DMARCの「None」から「Reject」へのスムーズな移行を計画する方法
顧客や見込み客とのコミュニケーションに大きな影響を与えずにポリシーを上げる
2024年2月29日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 How to Plan a Smooth Transition From DMARC None to DMARC Reject? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
あなたのドメインがすでにDMARCに準拠している場合でも、SPF、DKIM、およびDMARCプロトコルが適切に構成されており、適切なポリシーが強制されていることを確認する必要があります。
「Reject」ポリシーは、メールセキュリティにおいて最も厳格ですが、正当なメールの配信に問題を引き起こす可能性もあります。
認証を監視するレポートシステムを使用していない場合、正当なメールが受信者のメールボックスに届かないことに気づくのに数ヶ月かかる可能性があります。
これは、顧客や見込み客とのコミュニケーションに大きな影響を与え、メールマーケティングの効果を無効にしてしまいます。
専門家は、最初の段階でDMARCのポリシーを「None」に設定することを勧めています。
これにより、メールが拒否されたりスパム扱いされたりするリスクを負うことなく、レポートを受け取り始めることができます。
では、いつポリシーを切り替えるべきか、そしてどのようにそれを正しく行うか?
その答えは、このブログで詳しく説明しています。
DMARCポリシー
DMARCレコードは、次の3つのポリシーのいずれかに設定することができます。
- None
-
Noneポリシーは「モニタリング専用ポリシー」とも呼ばれ、インターネットサービスプロバイダに対して、レコードのRUAタグまたはRUFタグに記載されたメールアドレスにレポートを送信するよう指示します。
このポリシーは、メールの配信性に全く影響を与えず、メールチャネルに関する詳細な洞察を提供します。
レコードを「None」に設定すると、認証チェックに失敗したメールに対しては何のアクションも取られません。
つまり、スパム扱いされることもなく、即座に拒否されることもありません。 - Quarantine
-
Quarantineポリシーは、レポートを提供し、認証に失敗したすべてのメールをスパムとして扱うよう、または受信トレイではなく隔離フォルダに振り分けるよう、ISPに指示します。
認証に成功したメールは、通常通り受信者のメインの受信トレイに配信されます。 - Reject
-
Rejectポリシーは、認証チェックに失敗したすべてのメールの受信を即座に拒否するようISPに指示します。
認証に成功したメールは、通常通り受信者のメインの受信トレイに配信されます。
Rejectポリシーの欠点は、時折正当なメールも拒否されることがあり、顧客や見込み客とのコミュニケーションに支障をきたす可能性があることです。
DMARCポリシーを「Reject」に設定する適切なタイミング
ポリシーを変更する前に、メール送信ドメインのパフォーマンスや活動を監視する必要があります。
チャネルに関する洞察を得ることで、エラーのない効果的なメール認証プロセスを実現するために、レコードを適切に構成できます。
すべての送信元が認可され、DMARC準拠率がほぼ100%に達した段階が、「Reject」に切り替える理想的なタイミングです。
この手法により、正当なメールの配信率を高めることができます。
また、ドメインから送信されるメールの一部にのみDMARCポリシーを適用するように設定することも可能です。
DMARCレコードにパーセンテージタグ(pct)を追加するだけで、メール配信性の低下リスクを最小限に抑えられます。
さらに、この「pct」タグは、ドメインから送信される正当なメールの配信成功率を高める効果もあります。
DMARCの「None」から「Reject」へのスムーズな移行計画
以下のステップガイドに従い、最も厳しいDMARCポリシーを適用しましょう。
ステップ1: DMARCモニタリングの開始
NoneポリシーからRejectポリシーに安全に移行するためには、PowerDMARCのようなDMARCモニタリングサービスを使用するのが最良の方法です。
次の2種類のDMARCレポートを受け取ることができます。
- 集約レポート (RUA)
-
毎日、ドメインのトラフィックに関する詳細な洞察を含むレポートが送信されます。
これには、あなたのドメインを通じてメールを送信しようとしたIPアドレスのリストが含まれています。 - フォレンジックレポート (RUF)
-
ドメインから送信されたメールが配信に失敗した場合に、即座にフォレンジックレポートが送信されます。
RUFレポートには、元のメッセージヘッダーが必ず含まれ、場合によっては元のメッセージも含まれることがあります。
初期モニタリング段階では、メールのパフォーマンスに影響を与えることなく、メールフローを理解するためにNoneポリシーを維持します。
ステップ2: DMARCレポートの分析
Noneポリシーを使用している間に、最適なメールセキュリティのためにSPFおよびDKIMレコードを設定します。
同時に、受け取ったレポートを注意深く監視します。
これらのレポートは、どのDKIMセレクターが使用されているか、また誰があなたのドメインからメールを送信しているかを教えてくれます。
さらに、メールの認証に成功した割合と失敗した割合も確認できます。
また、DNSルックアップ制限が10回以内に収まるようにしましょう。
メカニズムを削除するのが難しい場合は、SPFの「フラットニング」を使ってSPFのPermErrorを回避し、SPFのルックアップ制限を守ることができます。
送信者ごとに異なるDKIMセレクターを使用し、使用しているセレクターのみを含めるようにします。
さらに、DKIMキーを定期的に変更し、安全に保つことも重要です。
ステップ3: Quarantineに切り替える
SPFとDKIMを適切に設定した後、NoneポリシーからQuarantineポリシーに移行できます。
このポリシーを強制すると、受信者のメールボックスは、認証されていないすべてのメールをスパムフォルダに振り分けます。
Quarantineポリシーに切り替える適切なタイミングを確認するには、認証に失敗しているメールの割合を確認します。
プロモーションメールの一部が認証に失敗している場合にのみ切り替えます。この準備状況はドメインによって異なります。
また、パーセンテージタグ(pct)の利点を活用し、最初は5%または10%に設定します。
これにより、認証されていないメールのうち5~10%だけがスパムに振り分けられ、徐々にその割合を増やすことができます。
ステップ4: 最終的にRejectに切り替える
完全にQuarantineポリシーに移行し、少数のメールのみがスパムとして処理されている場合、Rejectポリシーに切り替えることができます。
適切に強制すれば、メールフローや配信性に支障はありません。
Rejectポリシーは、認証に失敗したすべてのメールを受信者の受信トレイに届く前にブロックします。
重要なメールがスパムフォルダに届くようであれば、Rejectポリシーに切り替える準備が整っていません。
Quarantineと同様に、小さな割合から徐々に移行するのが理想的です。
重要なメールのほとんどが意図した受信者の受信トレイに届くようになったら、100%の適用に移行できます。
Rejectポリシーは常に最も効率的な選択肢か?
どれだけ注意深くレコードを認証しても、すべての正当な送信元で100%のDMARC準拠を達成するドメインオーナーはごくわずかです。
Rejectポリシーを100%適用すると、一部の重要なメッセージが配信されない可能性もあります。
しかし、良い面として、なりすまし、フィッシング、悪用から完全に保護されるというメリットがあります。