DMARCのsp(サブドメインポリシー)タグとは？

パーセント指定できる意味と利用法

2021年12月20日
著者: Syuzanna Papazyan
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 DMARCのsp(サブドメインポリシー)タグとは？の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

「sp」属性は、サブドメイン・ポリシーの略で、現在広く使われている属性ではありません。
これは、ドメインが指定されたDNSドメインのサブドメインに対して、異なるDMARCレコードを使用するよう指定することを可能にします。
物事をシンプルにするために、組織ドメイン自体から「sp」属性を省略することをお勧めします。

これにより、サブドメインでのスプーフィングを防止するフォールバックデフォルトポリシーが導かれます。
サブドメインの動作は、常に優先される組織ポリシーによって決定されることを覚えておくことが重要です。

サブドメインは、サブドメインポリシーレコードによって明示的にオーバールールされない限り、親ドメインのポリシーを継承します。
「sp」属性はこの継承を上書きすることができます。
サブドメインに明示的なDMARCレコードがある場合、サブドメインがデフォルト設定のp=noneを使用していても、このレコードは親ドメインのDMARCポリシーより優先されます。

例えば、優先度「all」のDMARCポリシーが定義されている場合、「sp」要素は特定のポリシーが適用されていないサブドメインのDMARC 処理に影響を及ぼします。

どうしてDMARCのspタグが必要なのか？

メール認証プロトコルのTXTレコードには、メール受信サーバへの指示を示すメカニズムやタグが多数含まれています。
DMARCレコードにおいて、pctはパーセンテージの頭文字であり、ドメイン所有者によって定義されたDMARCポリシーが適用されるメールのパーセンテージを表すために含まれています。

以下のようにDMARCレコードを設定しているとしましょう。

v=DMARC1; p=reject; sp=none; rua=mailto:rua@example.com;

この場合、ルートドメインはなりすましから保護されている一方で、メールを送受信するのに使っていないとしても、サブドメインがなりすまし攻撃に対して脆弱なままです。

以下のようにDMARCレコードを設定しているとしましょう。

v=DMARC1; p=none; sp=reject; rua=mailto:rua@example.com;

この場合、メール送信に使用するルートドメインにrejectポリシーを適用しない一方で、アクティブでないサブドメインは依然としてなりすましから保護されています。

ドメインとサブドメインのポリシーを同じにしたい場合は、レコードの作成時にspタグの基準を空白または無効にすると、サブドメインは自動的にメインドメインに課されたポリシーを引き継ぎます。

DMARCレコード作成ツールを使用してドメインのDMARCレコードをPowerDMARCのDNSレコード作成ツールで生成する場合は、以下のようにサブドメインポリシーボタンを手動で有効にして、必要なポリシーを定義する必要があります。

DMARCレコード作成後は、PowerDMARCのDMARCレコード検索ツールでレコードの有効性を確認し、エラーがなく有効なレコードであることを確認することが重要です。

PowerDMARCでDMARCの旅を始めて、安全にDMARCの施行に移行しましょう。
今すぐ無料でDMARCをお試しください。