ポスト

DMARCサービスを提供している私たちは、よくこのような質問を受けます。"もしDMARCがSPFとDKIMの認証を使うだけなら、なぜわざわざDMARCを使う必要があるのか?不必要なものではないのか?"

表面的にはほとんど違いがないように見えるかもしれませんが、現実は大きく異なります。DMARCはSPFとDKIMの技術を組み合わせただけではなく、それ自体が全く新しいプロトコルなのです。DMARCにはいくつかの特徴があり、世界で最も先進的なメール認証規格の1つであり、企業にとっては絶対に必要なものです。

しかし、ちょっと待ってください。なぜDMARCが必要なのか、正確な答えが出ていません。SPFやDKIMにはない、DMARCの特徴とは?まあ、それはかなり長い答えで、1つのブログ記事には長すぎます。だから、それを分割して、まずSPFについて話しましょう。慣れていない方のために、簡単にご紹介します。

SPFとは?

SPF(Sender Policy Framework)とは、メール受信者をなりすましメールから保護するためのメール認証プロトコルです。SPFレコードは、お客様(ドメイン所有者)のチャンネルを通じてメールを送信することを許可されたすべてのIPアドレスのリストです。受信サーバーは、あなたのドメインからのメッセージを見ると、あなたのDNSで公開されているSPFレコードをチェックします。送信者のIPがこの「リスト」にあれば、メールは配信されます。そうでなければ、サーバーはそのメールを拒否します。

ご覧のように、SPFは、お客様のデバイスに害を及ぼしたり、組織のセキュリティシステムを危険にさらしたりする可能性のある、多くの好ましくない電子メールを排除するために、かなり良い仕事をしています。しかし、SPFは一部の人が考えているほど良いものではありません。それは、SPFにはいくつかの大きな欠点があるからです。ここでは、その問題点について説明します。

SPFの限界

SPFレコードは、Fromアドレスには適用されません。

メールには、送信者を特定するための複数のアドレスがあります。通常表示されるFromアドレスと、1~2回のクリックで表示される隠れたReturn Pathアドレスです。SPFを有効にすると、受信側のメールサーバーはリターンパスを見て、そのアドレスのドメインのSPFレコードをチェックします。

ここで問題となるのは、攻撃者がリターンパスのアドレスに偽のドメインを使い、Fromセクションに正当な(または正当に見える)メールアドレスを使うことで、これを悪用できることです。仮に受信者が送信者のメールIDを確認したとしても、まずFromアドレスを見て、一般的にはリターンパスをわざわざ確認することはありません。実際、ほとんどの人はReturn Pathアドレスというものがあることすら知らないのではないでしょうか。

SPFは、この単純なトリックを使うことで非常に簡単に回避することができ、SPFで保護されたドメインであってもほとんど無防備になります。

SPFレコードは、DNSルックアップの制限があります。

SPFレコードには、ドメイン所有者がメール送信を許可したすべてのIPアドレスのリストが含まれています。しかし、これには決定的な欠点があります。受信サーバーは、送信者が許可されているかどうかを確認するためにレコードをチェックする必要があり、サーバーの負荷を軽減するために、SPFレコードのDNSルックアップは10回までとなっています。

つまり、あなたの組織が複数のサードパーティベンダーを使用して、あなたのドメインを通じてメールを送信している場合、SPFレコードはその制限をオーバーシュートしてしまう可能性があります。適切に最適化されていなければ(自分でやるのは簡単ではありませんが)、SPFレコードには非常に制限の多い上限が設定されています。この制限を超えると、SPFの実装が無効であるとみなされ、メールはSPFに失敗します。これにより、メールの配信率が低下する可能性があります。

 

メールが転送されたときにSPFが機能しないことがある

SPFには、メール配信に支障をきたすもう一つの重大な障害点があります。お客様のドメインにSPFを実装している場合、誰かがお客様のメールを転送すると、転送されたメールがSPFポリシーによって拒否されることがあります。

これは、転送されたメッセージによってメールの受信者が変更されたが、メールの送信者のアドレスは同じままであるためです。これが問題になるのは、メッセージにはオリジナルの送信者のFromアドレスが含まれているのに、受信サーバーには別のIPが表示されているからです。転送先のメールサーバのIPアドレスは、オリジナルの送信者のドメインのSPFレコードに含まれていません。その結果、受信サーバーでメールが拒否されてしまうことがあります。

DMARCはこれらの問題をどのように解決するのでしょうか?

DMARCは、SPFとDKIMを組み合わせて電子メールを認証します。電子メールがDMARCを通過して正常に配信されるためには、SPFまたはDKIMのいずれかを通過する必要があります。さらに、SPFやDKIMだけの認証よりもはるかに効果的な重要な機能が追加されている。レポーティングです。

DMARCレポートでは、お客様のメールチャネルのステータスに関するフィードバックを毎日得ることができます。これには、DMARCの整合性に関する情報、認証に失敗したメールのデータ、潜在的なスプーフィングの試みに関する詳細が含まれます。

なりすましメールを受け取らないためにはどうしたらいいのかとお考えの方は、メールのなりすましを防ぐための5つの方法をまとめた便利なガイドをご覧ください。

DMARCの神話を打ち破る

多くの人にとって、DMARCが何をするものなのか、また、DMARCがどのようにドメインの偽装、なりすまし、詐欺を防ぐのか、すぐにはわかりません。そのため、DMARC、電子メール認証の仕組み、そしてなぜそれが良いのかについて、重大な誤解が生じている可能性があります。しかし、何が正しくて何が間違っているのかをどうやって知ることができるでしょうか?また、正しく実装されていることを確認するにはどうすればよいのでしょうか? 

PowerDMARCが救いの手を差し伸べますDMARCへの理解を深めていただくために、DMARCに関する最も一般的な誤解のトップ6をまとめてみました。

DMARCに関する誤解

1.DMARCはスパムフィルターと同じ

これは、DMARCについて最も多くの人が勘違いしていることのひとつです。スパムフィルターは、受信箱に届けられる受信メールをブロックします。これらのメールは、あなたのドメインだけでなく、誰のドメインからも送信された疑わしいメールである可能性があります。一方、DMARCは、受信側のメールサーバーに、あなたのドメインから送信された送信メールをどのように処理するかを伝えます。Microsoft Office 365ATPのようなスパムフィルターでは、このようなサイバー攻撃を防ぐことはできません。あなたのドメインがDMARCに対応していて、メールが認証に失敗した場合、受信側のサーバーはそのメールを拒否します。

2.一度DMARCを設定すれば、あなたのメールは永遠に安全です

DMARCは、世界で最も先進的な電子メール認証プロトコルの1つですが、だからといって完全に自己完結しているわけではありません。DMARCレポートを定期的に監視し、許可された送信元からのメールが拒否されていないことを確認する必要があります。さらに重要なことは、あなたのドメインを悪用している不正な送信者をチェックすることです。あなたのメールを偽装しようと何度も試みるIPアドレスを見つけたら、すぐに行動を起こし、ブラックリストに載せるか、削除する必要があります。

3.DMARCによってメールの配信能力が低下するのではないか

DMARCを設定する際には、まずポリシーをp=noneに設定することが重要です。これにより、すべてのメールは配信されますが、認証に成功したか失敗したかについてのDMARCレポートを受け取ることができます。この監視期間中に、自分のメールがDMARCに失敗しているのを確認したら、問題を解決するために行動を起こすことができます。認証されたすべてのメールが正しく検証されたら、p=quarantineまたはp=rejectのポリシーでDMARCを施行することができます。

4.DMARCを強制する必要はない(p=noneで十分です

DMARCを施行せずに設定した場合(p=noneのポリシー)、DMARCに失敗したメールを含めて、ドメインからのすべてのメールが配信されます。DMARCレポートを受信しても、なりすましからドメインを保護することはできません。最初の監視期間(上述)の後は、ポリシーをp=quarantineまたはp=rejectに設定し、DMARCを施行することが絶対に必要です。

5.DMARCが必要なのは大手ブランドだけ

多くの中小企業は、DMARC保護を必要とするのは、認知度の高い大手ブランドだけだと考えています。実際には、サイバー犯罪者は、あらゆるビジネスドメインを使って、なりすまし攻撃を仕掛けてきます。多くの中小企業は、一般的に専任のサイバーセキュリティチームを持っていないため、攻撃者が中小企業を標的にすることがより容易になっています。ドメイン名を持つすべての組織には、DMARC保護が必要であることを忘れないでください。

6.DMARCレポートは読みやすい

多くの組織がDMARCを導入し、レポートを自分のメールボックスに送信しているのを目にします。この場合の問題点は、DMARCレポートがXMLファイル形式で提供されていることで、慣れていないと読むのが非常に難しいことです。専用のDMARCプラットフォームを使用すると、セットアッププロセスが非常に簡単になるだけでなく、PowerDMARCは複雑なXMLファイルを、グラフやチャート、詳細な統計情報を含む読みやすいレポートに変換することができます。

 

電子メールは、非常に簡単に悪用できるため、サイバー犯罪者が着手する際の最初の選択肢となることがよくあります。処理能力が必要なブルートフォース攻撃や、高度なスキルを必要とする巧妙な手法とは異なり、ドメイン・スプーフィングは、他人のふりをしてメールを書くだけの簡単なものです。多くの場合、その「誰か」とは、人々が仕事をする上で依存している主要なソフトウェアサービスプラットフォームです。

2020年4月15日から30日の間に、PowerDMARCのセキュリティアナリストが、中東の大手保険会社をターゲットにした新しいフィッシングメールの波を発見しました。この攻撃は、Covid-19危機の際に増加したフィッシングやスプーフィングの事例の中の一つに過ぎませんでした。2020年2月には、別の大規模なフィッシング詐欺が、世界保健機関になりすまして、コロナウイルス救済のための寄付を求めるメールを何千人もの人々に送信するという事態にまで発展しました。

最近の一連の事件では、マイクロソフト社のOffice 365サービスのユーザーが、ユーザーアカウントのステータスに関する定期的な更新メールと思われるものを受け取りました。これらのメールは、組織独自のドメインから送信されており、パスワードのリセットや保留中の通知を表示するためのリンクのクリックをユーザーに要求していました。

私たちが観察した、使用されているメールタイトルの一部をまとめました。

  • Microsoftアカウントの異常なサインイン活動
  • あなたの e-Mail [email protected]* Portal には、配信待ちのメッセージが 3 件あります。
  • [email protected] 保留中のMicrosoft Office UNSYNCメッセージがあります。
  • リ・アクティベーション・サマリー通知 [email protected]

ユーザーのプライバシーのために、アカウントの詳細は変更されています。

また、保険会社に送信されたなりすましメールに使用されているメールヘッダーのサンプルもご覧いただけます。

Received: from [malicious_ip] (helo=malicious_domain)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Received: from [xxxx] (port=58502 helo=xxxxx)

によるマリシャスドメインesmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

からです。"マイクロソフトアカウントチーム" 

宛先 [email protected]

件名マイクロソフトオフィスのお知らせ [email protected] on 4/1/2020 23:46

日付:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″ (日本語)

Content-Transfer-Encoding: quoted-printable

X-AntiAbuseこのヘッダは不正行為を追跡するために追加されたもので、不正行為の報告にはこのヘッダを含めてください。

X-AntiAbuseプライマリホスト名 - malicious_domain

X-AntiAbuse:オリジナルのドメイン - domain.com

X-AntiAbuse:オリジネーター/コーラーのUID/GID - [47 12] / [47 12] 。

X-AntiAbuse送信者アドレス ドメイン - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Sourceです。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.comのドメインが指定されていない) malicious_ip_address を許可された送信者として指定していない) client-ip=malicious_ip_address ; エンベロープ-from=[email protected]; helo=malicious_domain;

X-SPF-Result: domain.comのドメインが指定されていません。 悪質なIPアドレス を許可された送信者として指定していません。

X-Sender-WarningリバースDNSルックアップが 悪意のあるIPアドレス と表示されました(失敗)。

X-DKIM-Status: none / / ドメイン.com / / /

X-DKIM-Status: pass / / マリシャスドメイン / malicious_domain/ / デフォルト

 

当社のセキュリティオペレーションセンターは、メールのリンク先を追跡したところ、Microsoft Office 365のユーザーを対象としたフィッシングURLであることがわかりました。このURLは、世界のさまざまな場所にある危険なサイトにリダイレクトされていました。

これらのメールのタイトルを見ただけでは、組織のドメインを詐称して送信されたものだとはわからないでしょう。私たちは、Office 365のようなオンラインサービスへのサインインを促す、仕事やアカウントに関連したメールを継続的に受け取ることに慣れています。ドメイン偽装は、そのような状況を利用して、偽の悪質なメールを本物のメールと見分けがつかないようにします。信頼できる送信元からのメールであるかどうかは、そのメールを徹底的に分析しない限り、事実上知ることはできません。しかし、毎日何十通ものメールが送られてくる中で、すべてのメールを精査する時間はありません。唯一の解決策は、あなたのドメインから送信されたすべてのメールをチェックし、認証されていない誰かが送ったメールだけをブロックするような認証メカニズムを採用することです。

その認証機構はDMARCと呼ばれています。そして、私たちPowerDMARCは、メールセキュリティソリューションを提供する世界有数の企業として、組織のドメインを保護することの重要性を理解していただくことを使命としています。あなた自身のためだけではなく、あなたが安全で信頼できるメールを毎回受信箱に届けてくれると信頼し、依存しているすべての人のために。

なりすましのリスクについてはこちらをご覧ください: https://powerdmarc.com/stop-email-spoofing/

なりすましからドメインを保護し、ブランド力を高める方法については、こちらをご覧ください: https://powerdmarc.com/what-is-dmarc/