なぜDMARCは失敗するのか？2024年にDMARCの障害を修正する

読書時間 10 分

4,480億人以上の 44.8億人以上のメールユーザーDMARCのエラーは大きな問題となっています。DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、なりすましやフィッシング攻撃からメールを保護するセキュリティプロトコルです。しかし、時にはDMARCがエラーとなり、メール配信に支障をきたす可能性があります。

DMARCの失敗は、特にビジネスでEメールに依存している場合、イライラさせることがあります。DMARCに失敗すると、意図した受信者にメールが届かないことさえあります。DMARCは、SPFまたはDKIMの両方が実装されている場合、どちらかをパスする必要があることに注意してください。しかし、DMARCがSPFまたはDKIMのみに依存している場合、いずれかのプロトコルに失敗するとDMARC認証が失敗します。 

DMARCが失敗する一般的な理由は以下の通りである：

• DMARCアライメントの失敗
• DKIMシグネチャの不一致
• 送信元のなりすまし
• ドメイン・スプーフィング

つまり、DMARCが失敗すると、メールはDMARC認証を通過できません。DMARCエラーはメールマーケティングに影響を与え、メール到達率を著しく低下させます。 

この記事であなたは学ぶだろう：

• DMARCの失敗を防ぐことが重要な理由
• DMARCが失敗する一般的な理由
• DMARCエラー修正方法

DMARCの概要

DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略です。DMARCは、ドメイン所有者がDNSレコードにポリシーを公開することによって機能する。DMARCは、ドメイン所有者がDNSレコードでポリシーを公開できるようにすることで機能します。これらのポリシーは、受信メールサーバーに対して、そのドメインからのメールであると主張するメールをどのように処理するかを指示します。

DMARCを使用することで、不正なメールを拒否または隔離し、メール配信をより適切に制御できます。DMARCは、メール認証の失敗に関する貴重な洞察を提供するレポートも生成します。

以下は最近の統計である。 最近の統計DMARCに関する最近の統計です：

1. DMARC業界は2019年に85％の成長を遂げた
2. 2021年、有効なDMARCポリシーの数は84%増加 
3. 2021年には、2020年と比較して新たに500万件のDMARCレコードが追加された
4. 世界のDMARCソフトウェア市場は、2030年までに約8億ドルに達すると予測されている。

DMARCは、認証チェックを実施することでメールセキュリティを強化し、企業がメールベースの脅威からブランドの評判とユーザーを保護することを可能にします。

DMARCはなぜ失敗するのか？ 

DMARCの失敗は、SPFやDKIM認証の失敗、"From "ドメイン間の不整合など、さまざまな理由で発生する可能性がある、 SPFと DKIM転送やサードパーティサービスによるメール署名の変更、DMARCポリシーの誤設定、悪意のある者による正当なドメインへのなりすましなど、さまざまな理由で発生します。

DMARCの失敗は、メール認証の問題、配信の潜在的な問題、フィッシング攻撃のリスク上昇につながります。これらの原因を理解し、適切な設定と認証対策を実施することで、DMARCのコンプライアンスを向上させ、メールセキュリティを強化することができます。 メールセキュリティ.

DMARCが失敗する一般的な理由としては、アライメントの失敗、送信元のズレ、DKIM署名の問題、転送されたメールなどが考えられます。それぞれについて詳しく調べてみましょう： 

1.DMARCアライメントの失敗

DMARCは、メールの認証にドメインアライメントを利用します。つまり、DMARCは、Fromアドレス（可視ヘッダー）に記載されているドメインが本物かどうかを、非表示のReturn-pathヘッダー（SPF用）およびDKIM署名ヘッダー（DKIM用）に記載されているドメインと照合して検証する。どちらかが一致した場合、メールはDMARCを通過し、そうでない場合はDMARCを失敗することになります。 

したがって、DMARCに失敗するメールは、ドメインがずれている可能性があります。つまり、SPFとDKIMの識別子が一致しておらず、メールが不正な送信元から送信されているように見えるのです。しかし、これはDMARCが失敗する理由の一つに過ぎません。 

DMARC アライメントモード

プロトコルのアライメント・モードも、DMARCの失敗につながる可能性がある。SPF認証では、以下のアライメント・モードから選択できる：

• リラックス:これは、Return-pathヘッダーのドメインとFromヘッダーのドメインが単に組織的に一致する場合であっても、SPFが通過することを意味する。
• 厳しい:これは、Return-pathヘッダーのドメインとFromヘッダーのドメインが完全に一致する場合にのみ、SPFが通過することを示す。

DKIM認証のアライメントモードは、以下の中から選択できます。

• リラックス:これは、DKIM署名のドメインとFromヘッダーのドメインが単に組織的に一致する場合であっても、DKIMが通過することを示す。
• 厳しい:これは、DKIM署名のドメインとFromヘッダーのドメインが完全に一致する場合にのみ、DKIMが通過することを示す。

なお、メールがDMARC認証を通過するためには、SPFまたはDKIMのどちらかを揃える必要があります。  

2.DKIM署名が設定されていない

DMARCが失敗する可能性のある非常に一般的なケースは、ドメインにDKIM署名を指定していないことです。このような場合、メール交換サービスプロバイダはデフォルトの DKIMシグネチャを割り当てますが、Fromヘッダーのドメインと一致しません。受信側のMTAは2つのドメインの整合に失敗するため、メッセージのDKIMとDMARCは失敗します。

3.DNSに追加されていない送信元 

SPFを使用してドメインにDMARCを設定すると、受信MTAはDNSクエリを実行して送信元を認証することに注意することが重要です。つまり、許可された送信元をすべてドメインのDNSにリストしていない限り、メールはSPFに失敗し、リストされていない送信元についてはDMARCに失敗します。 

したがって、正規のメールが常に配信されるようにするためには、SPF DNSレコードに、お客様のドメインに代わってメールを送信することを許可されているすべてのサードパーティメールベンダーのエントリを必ず作成してください。

4.仲介サーバー経由で転送される電子メール

電子メールの転送では、最終的に受信サーバーに配信される前に、中間サーバーを通過します。中間サーバーのIPアドレスが送信サーバーのIPアドレスと一致しないため、SPFチェックは失敗し、この新しいIPアドレスは通常、元のサーバーのSPFレコードには含まれません。 

逆に、仲介サーバーや転送先がメッセージの内容に一定の変更を加えない限り、転送メールは通常、DKIMメール認証に影響を及ぼさない。

この問題を解決するためには、SPFとDKIMの両方に対してすべての送信メッセージを整合し、認証することによって、組織でDMARCの完全なコンプライアンスを選択する必要があります。DMARC認証を通過するために、電子メールはSPFまたはDKIM認証と整合に合格する必要がある。

関連記事 メール転送とDMARC

5.あなたのドメインが詐称されている

実装面では問題なくても、スプーフィング攻撃の結果、メールがDMARCに失敗している可能性があります。これは、なりすましや脅威行為者が、悪意のあるIPアドレスを使用して、お客様のドメインから送信されたように見える電子メールを送信しようとするものです。

最近の電子メール詐欺の統計によると、電子メールのなりすまし事例が増加傾向にあり、組織の評判に大きな脅威を与えていると結論付けられています。このような場合、DMARCを拒否ポリシーで実装していると、DMARCは失敗し、なりすましメールは受信者の受信箱に届かないことになります。したがって、ドメインスプーフィングは、ほとんどのケースでDMARCが失敗する理由の答えとなり得ます。

サードパーティーのメールボックスプロバイダーでDMARCが失敗するのはなぜですか？

メール送信を外部のメールボックスプロバイダーに代行してもらう場合、DMARC、SPF、DKIMのいずれかを有効にする必要があります。DMARCを有効にするには、プロバイダーに連絡して実装を依頼するか、またはお客様自身で手動でプロトコルを有効にする必要があります。これを行うには、これらのプラットフォームでホストされているアカウントポータルにアクセスする必要があります（管理者として）。

外部メールボックスプロバイダのこれらのプロトコルを有効にしないと、DMARCに失敗する可能性があります。

GmailメッセージのDMARCが失敗した場合は、ドメインのSPFレコードにカーソルを移動し、以下のレコードが含まれているか確認してください。 _spf.google.comが含まれているか確認してください。そうでない場合、受信サーバーがGmailを送信元として認識できない原因となっている可能性があります。MailChimpやSendGridなどから送信されたメールも同様です。

DMARCに失敗したメッセージを検出する方法は？ 

DMARCレポートを有効にしていれば、メッセージのDMARCエラーは簡単に検出できます。また、メールヘッダを分析したり、Gmailのメール; ログ検索を使用することもできます。その方法を探ってみましょう：

1.ドメインのDMARCレポートを有効にする 

DMARCの失敗を検出するには、DMARCプロトコルが提供するこの便利な機能を使用します。DMARC DNSレコードに「rua」タグを定義するだけで、ESPからDMARCデータを含むレポートを受信することができます。構文は次のとおりです： 

v=DMARC1; ptc=100; p=reject; rua=mailto:email1@powerdmarc.com； 

ruaタグには、レポートを受信するためのメールアドレスを記述してください。 

PowerDMARCでは、DMARCの障害を簡単に検出し、トラブルシューティングを迅速に行うことができるよう、簡略化された人間が読めるレポートを提供しています：

2.メールヘッダを手動で分析する、または分析ツールを導入する

DMARCの失敗は、メールのヘッダーを分析することによっても検出することができます。

a.マニュアル方式

以下のように、手動でヘッダーを解析することもできます。

Gmailでメールを送信する場合、メッセージをクリックし、「もっと見る」（右上の3つの点）をクリックし、「オリジナルを表示」をクリックすることができます： 

DMARC認証の結果を検査することができるようになりました：

b.自動化された分析ツール

PowerDMARCの メールヘッダーアナライザーは、DMARC失敗エラーを即座に検出し、DMARC失敗問題を緩和するための優れたツールです。

弊社では、以下のように、お客様の電子メールのDMARCの状況、整合性、その他のコンプライアンスを包括的に分析することができます：

3.Googleのメールログ検索を利用する 

Googleのメールログ検索で、DMARCに失敗した特定のメッセージに関する追加情報を見つけることができます。これにより、メッセージの詳細、配信後のメッセージの詳細、および受信者の詳細が明らかになります。結果は、以下のように表形式で表示されます：

画像出典

DMARCの失敗を修正する4つのステップ

DMARCの不具合を解消するために、弊社が提供する DMARCアナライザーに登録し、DMARCのレポートとモニタリングの旅を始めることをお勧めします。

ステップ1：なしから始める

なしポリシーでは、まず、以下のようなドメイン監視を行うことができます。 DMARC (RUA) 集計レポートを作成し、受信メールと送信メールに注視することで、不要な配信の問題に対応することができます。

ステップ2：エンフォースメントへのシフト

その後、ドメイン偽装やフィッシング攻撃に対する免疫力を高めるために、強制的なポリシーへの移行を支援します。

ステップ3：AIを活用した脅威検知を利用する

PowerDMARCの脅威インテリジェンスエンジンにより、悪意のあるIPアドレスをテイクダウンし、PowerDMARCプラットフォームから直接報告することで、将来のなりすまし攻撃を回避することができます。

ステップ4：継続的にモニターする

DMARC (RUF) フォレンジックレポートは、メールがDMARCに失敗したケースについて詳細な情報を得ることができ、問題の根本を突き止め、より早く解決することができます。

DMARCに失敗するメッセージにどう対処するか？

DMARCに失敗したメッセージに対処するために、より緩やかなDMARCポリシーを選択することができます。 DMARCポリシーまた、DMARCの実装をDKIMとSPFの両方と組み合わせることで、最大のセキュリティと偽陰性のリスクを低減できます。

1.DMARCレコードを確認する

を使用します。 DMARCチェッカーを使用して、余分なスペースやスペルミスなど、記録内の構文エラーやその他の形式的なエラーを見つけることができます。

2.よりソフトなポリシーを目指す

DMARCのポリシーは、「none」のように、より緩やかなものにすることもできます。この場合、DMARCが失敗しても、メッセージは受信者に届きます。ただし、この場合、フィッシングやスプーフィング攻撃に対する脆弱性が残ります。 

3.SPFとDKIMの両方を使用する アライメント 

DKIMとSPFの両方を併用することで、メール認証のレイヤーアプローチを実現します。DKIMはメッセージの完全性を検証し、改ざんされていないことを保証し、SPFは送信サーバーのアイデンティティを検証します。この2つを組み合わせることで、メールの送信元に対する信頼を確立し、なりすましやフィッシング、不正なメール活動のリスクを低減します。

PowerDMARCでDMARCの失敗を修正する

PowerDMARCは、包括的な機能と特徴を提供することで、DMARCの失敗を軽減することができます。まず、ステップバイステップのガイダンスと自動化ツールを提供することで、DMARCの正しい展開を支援します。これにより、DMARCレコード、SPF、DKIM認証が適切に設定され、DMARCの導入が成功する確率が高まります。

DMARCが導入されると、PowerDMARCは電子メールのトラフィックを継続的に監視し、DMARCの失敗についてリアルタイムのレポートとアラートを生成します。この可視性により、企業はSPFやDKIMの失敗など、認証に関する問題を迅速に特定し、是正措置を講じることができます。

監視に加え、PowerDMARCはAI脅威インテリジェンス機能を統合しています。グローバルな脅威フィードを活用し、フィッシング攻撃やスプーフィング試行のソースを特定・分析します。疑わしい電子メールの活動に関する洞察を提供することで、組織は潜在的な脅威を積極的に特定し、リスクを軽減するために必要な措置を講じることができます。

お問い合わせまでご連絡ください！

おわりに正しい方法でメールセキュリティを強化する

メールセキュリティに多層的なアプローチを採用することで、組織や個人は、進化するサイバー脅威に対する防御を大幅に強化することができます。これには、強固な認証メカニズムの導入、暗号化技術の採用、フィッシング攻撃に関するユーザー教育、セキュリティプロトコルの定期的な更新が含まれます。 

さらに、AIツールを統合してEメールのセキュリティ対策を強化することは、サイバー犯罪者が仕掛ける巧妙な攻撃に後れを取らないための最善の方法です。 

DMARCの失敗を防ぎ、その他のDMARCエラーをトラブルシューティングする、 サインアップ今すぐDMARCエキスパートと連絡を取るためにサインアップしてください！

コンテンツ・レビューとファクト・チェックのプロセス

この記事はサイバーセキュリティの専門家によって作成されました。この記事でお伝えしている方法と実践は、DMARCの失敗を克服するために私たちがお客様に展開した実際の戦略です。これらの方法がうまくいかない場合 ご連絡くださいまでご連絡ください。

 

すべてのクライアントにPowerDMARCを導入して以来、オンボーディング、モニタリング、およびDNSサービスを制御していない場合でも変更を行うためのプロセスが非常に簡単になりました。

Reformed ITの共同設立者兼CEO、ジョー・バーンズ氏