DMARC sp(Subdomain Policy)タグとは何ですか?

ブログ

DMARCのsp(サブドメインポリシー)タグを使用すると、サブドメインに対してドメインのDMARCポリシーを上書きできます。その仕組みと実装方法について学びましょう。

byユネス・タラダ

最終更新日:
5 読了時間:5分
DMARC sp(Subdomain Policy)タグとは何ですか?
目次-

DMARC sp属性は、DMARCタグのサブドメインポリシーの略です。の略である。これは、ドメイン所有者によって定義された場合、組織ドメインの下にあるすべてのサブドメインに対して全会一致のサブドメインポリシーを指定する。ドメインが異なる DMARCポリシーモードが指定されたDNSドメインのサブドメインに適用される。

主なポイント

  1. DMARC sp属性は、ドメイン所有者が電子メール認証のための特定のサブドメインポリシーを確立することを可能にする。
  2. デフォルトでは、sp属性で指定されない限り、サブドメインは組織ドメインのDMARCポリシーを継承する。
  3. sp属性を設定することで、非アクティブなサブドメインのなりすましを防ぎ、メールのセキュリティを強化することができます。
  4. DKIMとSPFをDMARCと同時に実装することで、なりすましメールに対してより強固な防御が可能になります。
  5. DMARCポリシーを定期的に見直し、更新することは、組織のニーズが進化する中で効果的なメールセキュリティを維持するために不可欠です。

DMARCにおけるsp(Subdomain Policy)とは何ですか?

DMARCのSP(Subdomain Policy)とは、ドメイン所有者がサブドメインから送信されたメールメッセージをDMARCがどのように扱うべきかを指定できる仕組みのことをいいます。 

デフォルトでは、組織ドメインレベルで設定されたDMARCポリシーは、すべてのサブドメインに適用されます。しかし、SPメカニズムでは、ドメイン所有者はデフォルトの動作を上書きし、サブドメインに対して異なるDMARCポリシーを指定することができます。これにより、電子メールの認証と執行において、よりきめ細かい制御と柔軟な対応が可能になります。

DMARC sp属性はどのような仕組みになっていますか? 

サブドメインは、サブドメインポリシーレコードによって明示的に上書きされない限り、親ドメインのポリシーを継承します。sp'属性はこの継承を上書きすることができます。サブドメインに明示的なDMARCレコードがある場合、サブドメインがデフォルト設定のp=noneを使用していても、このレコードは親ドメインのDMARCポリシーよりも優先されます。例えば、DMARCポリシーが優先度'all'で定義されている場合、'sp'要素は特定のポリシーの適用を受けないサブドメインのDMARC処理に影響を与える。

物事をシンプルにするために、組織ドメイン自体から「sp」属性を省略することをお勧めします。これにより、サブドメインでのスプーフィングを防止するフォールバックデフォルトポリシーになります。サブドメインの動作は、常に優先される組織ポリシーによって決定されることを覚えておくことが重要です。 

なぜDMARC Subdomain Policyタグが必要なのですか?

DMARC spタグは、サブドメインに異なるDMARCポリシーを設定し、ルートドメインに定義されたポリシーを上書きしたい場合に必要です。 

DMARC SPタグの設定とメール認証への影響

ケース1:サブドメインポリシーが「なし」の場合 

として、DMARCレコードを持っている場合。 

v=DMARC1; p=reject; sp=none; rua=mailto:[email protected]

この場合、ルートドメインはなりすまし攻撃から保護されていますが、サブドメインは情報交換に使用していなくても、なりすまし攻撃の対象となります。

ケース2:サブドメインポリシーを拒否する場合

として、DMARCレコードを持っている場合。 

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected]

この場合、メール送信に使用するルートドメインの拒否ポリシーにはコミットしていませんが、非アクティブなサブドメインはなりすましから保護されています。

ご注意ください: ドメインとサブドメインのポリシーを同じにしたい場合は、レコード作成時にspタグの基準を空白または無効にしておくと、サブドメインは自動的にメインドメインに課されたポリシーを引き継ぐことができます。

PowerDMARCでDMARCを簡素化!

15日間のトライアルデモを予約する

DMARC spを有効にするには? 

ドメインのDMARCレコードを作成するためにDMARCレコードジェネレータツールを使用している場合、DMARC spタグを有効にするには、サブドメインポリシーボタンをアクティブステータスに手動で切り替え、希望のポリシーを定義する必要があります。

次のステップへ

DMARCのspタグを有効にし、適切に設定することは、メールのセキュリティを強化するために不可欠なステップです。しかし、DMARCの実装をさらに強化するために、いくつか追加できる対策があります。以下は、推奨される次のステップです:

DMARCレポートの監視

DMARC spタグを有効にした後、DMARCレポートを監視することが非常に重要です。 DMARCレポートを監視することが重要です。これらのレポートは、送信した電子メールの整合性と認証状態に関する貴重な洞察を提供します。これらのレポートを定期的に分析することで、ドメインの代わりにメールを送信しようとしている異常や未承認のソースを特定することができます。DMARCアナライザーやレポーティングサービスなどのツールを使用すると、監視プロセスを簡素化することができます。

p=reject "ポリシーに徐々に移行していく

DMARC spタグはサブドメインのセキュリティを強化しますが、メインドメインについては、より厳格なポリシーに徐々に移行していくことを検討することが重要です。pタグを「reject」に設定することで、ドメインからの不正なメールを完全に拒否するようにメール受信機に指示することができます。ただし、意図しない結果を招かないよう、ポリシー変更の影響を十分に分析し、慎重に進めることが推奨されます。

DKIMとSPFの実装

DMARCの実装を強化するには DKIM(DomainKeys Identified Mail)と SPF(Sender Policy Framework)の両方が適切に設定されていることを確認してください。DKIMを実装することで、送信メールにデジタル署名が追加され、SPFを実装することで、送信サーバーがお客様のドメインを代表してメールを送信する権限があることが検証されます。これらのメカニズムをDMARCと組み合わせることで、メールのなりすましやフィッシング攻撃を効果的に軽減するための強固な認証フレームワークを提供します。

DMARCポリシーの定期的な見直しと更新

組織の進化やメールエコシステムの変化に伴い、DMARCポリシーを定期的に見直し、更新することが重要です。これには、サブドメインのDMARC spタグ設定の再評価、全体的なポリシーの調整、すべての電子メール認証メカニズムが最新であることの確認が含まれます。定期的なポリシーの見直しは、効果的で適応性の高いメールセキュリティの維持に役立ちます。 メールセキュリティ戦略として活用できます。

結論

メールセキュリティに包括的なアプローチを採用することで、メールのなりすましやフィッシング攻撃に関連するリスクを大幅に低減し、最終的には組織の評判を守り、ステークホルダーを保護することができます。

DMARCレコードを作成した後は、当社の DMARCレコードルックアップツールを使って、レコードの有効性を確認してください。

PowerDMARCでDMARCの旅を始めて、ドメインのメールセキュリティを最大化しましょう。今すぐ無料のDMARCトライアルをご利用ください!  

最新記事 by Yunes Tarada(全て見る)
最終更新日:
Microsoft OfficeのDKIMキーをアップグレードする方法(1024ビットから2048ビットへ)...Microsoft O365 DKIMキーのアップグレードDMARC pct(パーセント)タグDMARCレコードのpct(パーセンテージ)タグとは何ですか?