主なポイント
- DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、送信者の真正性を検証し、ドメインポリシーを実施することで、電子メールのなりすましやフィッシングを防止します。
- SPFおよびDKIM(アライメントが必要)と連動して、レイヤードメールセキュリティを提供し、正当なメールが受信トレイに届くことを保証して配信性を向上させます。
- DMARCは、認証されていないドメインの使用を防止し、受信サーバーが認証されていないメールをどのように処理するか(監視、隔離、拒否)を指定できるようにすることで、ブランドの評判と顧客の信頼を保護する。
- 電子メール認証の結果や失敗に関する貴重な集計レポート(RUA)やフォレンジックレポート(RUF)を提供し、電子メールチャネルの可視性を提供するが、分析には解析ツールが必要になることが多い。
- 実装を成功させるには、SPF/DKIMを設定し、DMARC DNSレコードを監視ポリシー(p=none)から始めて公開し、徐々に厳しさを増し、DNSレコードを定期的に更新する必要がある。
DMARCとは何ですか?
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、電子メール詐欺やフィッシング攻撃に対抗するために設計された電子メール認証プロトコルです。DMARCを利用することで、電子メールの送信者は、電子メールが受信サーバーで受信された場合にどのように処理されるべきかのポリシーを指定することができます。電子メールの送信者を検証し、電子メールのアクティビティに関する詳細なレポートを提供することで、DMARCは電子メールのセキュリティを向上させ、ドメインの評判を保護するのに役立ちます。ドメイン所有者は、電子メールをどのように認証すべきか、また不正なメッセージをどのように処理すべきかについて、具体的なポリシーを設定することができます。基本的に、DMARCによって企業は次のように言うことができます:
「私たちのドメインからのメールは、これらの特定の基準を満たしていなければなりません。もしそうでなければ、不審なメールとして扱わなければならない」。例えば、HMRCは、DMARCの導入後わずか1年半で、自社のドメインから送信されるフィッシング・メールの数が5億通減少したと推定している。
DMARCは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つの既存のプロトコルを基に構築され、許可された送信者のみがドメインを使用できるようにします。DMARCはセキュリティの追加レイヤーであるが、アンチウイルスやファイアウォール・ソリューションの代替ではない。組織はDMARCを使用して、認証に失敗した電子メールの拒否、隔離、配信などのアクションを指定することができます。
<h2>What Does DMARC Stand For?
DMARCとは Domain-based Message Authentication, Reporting, and Conformanceの略。
頭字語の各部分は、DMARCがどのように機能するかの重要な側面を反映している:
ドメインベース:DMARCはドメイン・レベルで実行される。ドメイン所有者は、DNSレコードで電子メール認証の慣行を定義するポリシーを公開し、認証に失敗したメールを受信者がどのように処理すべきかを指定する。
メッセージ認証:DMARCでは、ドメイン所有者が認証プロトコルを指定することができる。これらのプロトコルは、受信メールメッセージの検証に使用される。SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)がそのようなプロトコルです。DMARCは、"From "ヘッダーのドメインがSPFおよび/またはDKIMによって検証されたドメインと一致しなければならないことを意味し、整合性をチェックします。
レポート:DMARC設定内でフィードバックレポートを有効にすることができます。これにより、受信MTAはXMLレポートを定義したメールアドレスに送信します。これらのレポートには、DMARCアグリゲート(認証結果のサマリーを提供)またはフォレンジックデータ(個々の失敗の詳細を提供)が含まれます。
適合性:電子メールのドメイン所有者は、DMARCを使用して受信メールサーバーのアクション(ポリシー)を記述することができる。メールがDMARCの認証およびアライメントチェックに失敗すると、これらのアクション(例:なし、隔離、拒否)が実行されます。
DMARCはなぜ重要なのか?
DMARCは、電子メールのセキュリティを強化する上で、次のような重要な役割を果たしている:
- 電子メールのなりすましやフィッシングの防止:DMARCは、特定のドメインから発信されたと主張する電子メールの真正性を検証することで、攻撃者が正当な送信者になりすますなりすましの試みを効果的に阻止します。これにより、ログイン認証情報や財務データなどの機密情報を盗むことを目的としたフィッシング攻撃を防ぐことができます。統計によると、送信される全メールのおよそ1.2%が悪意のあるメールであり、1日あたり34億通のフィッシングメールが送信されていることになります。
- メール配信性の向上:DMARCは、お客様のドメインからの正当で認証されたEメールのみが受信トレイに届くようにすることで、正当なEメールがスパムとして判定される可能性を低減します。これにより、メール配信率が向上し、意図した受信者に確実にメッセージが届きます。
- ブランドレピュテーションの保護スパムやフィッシングのような悪意のある行為によるドメインの不正使用を防ぐことで、DMARCはブランドの評判を守り、顧客やパートナーとの信頼を築きます。
- 貴重な洞察の提供DMARCは、インターネット上のメール送信アクティビティに関する貴重な洞察を提供する包括的なレポートを生成します。これらのレポートは、不正な送信者、なりすましの試み、認証の誤設定、侵害されたアカウントなどの潜在的な問題を特定し、対処するのに役立ちます。
- 業界のコンプライアンス要件に対応 DMARCは、業界標準やメールプロバイダの要件に準拠するためにますます重要になってきています。GoogleやYahooのような大手メールプロバイダは、DMARCが適切に実装されていないドメインからのメールを拒否したり、より厳しい対応を強制する可能性があります。
強固なDMARCポリシーを導入・維持することで、企業はメールセキュリティ体制を大幅に強化し、ブランドの評判と顧客を保護し、正当なメールコミュニケーションを効果的に配信することができます。
PowerDMARCでDMARCを簡素化!
DMARCの仕組み
DMARCは、既存の認証方法の上にポリシーの実施と報告のレイヤーを追加することで、電子メールのセキュリティを強化します:SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)である。送信者ドメインは、ポリシーを指定するDMARCレコードをDNSに公開する。そのドメインからと主張するメールが送信された場合:
- メール送信と初期チェック送信サーバーは通常DKIM署名を適用します。電子メールは標準的なトランジットを経ます。
- 電子メールの受信と認証: 受信サーバーは以下のチェックを行う:
- SPFチェック:送信IPアドレスがドメインのSPFレコードに記載されているかどうかを確認します。
- DKIMチェック:ドメインのDNSにある公開鍵を使用して電子メールのデジタル署名を検証し、改ざんされていないことを確認します。
- アライメントチェック:DMARCは識別子の整合を要求する。これは、'From'ヘッダーで使用されるドメイン(ユーザーから見える)が、SPFで検証されたドメインおよび/またはDKIM署名(d=タグ)で指定されたドメインと一致する必要があることを意味します。メールがSPFまたはDKIMを個別に通過しても、ドメインが一致しない場合はDMARCに不合格になる可能性があります。
- DMARC ポリシーの実施: 受信サーバーは、DNSで送信者ドメインのDMARCレコードをチェックする。
- メールがSPFまたはDKIMのチェックをパスし、少なくとも1つのアライメントを達成した場合、DMARCをパスし、通常は正常に配信されます。
- メールがSPFとDKIMの両方に失敗した場合、または両方のアライメントに失敗した場合、受信サーバーは送信者のDMARCレコードで指定されたDMARCポリシーを適用します(例えば、p=noneで監視、p=quarantineでスパムに送信、p=rejectでメールをブロック)。
- 報告:受信サーバーは、認証データ(合格/不合格カウント、IP、アライメント結果)を要約した集約(RUA)レポートと、個々の失敗の詳細を潜在的にフォレンジック(RUF)レポートを生成する。これらのレポートは、送信ドメイン のDMARCレコードで指定されたアドレスに送信される。
これらのステップを踏むことで、DMARCは適切に認証され、送信者のドメインポリシーに沿ったメールのみが受信者に届くことを保証し、未承認のメールや不正なメールはドメイン所有者の指示に従って処理されます。これにより、メールのセキュリティが強化されるだけでなく、ブランドの評判が保護され、配信性が向上します。
DMARCを設定するには?
DMARCの設定方法をステップごとに説明します:
1.SPFとDKIMを設定する
DMARCを実装する前に、SPFとDKIMがあなたのドメインとすべての正当な送信元に対して適切に設定されていることを確認してください:
- SPF:どのIPアドレスとサーバーがお客様のドメインに代わってメールを送信することを許可されているかを定義します。
- DKIM:電子メールにデジタル署名を追加し、送信者を確認し、メッセージが転送中に改ざんされていないことを保証します。
これらのプロトコルはDMARCの基礎を形成する。DMARCは、SPFまたはDKIMの少なくとも一方を通過させ、整合させる必要がありますが、セキュリティ強化のためには両方の実装を強く推奨します。正当なメール送信元(マーケティングプラットフォームやCRMのようなサードパーティサービスを含む)を*すべて*特定し、SPF/DKIMで認証するようにしましょう。
2.DMARCレコードの作成
DMARCレコードは、ドメインのDNS(ドメインネームシステム)設定で公開されるTXT(テキスト)レコードです。メール認証ポリシーを指定します。これには以下が含まれます:
- 必須タグ
v=DMARC1
:DMARCのバージョンを示す(現在は常にDMARC1)。p=none/quarantine/reject
:DMARC認証およびアライメントチェックに失敗したメールの処理ポリシーを定義します。
- オプションだが推奨されるタグ
rua=mailto:[email protected]
:集計レポート(XML形式)を受信するための電子メールアドレス(複数可)を指定します。カンマ区切りで複数のアドレスを指定できます。ruf=mailto:[email protected]
:フォレンジックレポート(詳細な障害レポート、XMLも)を受信するための電子メールアドレス(複数可)を指定します。RUFのサポートは、プライバシーの問題から受信者によって異なる。pct=100
:DMARC ポリシーを適用する失敗メールの割合を指定します (例: pct=20 は、失敗メールの 20% にポリシーを適用します)。ポリシーを徐々に展開することができます。デフォルトは100です。sp=none/quarantine/reject
:サブドメインDMARCレコードで明示的に定義されていない場合、サブドメインのポリシーを定義します。省略された場合、メインドメインポリシー(p=)がサブドメインに適用されます。adkim=r/s
:DKIMのアライメントを厳格(s)または緩和(r)に指定します。relaxed (デフォルト) はサブドメインのアライメントを許可します。aspf=r/s
:SPFのアライメントを厳格(s)または緩和(r)に指定する。relaxed(デフォルト)はサブドメインのアライメントを許可する。
DMARCレコード構文を正しく生成するために、オンラインツールを使用することができます。
3.DMARCポリシーを選択する
DMARCポリシーは、DMARCチェックに失敗したメッセージ(認証失敗またはアライメント失敗)をどのように扱うかをメール受信者に指示します。最初は「なし」から始め、徐々に厳しくしていく必要があります:
p=none
(監視モード): 受信者はDMARCの失敗に基づいて特別なアクションを取ることはありませんが、レポートを送信します。これは、正当な送信元を発見し、認証の問題を特定し、メール配信に影響を与えることなくメールエコシステムを理解するために不可欠な最初のステップです。レポートを注意深く監視しましょう。p=quarantine
: 受信者に対し、不合格となった電子メールをより疑わしいものとして扱うよう指示し、多くの場合、迷惑メールや迷惑フォルダに移動させる。これは完全な実施に向けた中間的なステップである。p=reject
: DMARCチェックに失敗したメールを完全にブロック/拒否するよう受信者に指示します。これは最も厳格なポリシーであり、なりすましに対する最高レベルの防御を提供しますが、すべての正当なメールがDMARCを通過することを徹底的な監視で確認した後にのみ実施すべきです。
4.DMARCレコードを公開する
DMARCレコードが作成されたら、DNS設定でTXTレコードとして公開します:
- ホスト/名前フィールド: エンター
_dmarc
(例えば、_dmarc.yourdomain.com)。 - レコードタイプ。 選択
TXT
. - 値/データフィールド:DMARCレコード文字列を貼り付けます(例:"v=DMARC1; p=none; rua=mailto:[email protected];")。
- TTL (Time to Live):通常は1時間(3600秒)またはDNSプロバイダーのデフォルトに設定します。
これにより、DMARCポリシーは世界中のメール受信者がアクセスできるようになります。
5.DMARC設定の確認
オンラインDMARCチェッカーツールを使用して、DMARCレコードがDNSに正しく公開され、構文が有効であることを確認します。このステップは、設定エラーを迅速に特定し、解決するのに役立ちます。
6.レポートの有効化と監視
DMARCレコードに、集計レポートを受信するための専用メールボックスを指す`rua`タグが含まれていることを確認してください。これらのレポートは、通常XML形式で毎日送信され、モニタリングには欠かせません:
- 集計レポート
rua
): 様々な受信者からのメール認証結果の概要を提供します。これには、お客様のドメインからと主張するメールを送信しているIPアドレス、SPF/DKIMパス/フェイルカウント、およびアライメントステータスが含まれます。これらのレポート(多くの場合、DMARCアナライザサービスを使用)を分析することで、設定調整が必要な正当な送信元を特定し、不正使用を発見することができます。 - フォレンジック・レポート (
ruf
): メール配信の失敗に関する詳細な情報(ヘッダーや場合によっては内容のスニペットを含む)を提供します。量とプライバシーの問題から、すべての受信者がRUFレポートを送信するわけではありません。
特に `p=none` で開始した後は、定期的にレポートを見直して、 `p=quarantine` または `p=reject` に移行する前に、正当な送信者の SPF/DKIM/alignment の問題を修正する。送信元が変更された場合は、DNSレコードを正確かつ最新の状態に保つ。
DMARCレコードとはどのようなものか?
DMARCレコードの構造は、DNS(ドメインネームシステム)でドメイン、特に`_dmarc`サブドメインに関連付けられたTXTレコードとして定義されている。DMARCレコードには、セミコロンで区切られたタグと値のペアがいくつか含まれており、ポリシーモードやレポートオプションを指定するものも含まれています。以下にDMARCレコードの例を示す:
_dmarc.example.com.IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; pct=100; adkim=r; aspf=r;"
この例では
- "_dmarc.example.com. "は、"example.com "のDMARCレコードのDNSホスト名を指定する。
- "IN TXT "は、レコード・タイプがテキスト・レコードであることを示す。
- "v=DMARC1 "は、使用されているDMARCプロトコルのバージョンがバージョン1であることを示す。このタグは必須である。
- "p=reject "は、メインドメインのDMARCポリシーを "reject "に設定します。これは、example.comのDMARCチェックに失敗したメールを拒否するよう、受信メールサーバーに指示します。このタグは必須です。
- "rua=mailto:[email protected] "は、集計レポート(認証結果のサマリー)の受信先としてメールアドレスを指定する。このタグは監視用に強く推奨される。
- "ruf=mailto:[email protected] "は、フォレンジック・レポート(個々の障害に関する詳細)の受信先としてメールアドレスを指定する。このタグはオプションです。
- "sp=reject "は、サブドメインポリシーを "reject "に設定し、このDMARCポリシーが、独自のDMARCレコードを持たない限り、サブドメイン(例えばmail.example.com)にも厳密に適用されるようにする。このタグはオプションです。
- "pct=100 "は、DMARCチェックに失敗したメールの100%にポリシー(この場合は拒否)を適用することを示します。オプション。デフォルトは100。
- "adkim=r "は、DKIMのアライメント要件をrelaxedに設定する(サブドメインのマッチが許可される)。オプション。デフォルトは relaxed (r)。
- "aspf=r "は、SPFのアライメント要求を緩和(relaxed)に設定する(サブドメインのマッチが許可される)。オプション。デフォルトは relaxed (r)。
DMARC、SPF、DKIM:メールセキュリティのトリオ
DMARC、SPF、DKIMを同時に実装することで、なりすましメール、フィッシング、その他のメールベースの脅威に対する強力な多層防御が可能になります。DMARCは、技術的にはSPFまたはDKIMのどちらか1つだけを通過させ、整合させる必要がありますが、堅牢なメールセキュリティには3つすべてを使用することが不可欠です:
- 包括的な保護
- SPFは、メールがドメイン所有者によって承認されたIPアドレスから送信されていることを検証します。
- DKIMは、メッセージが改ざんされていないことを確認し、署名ドメインを検証する暗号デジタル署名を追加することにより、電子メールの完全性を保証します。
- DMARCは、SPFとDKIMをベースに、ドメインの整合性(Fromヘッダーのドメインと一致)をチェックし、SPF/DKIMの結果と整合性に基づいてドメイン所有者のポリシー(なし、隔離、拒否)を実施する。また、レポート機能も提供する。
この組み合わせは、様々な形のなりすまし、フィッシング、不正な送信者に対する強力な保護を提供します。DMARCは、SPFやDKIMにはない重要なポリシーとレポートレイヤーを提供します。
- 電子メールの配信性の向上
SPFとDKIMを使用して電子メールを適切に認証し、DMARCポリシーでこれを通知することで、企業は受信メールサーバーに正当性を示すことができます。これにより、正当なメールが誤ってスパムとしてフラグ付けされたり、拒否されたりする可能性を低減し、メッセージが意図した受信者に確実に届くようになります。 - ブランドレピュテーションの保護
企業のドメインを使用したなりすましメールやフィッシング攻撃は、その企業のブランドレピュテーションに深刻なダメージを与え、顧客の信頼を損なう可能性があります。SPF、DKIM、DMARCが連携して「From」フィールドでのドメインの不正使用を防止し、ブランドの完全性を保護します。 - セキュリティ体制の強化
これらのプロトコルは、悪意のある行為者がお客様のドメインになりすまして詐欺メールを送信することをより困難にします。ポリシーに準拠した正当な認証済みメールのみを配信することで、メール全体のセキュリティを強化し、メールを媒介とするサイバー脅威が受信者に影響を与えるリスクを低減します。 - レポートと可視性
DMARCの主な利点は、レポート機能です。DMARCは、お客様のドメインからのメールであると主張するメールの認証結果(SPF、DKIM、DMARCの合否、アライメント)に関する詳細な集計レポート(オプションでフォレンジックレポート)を提供します。この可視性により、設定の問題、設定が必要な正当なサードパーティの送信者、悪意のある活動を特定し、メールセキュリティ戦略を継続的に改善することができます。
なぜこの3つを使うのか?
DMARC、SPF、DKIMは、まとまりのあるシステムとして最もよく機能する:
- SPFは次のような疑問を解決します:"このメールは、そのドメインに対して認可されたサーバーIPから送信されているのか?"
- DKIMは、次のような疑問を解決します:「このメールはドメイン所有者によって署名されたものですか?
- DMARCは次のような疑問を解決する:「SPF/DKIMによって認証されたドメインは、Fromアドレスと一致しているか?」「これらのチェックに失敗した場合、どうすればよいか?
主な利点
プロトコル | 役割 | 主なメリット |
---|---|---|
SPF | 送信者のIPアドレスを公開リストと照合 | 送信者のIP認証に基づくなりすましの防止に役立つ。 |
DKIM | 電子メールにドメインレベルのデジタル署名を追加 | 電子メールの完全性を確保し、署名ドメインの信頼性を検証する。 |
DMARC | アライメントのチェック、SPF/DKIMの結果に基づくポリシーの実施、レポートの提供 | ポリシーに基づいて不正な電子メールをブロックし、電子メールチャネルの重要な可視性を提供し、SPF/DKIMの有効性を高めます。 |
この3つのプロトコルを正しく実装することで、企業はメールの脅威に対する強力な防御を構築し、配信性を向上させ、ブランドを保護し、メールエコシステムに関する貴重な洞察を得ることができます。
課題と考察
DMARCは強力だが、効果的な実装と管理にはいくつかの課題がある:
- 複雑さ:DMARCを正しく実装するには、電子メールのインフラ、DNS管理、SPF、DKIM、DMARCのアライメントの詳細をしっかりと理解する必要があります。設定を誤ると、正規のメールをうっかりブロックしてしまう可能性があります。
- サードパーティの送信者多くの組織では、多数のサードパーティサービスを利用してメールを送信しています(マーケティングプラットフォーム、CRMシステム、人事ツール、サポートデスクなど)。これらの送信者をすべて特定し、組織のドメインとSPFおよびDKIMが適切に設定されていることを確認するのは、大変な作業となります。
- 電子メールの転送:メールの自動転送は、転送サーバーのIPが元の送信者のSPFレコードに記載されていないことが多いため、SPF認証を破る可能性があります。また、メッセージの内容が変更された場合、転送によってDKIMが破られることもあります。DMARCにはこのようなことを考慮したメカニズム(ARC - Authenticated Received Chainのような)がありますが、転送は正当なメールのDMARC失敗の一般的な原因となっています。
- 段階的な実施とモニタリング:モニタリング・ポリシーからの移行が早すぎる
p=none
)から厳格な執行方針(p=quarantine
またはp=reject
)は、正当なメールがブロックされたり、スパムに送信されたりする可能性があります。まずはp=none
DMARCレポートを注意深く監視し、すべての合法的な送信元の問題を特定し、修正する。pct
タグ)。このプロセスには継続的な努力が必要である。 - レポート分析:DMARCの集計レポートはXML形式で送信されますが、これは人間が容易に読めるものではありません。これらのレポートを効果的に分析するには、多くの場合、データを解析し、傾向を特定し、障害の原因を突き止めるための専門的なツールやサービスが必要です。
電子メール認証の未来
フィッシングやビジネスメールの漏洩などのサイバー脅威が進化を続ける中、メールセキュリティの防御も進化を続けなければなりません。DMARCは重要な進歩ですが、ダイナミックなエコシステムの一部です。今後の発展やトレンドは以下の通りです:
- より広範で厳格な採用:より多くの組織がDMARCを導入し、実施ポリシー(隔離/拒否)に移行するにつれ、メール詐欺対策におけるDMARCの全体的な効果は世界的に高まっています。主要なメールボックスプロバイダは、送信者にDMARCを推奨または要求するようになってきています。
- AIおよび機械学習との統合:ML/AIを使用してDMARCレポートデータをより効果的に分析し、新たな脅威を予測し、異常な送信パターンを特定し、対応や設定調整を自動化する可能性があります。
- ユーザーインターフェースと可視性の強化:認証されたメッセージに対する信頼を構築するために、(DMARC実施に関連付けられたBIMIロゴのような)視覚的な指標を使用することもできる。
- 標準の進化:電子メール認証の状況は進化し続けている。DMARCに改良が加えられたり、新たな補完的標準が登場したりするかもしれない。ARC(Authenticated Received Chain)のような技術は、転送の切断などの問題に対処するのに役立っている。TLSのDANE(DNS-based Authentication of Named Entities)やMTA-STS(Mail Transfer Agent Strict Transport Security)のような他の標準は、DMARCの送信者認証の役割を補完し、電子メールのトランスポートチャネル自体のセキュリティに焦点を当てています。
- 簡素化された実装:DMARCの実装と管理を容易にする努力とツールは、特に小規模な組織にとっては、今後も発展し続けるであろう。
PowerDMARCのクラウドベースDMARCソリューション
オンラインドメインを管理するビジネスオーナーとして、DMARCを実装することは、セキュリティの面で羽のような役割を果たします。手動でDMARCを実装することもできますが、PowerDMARCのようなサードパーティベンダーを選択することで、さらなる利点があります。PowerDMARCのようなサードパーティベンダーを選ぶと、さらにメリットがあります。これらは手動のDMARCセットアップの範疇に収まらず、あなたのビジネスに大きな違いをもたらします!
DMARCアナライザーを設定することで、以下のことが可能になります:
- ホストされたDMARCやその他の電子メール認証プロトコルを簡単に設定できます。
- 複雑なXMLデータから解析された簡素化された人間が読めるレポートにより、認証結果を監視します。
- 電子メール、slack、discord、Webhooksで、障害やポリシーの変更をリアルタイムでアラートします。
- 認証に関する問題を特定し修正することで、メール配信の安定性を長期的に向上させます。
当社のお客様は、社内のDMARCエキスパートによる献身的なサポートを受け、お客様のニーズに合わせたソリューションを設定することができます。 DMARCの無料 トライアルをご希望の方は、今すぐお問い合わせください!
「価値の高いDMARCプラットフォームを徹底的に探し、見つけました。
ディラン・B
DMARC FAQ
"`
- DMARCレコードの作成と公開方法- 2025年3月3日
- 2025年に「SPFレコードが見つかりません」を修正する方法- 2025年1月21日
- DMARCレポートの見方- 2025年1月19日