DMARCの"pct"はDMARCbisで"t="に置き換えられる

DMARCの進化：安全なメール通信への新たな一歩

2023年11月13日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 DMARC “t=” Tag replaces “pct” in DMARCbis の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メールセキュリティの世界では常に進化しており、DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、ドメイン所有者がメールドメインを悪用やフィッシングから保護するための重要なツールとなっています。

このプロトコルは時間とともにいくつかの更新を経ており、予見される変更の一つに「pct」タグを「t」タグに置き換えるかもしれません。
これは、IETFがDMARCbis(※)技術ドラフトで報告しています。
この記事では、この変更の背後にある理由と、メールセキュリティへの影響について探ります。

訳注: DMARCbisとは、DMARCの改訂版を指します。

注意：このドキュメントはまだ草稿であり、将来的に変更される可能性があります。

「pct」タグ：以前の試み

DMARCプロトコルの以前のバージョンで、RFC7489に文書化されているものに、「pct」タグが導入されました。
このタグを使用すると、ドメイン所有者は、より厳格なDMARCポリシー（例えば、「none」から「quarantine」へ、または「quarantine」から「reject」へ）に従うメッセージの割合を指定することができます。
この目的は、ドメイン所有者がより厳格なメールポリシーに段階的に移行できるようにすることでした。

「pct」タグの課題

しかし、実運用での経験から、「pct」タグには様々な課題があることが明らかになりました。
特にその値が「0」または「100」（デフォルト値）でない限り、しばしば不正確に適用されていました。

デフォルト値の「100」は、メール受信者に特別な処理を要求せず、そのため多くの場合、明確な選択肢となります。
一方で、「pct」の値が「0」の場合は、主に中間者やメールボックスプロバイダーによって、標準的な処理からの逸脱と結びつけられ、DMARCの失敗を回避するためにRFC5322のFromヘッダを書き換えることが多くなりました。

訳注

「pct=0」と設定されると、DMARCポリシーは理論上は適用されません。
しかし、実際には、この設定は中継メールサーバや受信側MTAによって特別な方法で扱われることが多いです。
これらの中継メールサーバや受信側MTAは、DMARCの検証プロセスを通過するために、メールのヘッダFromを書き換えることがあります。

ヘッダFromの書き換えは、DMARCの検証で「失敗」とマークされるのを避けるために行われます。
DMARCはメールの送信元となるドメインが正当なものであるかを確認する仕組みなので、ヘッダFromがReturn-PathやDKIMのd=のドメインと異なる場合、DMARCチェックは失敗する可能性があります。
しかし、「pct=0」の設定下では、このようなチェックが厳密には適用されないため、ヘッダFromの書き換えがDMARCポリシーの適用を回避する手段として使われることがあります。

具体的には、中間者やメールボックスプロバイダーが、DMARCの検証に失敗する可能性があるメールのRFC5322のFromヘッダを書き換えることで、そのメールが認証を通過できるように操作することがありました。
これにより、本来は認証に失敗するメールが誤って承認される可能性が生じます。
このようなFromヘッダの書き換えは、DMARCポリシーの目的に反する行為です。

DMARCは、ドメインの信頼性を保ち、フィッシングやスパムを防ぐために設計されているため、このような検証回避の手法はセキュリティ上のリスクを生じさせます。
この問題は、DMARCプロトコルの更新を通じて解決されるべき重要な課題の一つとなっています。

カスタムアクションと貴重な洞察

奇妙なことに、この「pct=0」という意図しない使用は、メールコミュニティにとって貴重でした。
中間者が「pct=0」でヘッダを書き換えると、ドメイン所有者は、自分のメールトラフィックのどれくらいがRFC5322を変更しない中間者を通過するかについての洞察を得ることができました。
この比較には努力が必要でしたが、ドメイン所有者にとっては貴重な情報源でした。

中間者によるRFC5322のFromヘッダの書き換えがないために潜在的なDMARC失敗の対象となるメールの範囲を知ることで、ドメイン所有者は情報に基づいた決定を下すことができました。
彼らはDMARCの失敗に対する許容度を評価し、「p=none」から「p=quarantine」または「p=reject」への移行を決定することができました。

「t」タグの導入

ドメイン所有者にとって「pct=0」の価値を認識し、この機能をDMARCプロトコル内に保持することは理にかなっていました。
しかし、有効な値が2つしかない「pct」という名前のタグを維持することはもはや意味がありませんでした。

これに対処するため、DMARCプロトコルの最新バージョンでは「t」タグが導入されています。
これは「testing」（テスト中）を意味します。
「t」タグには「y」と「n」という2つの有効な値があります。

詳細については、公式のDMARC IETFドラフトを参照してください。

「t」タグと「pct」タグの比較

「t」タグは、メールボックスプロバイダーや中間者が「pct」タグの「0」と「100」に相当するように適用されるように設計されました。
それらの比較は以下のようになります。

「t=y」は「pct=0」と同等

「t=y」とマークされたメッセージは、ドメイン所有者が現在ポリシーの展開のテストフェーズにあり、チェックを行う受信者によってポリシーが適用されないことを意味します。

「t=n」は「pct=100」と同等

「t=n」とマークされたメッセージは、既存のDMARCポリシーに従います。
これは以前の「pct=100」設定に似ています。

DMARC IETFの公式ドラフトで「t=」タグについてもっと読むことができます。

「t」タグの意味合い

全体として、「t」タグの導入はDMARCポリシーの取り扱いを簡素化します。
この変更は当初は些細なもののように思えるかもしれませんが、DMARCポリシーの設定と実装を効率化します。
この新しいタグは、ポリシーがより正確に適用されることを助け、以前の問題に対処します。

まとめ

DMARCプロトコルは、絶えず進化するメールセキュリティの環境の中で、適応し続け、改善されています。
「pct」タグを「t」タグに置き換えることは、メール通信をより安全かつ信頼性の高いものにするための継続的なコミットメントの証です。
この変更により、DMARCポリシーの管理が簡素化され、ドメイン所有者が自分のメールドメインを効果的に保護するために必要なツールを持つことが保証されます。

ドメイン所有者、メールプロバイダー、中間者が「t」タグの使用へと移行するにつれて、メールエコシステムはフィッシングやメール詐欺との戦いでさらに前進します。
業界のベストプラクティスに沿ってDMARCプロトコルを洗練させることで、私たちはすべての人にとってより安全なデジタル環境を作り出します。