電子メールのセキュリティは常に課題である。ハッカーやスパマーに悪用されないようにするには、メッセージを暗号化するだけでは不十分です。そこで、DMARC評価とは何かという概念が登場する。DMARCは、DNSを使用して、認証に失敗した電子メールをどのように扱うかを指定します。 SPF, DKIMまたはその両方の認証に失敗したメールをどのように扱うかを指定します。

このブログでは、DMARCとは何か、なぜ必要なのか、そして521 5.2.1 failed DMARC evaluation errorの解決方法について説明します。

DMARCとは何ですか？

DMARCDMARCとは、Domain-based Message Authentication, Reporting & Conformanceの略で、SPFとDKIMプロトコルをベースに構築されたメール認証プロトコルです。メッセージは認証されたサーバーからDMARC準拠ドメインのSPFレコードやDKIM署名に送信されます。いずれかのチェックが成功すれば、メッセージは配信される。しかし、SPFまたはDKIMの要件を満たしていないため、両方に合格しなかった場合、メッセージは未配信に戻ります。

2021年時点で観測された有効なDMARCポリシーの使用数は、2020年と比較して84%も増加し、合計約500万件のユニークなレコードが観測されました。

SPFとは

SPFとは、Sender Policy Frameworkの略で、電子メール認証プロトコルのことです。なりすましメールセキュリティ.DNSのTXTレコードを作成することで、そのドメインを使用してメールを送信することが許可されているすべてのIPアドレスをリストアップすることができます。SPFは、ISPやメールサーバーが特定のドメインからのメッセージを検証するのに役立ちます。

DKIMとは何ですか？

DKIMはDomainkeys Identified Mailの略で、電子メールにデジタル署名を付けることができるプロトコルです。IPアドレスではなく、公開鍵暗号方式による一意の識別子を用いて行われます。そのため、受信サーバーは常にプライベートハッシュとパブリックハッシュを比較し、一致するかどうかを確認します。

一致した場合、メッセージは認証され、そうでない場合は、スパムとしてマークされます。

DMARCはどのようにSPFとDKIMに依存するのか？

DMARCは、SPFとDKIMの両方の電子メール認証プロトコルに依存しています。これにより、受信者サーバーがあなたのドメインから来る不正なメールをどのように管理すべきかを記述することができます。DMARCは、別の DNSレコードを定義し、そこに送信ドメインの公開鍵が格納されます。これらのレコードにより、受信側のメールサーバーは以下のことができるようになります。

SPFを使用して送信元ドメインからメールを送信するために、送信者の認証を確認します。
DKIMの確立により設定されたデジタル署名を用いて検証することで、電子メールを認証する。
認証されていないメールを受信者のメールサーバーでどのように扱うかを決定する。

メールシステム管理者は認証されていないメールに注意しようとするが、DMARCはこれらのメールをどのように扱うかを決める手助けをする。これは、「なし」「拒否」「隔離」の3つのポリシーのいずれかを設定することで機能する。

しかし、フィッシングやBECの攻撃を防ぐ方法について、チーム内でトレーニングを行う必要があります。 BEC攻撃をトレーニングする必要があります。

DMARCによるメッセージの制限について

以下は、DMARCの評価に失敗した場合に表示される可能性のあるメッセージです。

"521 5.2.1 DMARCの評価に失敗しました：このメッセージはDMARCの評価に失敗し、提供されたDMARCポリシーのために拒否されています。"

"550 5.7.1- domain.tld からの認証されていないメールは、ドメインの DMARC ポリシーにより受け入れられません。正当なメールであった場合は、domain.tldドメインの管理者に連絡してください。DMARCの取り組みについては、https://support.google.com/mail/answer/2451690 をご覧ください。62si14044909itw.103 - gsmtp".

DMARCエラーにより、これらのメッセージを目にすることがあります。これは通常、メールボックスプロバイダーがFromドメインがそのアドレスの1つであるメッセージを受け付けない場合に発生し、メッセージは未承認のメールドメインサービスプロバイダーから送信されたものである。

そのため、Twilio SendGridのアカウントは、Gmail、AOL、YahooのFromアドレスを使用して、事前にDMARCを検証したドメインにメッセージを送信することができません。このように複雑なため、DMARC評価とは何か、評価の失敗をどのように解決するかを知ることが重要です。

それでもメールを送りたい場合は、保護されていない別のメールアドレスに変更する必要があります。その際、ご自身のメールドメインを使用されることをお勧めします。また、ベンダーの正当なメールドメインを使用することもできます。そして、Reply-Toフィールドを、先にFromアドレスとして設定した元のアドレスに設定します。

DMARCの評価に失敗したメールは、以下のように廃棄され、追跡される可能性があることに留意してください。ブロックされる.確実に送信したい場合は、上記のようにFromアドレスを調整し、お客様側で再送信をお試しください。

シンタックスエラー

DMARC評価とは何かを学ぶと同時に、DNSレコードの構文エラーについても知っておくとよいでしょう。一般的なSMTPエラーは、トランザクションの失敗を示す554コードで始まります。これは永久的なエラーであり、サーバーはメッセージを再送しません。

554 5.7.5dmarc policy(Protonmail)を評価する永久的なエラーは次のように読み取れます；

リモートサーバーからの応答は

554 5.7.5 DMARC ポリシーを評価する永久的なエラー

521 5.2.1 dmarc ポリシーを評価するエラーは、次のように表示されます。

このメッセージは DMARC 評価に失敗し、提供された DMARC ポリシーのために拒否されています。

550 5.7.1 の dmarc ポリシーを評価するエラーは、次のようになります。

example.comからの認証されていない電子メールは、ドメインのdmarcポリシーにより受け付けられません。

521 5.2.1 Failed Dmarc Evaluation エラーを解決する方法は？

を解決するためにどのような手順を取ればよいですか？this message has failed DMARC evaluation' エラーを解決するにはどうしたらよいですか？

DMARCを使用するには、SPFとカスタムのDKIM署名を揃える必要があります。次に、お客様のドメインを使用するすべてのメールサーバーが更新されていることを確認する必要があります。これは、DMARCポリシーを公開する前に、あなたの会社がローカルで使用しているものも含みます。SPFまたはDKIMの整合性がとれていないためにDMARC評価に失敗したメッセージを指定するバウンスメッセージを受信した場合、ポリシーを更新する必要があります。

DMARCの専門家チームに相談すれば、適切な指導と設定を受けることができます。