MailData

DMARCのspタグとは?

DMARCのsp(サブドメインポリシー)タグとは?

ZoneAPEXとは異なるサブドメインに対するポリシーの指定方法

2021年12月20日
著者: Yunes Tarada
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 DMARCのsp(サブドメインポリシー)タグとは?の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARCの「sp」属性は、DMARCタグにおける「サブドメインポリシー」を意味します。
これは、ドメイン所有者が定義した場合に、組織ドメインのすべてのサブドメインに対する統一的なサブドメインポリシーを指定するものです。
これにより、特定のDNSドメインのサブドメインに適用される異なるDMARCポリシーモードを指定することが可能になります。

DMARCのsp(サブドメインポリシー)タグとは?

DMARCにおけるSP(Subdomain Policy、サブドメインポリシー)は、サブドメインから送信されたメールをDMARCがどのように処理するかをドメイン所有者が指定できる仕組みを指します。
デフォルトでは、組織ドメインレベルで設定されたDMARCポリシーは全てのサブドメインに適用されます。

しかし、SPメカニズムを使用すると、ドメイン所有者はこのデフォルトの動作を上書きし、サブドメイン用に異なるDMARCポリシーを指定できます。
これにより、メール認証と適用におけるより細かい制御と柔軟性が可能になります。

DMARCの「sp」属性はどのように機能するのか?

サブドメインは、明示的にサブドメインポリシーレコードで上書きされない限り、親ドメインのポリシーを継承します。
「sp」属性は、この継承を上書きすることができます。
サブドメインが明示的なDMARCレコードを持つ場合、そのレコードが親ドメインのDMARCポリシーより優先されます。

たとえそのサブドメインがデフォルト設定で「p=none」を使用している場合でも、これは適用されます。
たとえば、「すべてに適用する」という優先順位でDMARCポリシーが定義されている場合、「sp」要素は特定のポリシーでカバーされていないサブドメインでのDMARC処理に影響を与えます。
簡潔に保つためには、組織ドメイン自体から「sp」属性を省略することを推奨します。

これにより、サブドメインでのなりすましを防ぐフォールバックのデフォルトポリシーが適用されます。
重要な点として、サブドメインの挙動は常に上位の組織ポリシーによって決定されることを忘れないでください。

なぜDMARCサブドメインポリシータグが必要なのか?

DMARCの「sp」タグは、ルートドメインで定義されたポリシーを上書きし、サブドメインに対して異なるDMARCポリシーを設定したい場合に必要です。

DMARC「sp」タグの設定とメール認証への影響

ケース1: サブドメインポリシーを「None」に設定した場合
以下のようなDMARCレコードがある場合。 

v=DMARC1; p=reject; sp=none; rua=mailto:rua@example.com;
この場合、ルートドメインはなりすまし攻撃から保護されますが、サブドメインは情報交換に使用されていなくても、なりすまし攻撃に対して脆弱なままとなります。
ケース2: サブドメインポリシーを「Reject」に設定した場合
以下のようなDMARCレコードがある場合。 

v=DMARC1; p=none; sp=reject; rua=mailto:rua@example.com;
この場合、ルートドメインで送信されるメールに対して拒否ポリシーを適用していない場合でも、非アクティブなサブドメインはなりすまし攻撃から保護されます。

注意: ドメインとサブドメインのポリシーを同じにしたい場合は、レコードを作成する際に「sp」タグを空白または無効にしておくことができます。
この設定により、サブドメインは自動的にルートドメインに適用されたポリシーを継承します。

DMARCの「sp」タグを有効にする方法

ドメイン用のDMARCレコードを作成する際に、DMARCレコードジェネレーターを使用している場合、「サブドメインポリシー」ボタンを手動で有効な状態に切り替える必要があります。
その上で、希望するポリシーを設定してください。

DMARCレコード生成でサブドメインポリシーの設定をする

次のステップ

DMARCの「sp」タグを有効化し、適切に設定することは、メールセキュリティを強化するための重要な一歩です。
しかし、DMARCの実装をさらに向上させるために、以下の追加対策を講じることをお勧めします。

DMARCレポートの監視

DMARCの「sp」タグを有効にした後は、メール受信者によって生成されるDMARCレポートを監視することが重要です。
これらのレポートは、送信メールの整合性や認証状況に関する貴重な情報を提供します。
定期的にレポートを分析することで、ドメインを利用してメールを送信しようとする異常や不正な送信元を特定できます。
DMARCアナライザーやレポートサービスなどのツールを利用すれば、監視プロセスを簡略化することができます。

段階的に「p=reject」ポリシーへ移行

DMARCの「sp」タグがサブドメインのセキュリティを強化する一方で、メインドメインに対してより厳格なポリシーへの移行を検討することも重要です。
「p」タグを「reject」に設定することで、メール受信者に対して、ドメインからの未承認メールを完全に拒否するよう指示することができます。
ただし、この変更による影響を十分に分析し、予期しない問題を回避するために慎重に進めることをお勧めします。

DKIMとSPFの実装

DMARCの実装を強化するためには、DKIM(DomainKeys Identified Mail)とSPF(Sender Policy Framework)の両方が適切に構成されていることを確認してください。

DKIMの実装
DKIMは、送信メールにデジタル署名を追加します。これにより、受信側はメールの整合性を検証し、送信元が改竄されていないことを確認できます。
SPFの実装
SPFは、送信サーバがドメインに代わってメールを送信する権限を持つかどうかを検証します。

これらのメカニズムをDMARCと組み合わせることで、なりすましやフィッシング攻撃を効果的に防止する堅牢な認証フレームワークを構築できます。

DMARCポリシーの定期的な見直しと更新

組織が進化し、メールエコシステムが変化するにつれて、DMARCポリシーを定期的に見直し、更新することが重要です。

サブドメインの「sp」タグ設定の再評価
サブドメインに対するDMARC「sp」タグの設定を再確認し、必要に応じて調整します。
全体ポリシーの調整
組織の現在のニーズに応じて、DMARCのポリシー(例: pタグの設定)を変更します。
メール認証メカニズムの最新化
DKIMやSPFなど、すべてのメール認証メカニズムが最新の状態で適切に構成されていることを確認します。

定期的なポリシーの見直しを行うことで、効果的かつ適応力のあるメールセキュリティ戦略を維持できます。

結論

包括的なメールセキュリティアプローチを採用することで、なりすましやフィッシング攻撃に関連するリスクを大幅に軽減し、組織の評判を守り、ステークホルダーを保護することができます。
DMARCレコードを作成した後は、DMARCレコード検索ツールを使用してレコードの有効性を確認し、エラーがなく正しい状態であることを確保することが重要です。
PowerDMARCでDMARC導入の第一歩を踏み出し、ドメインのメールセキュリティを最大化しましょう。

今すぐ無料トライアルをお試しください!