3 DMARCポリシータイプ:なし、隔離、拒否
電子メール認証は、合法的で有名な組織へのなりすましの脅威の増加により、サイバーセキュリティにおける重要な慣行となっています。単純なTXTレコードに組み込まれた送信者のDNS内で定義されたDMARCポリシーは、これらの懸念にうまく対処し、送信者のメール配信率を向上させることができます。
ドメインのDMARCポリシーには、認証チェックに失敗したメッセージの処理方法に関する電子メール受信者への指示が含まれる。このポリシーは、3つの可能なアクションを指定できる:
- DMARC なし
- DMARC検疫
- DMARC拒否
DMARCポリシーを「拒否」に設定することで、ドメインの不正使用、ブランドのなりすまし、フィッシング、なりすまし攻撃のリスクを大幅に抑えることができます。
DMARCによる電子メールの認証となりすまし防止
DMARCDomain-based Message Authentication, Reporting and Conformance)は、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つのプロトコルの助けを借りて電子メールを認証するために設計されたプロトコルです。ドメイン所有者は、これらのプロトコルのいずれか、または両方を使用してDMARCを設定し、サイバー攻撃からより強固に保護することができます。
セットアッププロセスを開始するには、いくつかのDNSを変更し、プロトコルのDNSレコードを含める必要があります。有効化すると、DMARCポリシーレコードは、あなたのドメイン名から送信されたすべてのメッセージをSPFとDKIMに対して検証し、それが本物のソースからのものであるかどうかを確立し、それがそうでない場合に何をするかを決定します。
DMARCポリシーとは何ですか?
DMARCポリシーは、DMARCレコードの"p "タグで示されるTXT命令であり、メールがDMARC検証に失敗した場合に受信メールサーバーが取るべき行動を指定する。例えば、p=rejectのような強制的なDMARCポリシーは、フィッシング、なりすまし、ドメイン名偽装のような脅威を減らす効果的な方法ですが、p=noneでは何の効果もありません。
3種類のDMARCポリシー:p=reject、p=none、p=quarantine
ドメイン所有者が確立したい実施レベルに応じて、3つの主要なDMARCポリシータイプがある - なし、隔離、拒否。これらのポリシーオプションの主な違いは、DNSレコードでメール送信者によって定義された指定されたポリシーを遵守する際に、受信メール転送エージェントによって取られるアクションによって決定されます。
.ここで、pはDMARCポリシーを指定するパラメータである:
- DMARC なし:保護機能を持たない「監視のみ」のポリシーで、導入の初期段階に適しています。
- DMARC検疫:許可されていないメールにフラグを立てたり、隔離したりします。
- DMARC拒否:未承認メールへの受信トレイアクセスをブロック
1.DMARC なしポリシー
DMARCポリシーなし(p=none)は、DMARCの初期導入段階で実装され、電子メールの活動を監視する緩和されたDMARCポリシーであり、認証を始めたばかりの組織に最適です。これは、サイバー攻撃に対するいかなるレベルの保護も提供しません。
例:v=DMARC1; p=none; rua= mailto:(メールアドレス);
主な収穫
- none」ポリシーを選択するドメイン所有者の主な目的は、厳格な認証に傾倒することなく、送信元に関する情報を収集し、その通信と配信可能性を監視することであるはずだ。これは、まだ実施にコミットする準備ができておらず、現状分析に時間をかけているためかもしれない。
- 受信側のメールシステムは、このポリシーで設定されたドメインから送信されたメッセージを「ノーアクション」として扱います。つまり、これらのメッセージがDMARCに失敗しても、破棄または隔離するアクションは取られません。これらのメッセージはクライアントに正常に届きます。
- p=none」を設定しても、DMARCレポートは生成される。受信者は、ドメイン所有者に集約レポートを送信し、ドメインから発信されたと思われるメッセージの詳細な認証ステータス情報を提供する。
2.DMARC検疫ポリシー
p=quarantineは、DMARCが失敗した場合に、ドメイン所有者が受信者にメールをスパムフォルダにロールバックして後で確認するよう促すことができるため、ある程度の保護を提供します。 DMARC失敗.
例:v=DMARC1; p=quarantine; rua=mailto:(メールアドレス);
この「隔離」ポリシーは、認証されていないEメールをそのまま破棄するのではなく、ドメイン所有者にセキュリティを維持する機能を提供する一方、Eメールを受け入れる前に確認するオプションを提供し、「検証してから信頼する」アプローチをとっている。
これにより、DMARC認証に失敗した正当なメッセージが、精査する前に失われることはありません。このアプローチは、エンフォースメントの点では中間的と考えることができ、p=rejectへのスムーズな移行を容易にします。ドメイン所有者は、a) DMARCがメールメッセージに与える影響を評価し、b) フラグが付けられたメールを破棄すべきかどうかについて、十分な情報を得た上で決定することができます。
3.DMARC リジェクトポリシー
最後に、拒否DMARCポリシー(p=reject)は、DMARCの認証に失敗したメッセージが受信者の電子メールサーバーによって拒否され、破棄されることを保証する施行ポリシーであり、それによって最大の施行が提供される。
例:v=DMARC1; p=reject; rua= mailto:(メールアドレス);
DMARC rejectは、疑わしいと思われるメッセージをブロックすることで、フィッシング攻撃やドメイン偽装などの詐欺メールを防ぐことができます。不正なメールを別のフォルダに振り分けて確認することで、不正なメールに余裕を与えない自信がある場合は、「拒否」ポリシーが適しています。
ただし、以下の点に留意してほしい:
- DMARC拒否を選択する前に徹底的なテストと計画を
- ドメインでレポートが有効になっていることを確認する
- 理想的には、DMARCの実装とその実施に至るまで専門家の支援を得るために、ホストされたDMARCソリューションを選択することです。
DMARCポリシーを実施するメリット
あなたのドメインに厳密なDMARCポリシーを設定する利点について掘り下げてみましょう:
1.フィッシングやBECからの直接保護
DMARCを拒否している場合、認証されていない送信元から発信されたEメールは、受信者の受信トレイに届く前に自動的に破棄され、フィッシング攻撃、ビジネスEメールの漏洩、CEO詐欺から直接保護されます。
2.ランサムウェアとマルウェアに対する防御の第一線
ランサムウェアやマルウェアは、なりすましのドメイン名から送信される偽メールを介して拡散されることが多く、お客様のオペレーティングシステムに侵入し、完全に乗っ取る可能性があります。拒否時のDMARCポリシーは、顧客が有害な添付ファイルをクリックし、無意識のうちにランサムウェアやマルウェアをシステムにダウンロードする機会を得る前に、偽のメールが顧客の受信トレイからブロックされることを保証します。
最適なDMARCポリシータイプ
DMARC拒否は、メールセキュリティの取り組みを最大化したい場合に最適なDMARCポリシーです。.なぜなら、p=rejectの場合、ドメイン所有者はクライアントの受信トレイから未承認のメッセージを積極的にブロックするからです。これにより、ダイレクトドメインのなりすまし、フィッシング、その他のなりすましの脅威から高度に保護され、効果的なフィッシング対策ポリシーとなります。
- メールチャンネルを監視するには:単にメッセージのやり取りや送信元を監視したいのであれば、p=noneのDMARCで十分です。しかし、これではサイバー攻撃から身を守ることはできません。
- フィッシングとなりすまし攻撃から守るために:フィッシング攻撃や直接ドメインのなりすましからドメインを守りたいのであれば、DMARC p=rejectは必須です。最高レベルの DMARCエンフォースメントを提供し、なりすまし攻撃を効果的に最小化します。
- 配信前に不審なメールを確認する 許可されていないメールを完全にブロックしたくない場合は、受信者が隔離フォルダでメールを確認できるようにすることができます。 フォルダを使用して DMARC検疫を使用するのが最善の方法です。
よくあるDMARCポリシーの神話を打ち破る
DMARCポリシーにはいくつかのよくある誤解があり、その中にはメール配信にひどい結果をもたらすものもあります。それらが何なのか、そしてその背後にある真実は何なのかを学んでいきましょう:
1.DMARC noneはなりすましを防ぐことができる: DMARC noneは「何もしない」ポリシーであり、サイバー攻撃からドメインを保護することはできません。
スプーフィングを防ぐDMARCポリシーは?
DMARC p=rejectは、なりすまし攻撃を防ぐのに有効な唯一のDMARCポリシーです。なぜなら、DMARC rejectは不正なメールが受信者の受信トレイに到達するのをブロックするため、受信者が不正なメールを受け入れ、開封し、読むのを阻止することができるからです。
2.p=noneではDMARCレポートを受信しません: p=noneの場合でも、送信者に有効なメールアドレスを指定するだけで、DMARCレポートを毎日受信し続けることができます。
3.DMARCの「検疫」は重要ではない:見落とされがちだが、DMARCの検疫ポリシーは、ノーアクションから最大限の強制へのスムーズな移行を求めるドメイン所有者にとって非常に有用である。
4.DMARC拒否は配信性に影響します: DMARCが拒否された場合でも、送信者のアクティビティを監視・分析し、認証結果を確認することで、メッセージがシームレスに配信されるようにすることができます。
DMARCポリシーを設定する手順
ステップ1: 以下の方法でドメインのSPFまたはDKIMを有効にします。 フリーレコードを作成する.
ステップ2: 私たちの DMARCジェネレーターツールを使用してDMARCレコードを作成します。以下の例のように、DMARC p=パラメータにDMARCポリシーを記入してください:
v=DMARC1; pct=100; p=reject;rua=mailto:[email protected];
ステップ3: このレコードをDNSで公開する
DMARCポリシーエラーのトラブルシューティング
シンタックスエラー
プロトコルが正しく機能するように、レコードを設定する際に構文の間違いに注意する必要があります。
コンフィギュレーションエラー
DMARCポリシーの設定中にエラーが発生することはよくあることです。 DMARCチェッカーツールを使用することで回避できます。
DMARC spポリシー
DMARC拒否ポリシーを設定しても、サブドメ サブドメインポリシーを「なし」に設定した場合、送信メールのポリシーが上書きされるため、コンプライアンスを達成できません。
「DMARCポリシーが有効になっていません」エラー
レポートにこのエラーメッセージが表示された場合、DNSにDMARCドメインポリシーがないか、「なし」に設定されていることが考えられます。p=reject/quarantineを組み込むようにレコードを編集すれば、問題は解決するはずです。
DMARCポリシーの更新、施行、最適化をより安全に行う方法
PowerDMARCの DMARCアナライザープラットフォームは、DMARC プロトコルを簡単にセットアップできるように設計されており、ボタンを数回クリックするだけで記録を監視し最適化できるクラウドネイティブなインターフェイスを提供します。その主な利点を探ってみましょう:
p=なしからp=拒否へのスムーズな移行
PowerDMARC の広範なレポーティングメカニズムは、DMARC のための 7 つのビューとフィルタリングメカニズムを提供します。 DMARC アナライザーダッシュボードのレポートを集計することで、DMARC なしで電子メールフローを効果的に監視することができます。
DMARCポリシーモードの更新と変更
当社のホスト型DMARC機能は、DNS管理コンソールに入ることなく、DMARCポリシーモードの更新、p=rejectへの移行、プロトコルの効率的かつリアルタイムな監視を可能にします。
ホワイトグローブサポート
24時間体制のアクティブサポートチームが、DMARCポリシーの緩和から強制へのスムーズな移行をサポートし、配信性を確保しながらセキュリティを最大化します。
カスタムアラート
カスタムEメールアラートを設定し、悪意のあるアクティビティを検出し、脅威に対してより早く対策を講じることができます。
お問い合わせ今すぐDMARCポリシーを導入し、簡単に結果を監視することができます!
- DMARCブラックフライデー:このホリデーシーズンにメールを強化しよう- 2023年11月23日
- グーグルとヤフー、2024年に向けてメール認証要件を更新- 2023年11月15日
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2023年11月8日