電子メールのセキュリティは常に課題である。ハッカーやスパマーに悪用されないようにするには、メッセージを暗号化するだけでは不十分です。そこで、DMARC評価とは何かという概念が登場する。DMARCは、DNSを使用して、認証に失敗した電子メールをどのように扱うかを指定します。 SPF, DKIMまたはその両方の認証に失敗したメールをどのように扱うかを指定します。
このブログでは、DMARCとは何か、なぜ必要なのか、そして521 5.2.1 failed DMARC evaluation errorの解決方法について説明します。
DMARCとは何ですか?
DMARCDomain-based Message Authentication, Reporting & Conformanceの略で、SPFとDKIMのプロトコルをベースに構築された電子メール認証プロトコルです。DMARCに準拠したドメインのSPFレコードやDKIM署名に対して、認可されたサーバーからメッセージが送信されます。どちらかのチェックが成功すれば、メッセージは配信される。しかし、SPFまたはDKIMの要件を満たさないため、両方をパスしなかった場合、メッセージは未配信で返される。
2021年時点で観測された有効なDMARCポリシーの使用数は、2020年と比較して84%も増加し、合計約500万件のユニークなレコードが観測されました。
SPFとは
SPFとは、Senders Policy Frameworkの略で、電子メール認証プロトコルのことで、電子メールのなりすましを検知し、提供するものです。 電子メールなりすましのセキュリティ.DNSのTXTレコードを作成し、そのドメインを使用してメールを送信することが許可されているすべてのIPアドレスを列挙することができます。SPFは、ISPやメールサーバーが、特定のドメインからのメッセージを検証するのに役立ちます。
DKIMとは何ですか?
DKIMはDomainkeys Identified Mailの略で、電子メールにデジタル署名を付けることができるプロトコルです。IPアドレスではなく、公開鍵暗号方式による一意の識別子を用いて行われます。そのため、受信サーバーは常にプライベートハッシュとパブリックハッシュを比較し、一致するかどうかを確認します。
一致した場合、メッセージは認証され、そうでない場合は、スパムとしてマークされます。
DMARCはどのようにSPFとDKIMに依存するのか?
DMARCは、SPFとDKIMの両方の電子メール認証プロトコルに依存しています。これにより、受信者サーバーがあなたのドメインから来る不正なメールをどのように管理すべきかを記述することができます。DMARCは、別の DNSレコードを定義し、そこに送信ドメインの公開鍵が格納されます。これらのレコードにより、受信側のメールサーバーは以下のことができるようになります。
- SPFを使用して送信元ドメインからメールを送信するために、送信者の認証を確認します。
- DKIMの確立により設定されたデジタル署名を用いて検証することで、電子メールを認証する。
- 認証されていないメールを受信者のメールサーバーでどのように扱うかを決定する。
メールシステム管理者は認証されていないメールに注意しようとするが、DMARCはこれらのメールをどのように扱うかを決める手助けをする。これは、「なし」「拒否」「隔離」の3つのポリシーのいずれかを設定することで機能する。
しかし、フィッシングやBECの攻撃を防ぐ方法について、チーム内でトレーニングを行う必要があります。 BEC攻撃をトレーニングする必要があります。
DMARCによるメッセージの制限について
以下は、DMARCの評価に失敗した場合に表示される可能性のあるメッセージです。
"521 5.2.1 DMARCの評価に失敗しました:このメッセージはDMARCの評価に失敗し、提供されたDMARCポリシーのために拒否されています。"
"550 5.7.1- domain.tld からの認証されていないメールは、ドメインの DMARC ポリシーにより受け入れられません。正当なメールであった場合は、domain.tldドメインの管理者に連絡してください。DMARCの取り組みについては、https://support.google.com/mail/answer/2451690 をご覧ください。62si14044909itw.103 - gsmtp".
DMARCエラーにより、これらのメッセージを目にすることがあります。これは通常、メールボックスプロバイダーがFromドメインがそのアドレスの1つであるメッセージを受け付けない場合に発生し、メッセージは未承認のメールドメインサービスプロバイダーから送信されたものである。
そのため、Twilio SendGridのアカウントは、Gmail、AOL、YahooのFromアドレスを使用して、事前にDMARCを検証したドメインにメッセージを送信することができません。このように複雑なため、DMARC評価とは何か、評価の失敗をどのように解決するかを知ることが重要です。
それでもメールを送りたい場合は、保護されていない別のメールアドレスに変更する必要があります。その際、ご自身のメールドメインを使用されることをお勧めします。また、ベンダーの正当なメールドメインを使用することもできます。そして、Reply-Toフィールドを、先にFromアドレスとして設定した元のアドレスに設定します。
DMARCの評価に失敗したメールは、以下のように廃棄され、追跡される可能性があることに留意してください。 ブロックされる.確実に送信したい場合は、上記のようにFromアドレスを調整し、お客様側で再送信をお試しください。
シンタックスエラー
DMARC評価とは何かを学ぶと同時に、DNSレコードの構文エラーについても知っておくとよいでしょう。一般的なSMTPエラーは、トランザクションの失敗を示す554コードで始まります。これは永久的なエラーであり、サーバーはメッセージを再送しません。
- 554 5.7.5 permanent error evaluating dmarc policy (Protonmail) は、次のようになります。
リモートサーバーからの応答は
554 5.7.5 DMARC ポリシーを評価する永久的なエラー
- 521 5.2.1 dmarc ポリシーを評価するエラーは、次のように表示されます。
このメッセージは DMARC 評価に失敗し、提供された DMARC ポリシーのために拒否されています。
- 550 5.7.1 の dmarc ポリシーを評価するエラーは、次のようになります。
example.comからの認証されていない電子メールは、ドメインのdmarcポリシーにより受け付けられません。
521 5.2.1 Failed Dmarc Evaluation エラーを解決する方法は?
を解決するためにどのような手順を取ればよいですか?this message has failed DMARC evaluation' エラーを解決するにはどうしたらよいですか?
DMARCを使用するには、SPFとカスタムのDKIM署名を揃える必要があります。次に、お客様のドメインを使用するすべてのメールサーバーが更新されていることを確認する必要があります。これは、DMARCポリシーを公開する前に、あなたの会社がローカルで使用しているものも含みます。SPFまたはDKIMの整合性がとれていないためにDMARC評価に失敗したメッセージを指定するバウンスメッセージを受信した場合、ポリシーを更新する必要があります。
DMARCの専門家チームに相談すれば、適切な指導と設定を受けることができます。
- 納税シーズンに増加する税金詐欺と国税庁の電子メールによるなりすまし攻撃- 2024年5月2日
- 暗号詐欺に対抗するための電子メール安全入門- 2024年4月30日
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日