下のように設定できます。

  • p=none (DMARCは監視のみ。認証に失敗したメッセージは配信される)
  • p=quarantine (DMARCの実施。認証に失敗したメッセージは隔離される)
  • p=reject (DMARCを最大限に施行。認証に失敗したメッセージは全く配信されない)

メールの流れや配信の問題を監視できるように、監視のみを有効にしたポリシーでDMARCの使用を開始することをお勧めします。しかし、このようなポリシーでは、BECに対する保護はできません。そのため、最終的にはDMARCのエンフォースメントに移行する必要があるのです。PowerDMARCでは、p=rejectというポリシーを設定することで、受信サーバーに対して、あなたのドメインを使用した悪意のあるソースから送信された電子メールが、受信者の受信箱に全く配信されないことを指定することができ、モニタリングからエンフォースメントへのシームレスな移行をあっという間に行うことができます。

ステップ3:モニタリングとレポーティング 

DMARCポリシーをエンフォースメントに設定し、BEC攻撃を最小限に抑えることに成功しましたが、これで十分でしょうか?答えは、「ノー」です。電子メールの流れを監視し、配信上の問題に対応するためには、広範かつ効果的なレポートメカニズムが必要です。PowerDMARCのマルチテナントSaaSプラットフォームは、このようなお客様をサポートします。

  • 自分のドメインをコントロールする
  • 登録されているすべてのメール、ユーザー、ドメインの認証結果を視覚的に確認できます。
  • ブランドを偽装した不正なIPアドレスの削除

DMARCレポートは、PowerDMARCダッシュボード上で、主に2つのフォーマットで提供されています。

  • DMARC集約レポート(7種類のビューで利用可能
  • DMARCフォレンジックレポート(プライバシー保護のための暗号化機能付き

DMARCの導入、実施、レポート作成を総合的に行うことで、BEC攻撃やなりすましの被害に遭う可能性を大幅に減らすことができます。 

スパム対策フィルターを使用してもDMARCは必要ですか?

そうです。DMARCは、通常のアンチスパムフィルターやメールセキュリティゲートウェイとは全く異なる仕組みになっています。これらのソリューションは、通常、クラウドベースのメール交換サービスに統合されていますが、これらは、インバウンドのフィッシング攻撃に対する保護しか提供できません。あなたのドメインから送信されたメッセージは、依然としてなりすましの脅威にさらされています。そこで登場するのがDMARCです。

メールセキュリティ強化のための追加ヒント

 

DNS検索回数を常に10回以下に抑える 

SPF10ルックアップの制限を超えると、SPFレコードが完全に無効になり、正当なメールであっても認証に失敗することがあります。このような場合、DMARCを拒否に設定していると、正当なメールが届かなくなってしまいます。PowerSPFは、自動的かつ動的なSPFレコードフラットナーで、SPFのハードリミットを下回るようにサポートすることで、SPFパーメラーを軽減します。ネットブロックを自動更新し、メールサービスプロバイダがIPアドレスを変更した際には、お客様の手を煩わせることなく常にスキャンを行います。

送信中のメールをTLSで暗号化する

DMARCは、ソーシャルエンジニアリング攻撃やBECから保護することができますが、MITM(Man-in-the-middle)のような広汎なモニタリング攻撃に対しても準備する必要があります。これは、電子メールがドメインに送信されるたびに、SMTPサーバー間でTLSで保護された接続がネゴシエートされるようにすることで実現できます。PowerDMARCのホスト型MTA-STSは、SMTPにTLS暗号化を必須とし、簡単な実装手順を備えています。

メール配信の問題点をレポートする

また、SMTP TLSレポートを有効にすると、ドメインにMTA-STSを設定した後、メール配信の問題に関する診断レポートを得ることができます。TLS-RPTは、メールエコシステムを可視化し、配信失敗につながる安全な接続のネゴシエーションの問題に適切に対応するのに役立ちます。TLSレポートは、PowerDMARCダッシュボード上の2つのビュー(結果ごとの集計レポートと送信元ごとのレポート)で利用できます。

BIMIでブランド想起を増幅する 

BIMI(Brand Indicators for Message Identification)を使えば、受信者が受信箱の中であなたを視覚的に識別できるようにすることで、あなたのブランド想起度を全く新しいレベルに引き上げることができます。BIMIは、あなたのドメインから送信されるすべてのメールに、あなたのユニークなブランドロゴを添付することで機能します。PowerDMARCは、ユーザーが3つの簡単なステップを踏むだけでBIMIを簡単に実装することができます。

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTを含む一連のメール認証プロトコルをワンストップで提供します。 今すぐ登録して、DMARC Analyzerの無料トライアルをご利用ください。

SMTPでは、暗号化はオプションであり、電子メールを平文で送信できることを意味します。MTA-STS(Mail Transfer Agent-Strict Transport Security)は比較的新しい規格で、メールサービスプロバイダがSMTP接続を保護するためにTLS(Transport Layer Security)を実施したり、送信側のSMTPサーバがTLSをサポートしていないMXホストへのメール配信を拒否するかどうかを指定したりすることができます。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃をうまく緩和することが証明されています。

MTA-STSを有効にするだけでは十分ではなく、暗号化されたチャネルの確立に失敗したことを検出するための効果的な報告メカニズムが必要です。SMTP TLS Reporting (TLS-RPT)は、電子メールを送信するアプリケーションが経験するTLS接続の問題を報告し、設定ミスを検出することができる規格です。電子メールがTLSで暗号化されていない場合に発生する電子メール配信の問題を報告することができます。

PowerMTA-STSによる簡単なMTA-STSの実装

MTA-STSの実装は、採用時に多くの複雑な作業を伴う大変な作業です。ポリシーファイルやレコードの生成から、ウェブサーバーやホスティング証明書の管理まで、長い時間を要する作業です。PowerDMARCはそんなあなたをサポートします。当社のホスト型MTA-STSサービスには、以下のようなメリットがあります。

  • 数回のクリックでDNSのCNAMEレコードを発行できる
  • ポリシーのWebサーバーのメンテナンスや証明書のホスティングを担当する
  • DNSを手動で変更しなくても、PowerDMARCのダッシュボードからMTA-STSのポリシーを即座に、かつ簡単に変更することができます。
  • PowerDMARCのホスト型MTA-STSサービスはRFCに準拠し、最新のTLS規格をサポートしています。
  • 証明書やMTA-STSポリシーファイルの生成からポリシーの実施まで、プロトコルの採用に伴う膨大な複雑さを回避するための支援を行います。

なぜ電子メールには転送時の暗号化が必要なのか?

SMTPには、TLS暗号化を開始するSTARTTLSコマンドを追加して下位互換性を確保する必要があったため、クライアントがTLSをサポートしていない場合は、通信が平文に戻ってしまいます。これにより、MITMのような監視型の攻撃を受ける可能性があります。MITMでは、サイバー犯罪者がメッセージを盗聴し、暗号化コマンド(STARTTLS)を置き換えたり削除したりすることで情報を改ざんし、通信を平文に戻してしまいます。

ここでMTA-STSが活躍し、SMTPにTLS暗号化を必須化します。これにより、MITM、DNS Spoofing、Downgrade攻撃などの脅威を軽減することができます。

ドメインにMTA-STSを設定した後に必要なのは、TLS暗号化の問題に起因するメール配信の問題を検出し、より迅速に対応するのに役立つ効率的なレポートメカニズムです。PowerTLS-RPTはまさにそれを実現してくれます。

PowerTLS-RPTによるメール配信問題のレポート受信

TLS-RPTはPowerDMARCセキュリティスイートに完全に統合されているので、PowerDMARCにサインアップしてドメインのSMTP TLS Reportingを有効にするとすぐに、メール配信問題のレポートを含む複雑なJSONファイルを、簡単に読み解けるドキュメントに変換する作業を行います。

PowerDMARCプラットフォームでは、TLS-RPT集計レポートが2つのフォーマットで生成され、使いやすさ、洞察力、ユーザーエクスペリエンスの向上を実現します。
  • 結果ごとのレポートを集計
  • 送信元ごとのレポートを集計

さらに、PowerDMARCのプラットフォームは、あなたが直面している問題を自動的に検出し、その後に伝えるので、あなたは迅速に問題に対処し、すぐに解決することができます。

なぜSMTP TLSレポートが必要なのか?

TLS暗号化の問題によりメール配信に失敗した場合、TLS-RPTにより通知されます。TLS-RPTでは、すべてのメールチャネルの可視性が強化されるため、配信に失敗したメッセージを含め、ドメイン内で起こっているすべてのことをよりよく把握することができます。さらに、詳細な診断レポートが提供されるため、メール配信の問題を特定して根本的に解決することができ、遅延なく問題を解決することができます。

MTA-STSとTLS-RPTの実装と採用に関する実践的な知識を得るには、今すぐ詳細なガイドをご覧ください。

PowerDMARCでお客様のドメインにDMARCを設定し、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなどのメール認証のベスト・プラクティスを導入することができます。今すぐDMARCの無料トライアルにお申し込みください。

メールが受信者のもとに届く率をメール到達率といいます。メールがスパムフォルダに入ってしまったり、受信サーバーでブロックされてしまったりすると、この率が低下したり、遅延したり、あるいは配信に失敗してしまうことがあります。メールがスパムと判定されることなく、希望する受信者の受信箱に届いたかどうかを測る重要なパラメータです。 電子メール認証は、電子メールの配信能力を長期的に大幅に改善するために、認証の初心者が頼ることのできるオプションの1つであることは間違いありません。

このブログでは、メールの配信率を簡単に向上させる方法や、すべてのメールチャネルでメッセージがスムーズに流れるようにするための業界のベスト・プラクティスについてご紹介しています。

メール認証とは何ですか?

メール認証とは、お客様のドメインからメールを送信することが許可されているすべての正規ソースに対して、お客様のメールの真正性を検証するために使用される技術です。さらに、電子メールの転送や変更に関わるメール転送エージェント(MTA)のドメイン所有権を検証するのにも役立ちます。

なぜメール認証が必要なのか?

電子メール転送のインターネット標準であるSimple Mail Transfer Protocol (SMTP)には、送受信される電子メールを認証する機能がないため、サイバー犯罪者はSMTPの安全なプロトコルの欠如を悪用することができます。これを利用して、フィッシング詐欺、BEC、ドメイン偽装などの攻撃を行い、お客様のブランドになりすまして、その評判や信用を傷つけることができます。電子メール認証は、なりすましや詐欺に対するドメインのセキュリティを強化し、受信サーバーに電子メールがDMARCに準拠しており、有効で信頼できるソースからのものであることを示します。また、お客様のドメインからメールを送信している未承認の悪意のあるIPアドレスのチェックポイントとしても機能します。

ブランドイメージを守り、サイバー脅威やBECを最小限に抑え、配信率を向上させるためには、メール認証が必須です。

メール認証のベストプラクティス

送信者ポリシーフレームワーク(SPF

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。お客様のドメインから送信されるすべてのメールには、お客様のサーバーとお客様のドメインで使用されているメールサービスプロバイダーを特定するIPアドレスがSPFレコードとしてお客様のDNS内に登録されています。受信者のメールサーバーは、SPFレコードと照らし合わせて電子メールを検証し、それに応じてSPF合格または不合格としてマークします。

SPFには10個のDNSルックアップ制限があり、これを超えるとPermErrorの結果が返され、SPFが失敗することがあるので注意が必要です。これは、PowerSPFを使用して常にルックアップ制限を下回るようにすることで軽減できます。

DomainKeys Identified Mail (DKIM)

DKIMは標準的な電子メール認証プロトコルで、秘密鍵を使って作成された暗号署名を割り当て、受信サーバーで電子メールを検証するもので、受信者は送信者のDNSから公開鍵を取得してメッセージを認証することができます。SPFと同様に、DKIM公開鍵もドメイン所有者のDNSにTXTレコードとして存在します。

DMARC(Domain-based Message Authentication, Reporting and Conformance)について

ドメイン所有者は、認証チェックに失敗したメールに対する受信サーバーの対応をコントロールする方法がないため、SPFとDKIMを実装するだけでは十分ではありません。

DMARCは、現在最も広く使用されている電子メール認証規格で、ドメイン所有者が受信サーバーに対して、SPFやDKIM、またはその両方に失敗したメッセージをどのように処理すべきかを指定できるように設計されています。これにより、ドメインを不正アクセスやメールスプーフィング攻撃から守ることができます。

DMARCはどのようにしてメールの配信能力を向上させるのか?

  • ドメインのDNSにDMARCレコードを公開すると、ドメインの所有者は、DMARCをサポートする受信サーバーに、そのドメインで受信した電子メールに関するフィードバックを送信するように要求します。これにより、受信サーバーは、あなたのドメインがDMARC、SPF、DKIMなどの電子メール用の安全なプロトコルと認証基準のサポートを拡張していることを自動的に示すことができます。
  • DMARC集約レポートは、メールエコシステムの可視性を高め、メール認証結果の確認、認証失敗の検出、配信問題の軽減を可能にします。
  • DMARCポリシーを徹底することで、ブランドを装った悪質なメールが受信者の受信箱に入るのを防ぐことができます。

メールの配信力を高めるためのその他のヒント

  • BIMIで受信者の受信箱にブランドを視覚的に認識させる
  • MTA-STS で送信中のメールのTLS暗号化を確保する。
  • TLS-RPTを利用した広範なレポート機能により、メール配信に関する問題を検出し、対応することができます。

PowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべてのメール認証のベストプラクティスを一つにまとめたメール認証SaaSプラットフォームです。今すぐPowerDMARCにサインアップして、私たちの強化された電子メールセキュリティと認証スイートで、電子メールの配信能力が大幅に改善されるのを目撃してください。

ビジネス・メール・コンプロマイズ(BEC)とは、電子メールのセキュリティ侵害やなりすまし攻撃の一種であり、商業、政府、非営利団体、中小企業、新興企業、多国籍企業などに影響を与え、ブランドや組織に悪影響を及ぼす可能性のある機密データを抽出するものです。スピアフィッシング、請求書詐欺、スプーフィングなどがBECの一例です。

サイバー犯罪者は、組織内の特定の人物、特にCEOなどの権威ある立場の人物や、信頼のおける顧客などを意図的に狙う策略の専門家です。BECによる世界的な経済的影響は甚大であり、特に米国がその中心的存在となっています。世界のBEC詐欺の被害状況についてはこちらをご覧ください。解決策は?DMARCに切り替えましょう。

DMARCとは何ですか?

DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、電子メール認証の業界標準である。この認証メカニズムは、SPFやDKIMの認証チェックに失敗したメールへの対応方法を受信サーバーに指定するものです。DMARCは、あなたのブランドがBEC攻撃の餌食になる可能性をかなりの割合で最小限に抑え、あなたのブランドの評判、機密情報、金融資産を保護するのに役立ちます。

DMARC認証は、ドメインを代表して送信されたメッセージを検証するために、これらの2つの標準的な認証プロトコルを使用するので、DMARCレコードを公開する前に、あなたのドメインにSPFとDKIMを実装する必要があることに注意してください。

無料のSPF Record GeneratorDKIM Record Generatorを使って、お客様のドメインのDNSで公開するレコードを生成することができます。

BEC対策のためにDMARCレコードを最適化するには?

お客様のドメインをビジネスメールの侵害から保護するとともに、認証結果を監視するための広範なレポートメカニズムを有効にし、お客様のメールエコシステムを完全に可視化するために、お客様のドメインのDNSで以下のDMARCレコード構文を公開することをお勧めします。

v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;

DMARCレコードの生成時に使用されるタグの理解。

V(必須このメカニズムでは、プロトコルのバージョンを指定します。
p(必須このメカニズムは、使用中のDMARCポリシーを指定します。DMARCポリシーを設定することができます。

p=none(認証チェックに失敗した電子メールが受信者の受信箱に届くような、監視のみのDMARC)。 p=quarantine(認証チェックに失敗した電子メールが隔離されるか、スパムフォルダに格納されるような、強制のDMARC)。

p=reject(DMARCを最大限に強化し、認証チェックに失敗したメールは破棄されるか、まったく配信されない)。

しかし、このブログの目的である、BECからドメインを保護したい場合、最大限の保護を確保するためには、p=rejectが推奨されるポリシーです。

sp (オプションこのタグはサブドメインのポリシーを指定するもので、sp=none/quarantine/rejectに設定することで、メールがDMARC認証に失敗したすべてのサブドメインに対するポリシーを要求することができます。

このタグは、メインドメインとサブドメインに異なるポリシーを設定したい場合にのみ有効です。指定しない場合は、デフォルトですべてのサブドメインに同じポリシーが適用されます。

adkim (オプションこのメカニズムは、DKIM識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

Strict alignmentは、メールヘッダのDKIMシグネチャのd=フィールドが、fromヘッダのドメインと正確に一致しなければならないことを指定します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

aspf (オプション この機構は、SPF識別子のアライメントモードを指定するもので、s(strict)またはr(relax)に設定できます。

ストリクト・アラインメントとは、「Return-path」ヘッダーのドメインが、「from」ヘッダーのドメインと完全に一致することを意味します。

ただし、Relaxed alignmentの場合は、2つのドメインが同じ組織ドメインを共有している必要があります。

ルア(任意ですがお勧めしますこのタグは、mailto:フィールドの後に指定されたアドレスに送信されるDMARC集約レポートを指定し、DMARCを通過したメールと失敗したメールについての洞察を提供します。
ruf(オプションだが推奨このタグは、mailto: フィールドの後に指定されたアドレスに送信される DMARC フォレンジックレポートを指定します。フォレンジックレポートは、認証失敗に関するより詳細な情報を提供するメッセージレベルのレポートです。これらのレポートには電子メールのコンテンツが含まれている可能性があるため、暗号化することが最善の方法です。
pct(オプションこのタグは、DMARCポリシーが適用されるメールの割合を指定します。デフォルト値は100に設定されています。
fo(オプションだが推奨DMARCレコードのフォレンジックオプションを設定することができます。

→DKIMとSPFが通らない、揃わない(0)

→DKIMやSPFが通らない、または揃わない(1)

→DKIMが通らない、揃わない(d)

→SPFが通らない、揃わない(S

推奨モードはfo=1で、DKIMまたはSPFの認証チェックにメールが失敗した場合、フォレンジックレポートを生成してドメインに送信することを指定します。

PowerDMARCの無料DMARCレコードジェネレーターを使ってDMARCレコードを生成することができ、希望する施行レベルに応じてフィールドを選択することができます。

なお、BECを最小限に抑え、なりすましやフィッシング攻撃からドメインを守ることができるのは、拒否の実施ポリシーだけです。

DMARCは、BECからビジネスを守るための有効な基準となりますが、DMARCを正しく実装するには労力とリソースが必要です。電子メール認証のパイオニアであるPowerDMARCは、DMARC、SPF、DKIM、BIMI、MTA-STS、TLS-RPTなど、すべての電子メール認証のベストプラクティスをひとつにまとめた電子メール認証SaaSプラットフォームであり、認証の初心者でも、認証の愛好家でもあります。私たちはあなたを支援します。

  • モニタリングからエンフォースメントへ瞬時に移行し、BECを抑える
  • 当社の集計レポートは、複雑なXMLファイルを読まなくても簡単に理解できるように、簡素化されたチャートやテーブルの形で生成されます。
  • フォレンジックレポートを暗号化し、お客様の情報を保護します。
  • 認証結果を7つのフォーマット(結果ごと、送信元ごと、組織ごと、ホストごと、詳細な統計情報、ジオロケーションレポート、国ごと)で、ユーザーフレンドリーなダッシュボード上に表示し、最適なユーザーエクスペリエンスを提供します。
  • SPFとDKIMの両方に対してメールを調整することで、100%のDMARCコンプライアンスを実現し、いずれかの認証チェックポイントに失敗したメールが受信箱に届かないようにする

DMARCはどのようにしてBECから守るのか?

DMARCポリシーを最大施行(p=reject)に設定すると同時に、DMARCは、なりすまし攻撃やドメイン乱用の可能性を減らすことで、メール詐欺からブランドを守ります。すべての受信メッセージは、SPFとDKIMのメール認証チェックで検証され、有効な送信元からのメッセージであることが確認されます。

SPFは、お客様のDNSにTXTレコードとして存在し、お客様のドメインからメールを送信することを許可されているすべての有効な送信元を表示します。受信側のメールサーバーは、SPFレコードに照らし合わせてメールを検証し、認証を行います。DKIMは、秘密鍵を使って作成された暗号化された署名を割り当て、受信サーバーで電子メールを検証します。受信者は、送信者のDNSから公開鍵を取得してメッセージを認証します。

拒否のポリシーを設定すると、認証チェックに失敗し、ブランドが偽装されていることを示す場合、メールは受信者のメールボックスに一切配信されません。これにより、なりすましやフィッシングなどのBEC攻撃を防ぐことができます。

PowerDMARCの中小企業向け基本プラン

ベーシックプランは、月額わずか8米ドルからご利用いただけますので、DMARCのような安全なプロトコルを採用しようとしている中小企業やスタートアップ企業には、簡単にご利用いただけます。このプランをご利用いただくと、以下のようなメリットがあります。

  • 年間プランで20%割引
  • 最大2,000,000件のDMARC準拠の電子メール
  • 最大5つのドメイン
  • 1年間のデータ履歴
  • 2 プラットフォームユーザー
  • 主催するBIMI
  • ホスト型MTA-STS
  • TLS-RPT

今すぐPowerDMARCに登録して、ビジネスメールの不正使用やメール詐欺の可能性を最小限に抑え、ブランドのドメインを守りましょう。