MailData

DMARCとは何か?DMARCメールセキュリティガイド

DMARCとは何か?DMARCメールセキュリティガイド

DMARCの処理プロセスを学ぶ

2024年3月20日
著者: Maitham Al Lawati
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 What is DMARC? Guide to DMARC Email Security の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARCとは?

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、メール詐欺やフィッシング攻撃に対抗するためのメール認証プロトコルです。
DMARCは、メール送信者を検証し、メール活動に関する詳細なレポートを提供することで、組織がメールのセキュリティを向上させ、ドメインの評判を保護するのに役立ちます。
このプロトコルを利用することで、ドメイン所有者はメールがどのように認証されるべきか、また、認証されていないメールをどのように処理するべきかに関する具体的なポリシーを設定できます。

基本的には、「私たちのドメインから送信されたメールは特定の基準を満たす必要があります。基準を満たさない場合、それらは疑わしいものとして扱われるべきです。」という方針を企業が明確に示すことを可能にします。
DMARCは、既存の2つのプロトコルであるSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)を基に構築されています。
DMARCを活用することで、認証に失敗したメールに対するアクション(拒否、隔離、または配信)を指定することができます。

DMARCとは何の略か?

DMARCは「Domain-based Message Authentication, Reporting, and Conformance」の略です。
この頭字語の各部分は、DMARCの動作における重要な側面を反映しています。

Domain-based(ドメインベース)
DMARCはドメインレベルで機能します。
Message Authentication(メッセージ認証)
DMARCはドメイン所有者が認証プロトコルを指定できるようにします。
これらのプロトコルは受信メールメッセージを検証するために使用されます。
SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)がその例です。
Reporting(レポート)
DMARCの設定でフィードバックレポートを有効にすることができます。
これにより、受信MTAs(Message Transfer Agents)が定義されたメールアドレスにXMLレポートを送信します。
このレポートにはDMARCの集計データやフォレンジックデータが含まれることがあります。
Conformance(準拠)
メールドメインの所有者は、DMARCを使用して、受信メールサーバが行うアクションをポリシーとして記述できます。
これらのアクションは、メールがDMARCチェックに失敗した場合に実施されます。

なぜDMARCはメールセキュリティにおいて重要なのか?

DMARCは以下の方法でメールセキュリティを強化する上で重要な役割を果たします。

メールのなりすましやフィッシングの防止
特定のドメインから送信されたと主張するメールの真正性を検証することで、攻撃者が正当な送信者を装うなりすましの試みを効果的に阻止します。
これにより、ログイン情報や金融データなどの機密情報を盗むことを目的としたフィッシング攻撃を防止します。
メール到達率の向上
ドメインからの正当なメールのみが受信トレイに到達することを保証することで、正当なメールがスパムとしてマークされる可能性を減らします。
これにより、メールの到達率が向上し、メッセージが意図した受信者に確実に届きます。
ブランドの評判の保護
ドメインの不正使用を防止することで、DMARCはブランドの評判を守り、顧客との信頼を築きます。
貴重な洞察の提供
DMARCは包括的なレポートを生成し、メール送信活動に関する貴重な洞察を提供します。
これにより、不正送信者、なりすましの試み、侵害されたアカウントなどの潜在的な問題を特定し、対処できます。
業界のコンプライアンス要件への対応
DMARCは、PCI-DSSなどの業界標準に準拠するためにますます重要になっています。
GoogleやYahooなどの主要なメールプロバイダーは、DMARCが実装されていないドメインからのメールを拒否することもあります。

強固なDMARCポリシーを導入し維持することで、企業はメールセキュリティの姿勢を大幅に強化し、ブランドの評判を守り、正当なメール通信の効果的な配信を確保できます。

DMARCの仕組み

DMARCは、既存の認証方法であるSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の上にポリシーの適用層を追加することで、メールセキュリティを強化します。

1. メールインフラの評価

SPFとDKIMの設定
最初に、DNS設定にSPFおよびDKIMレコードを設定します。
これらのレコードは、ドメインに代わってメールを送信することを許可されたIPアドレスやドメインを定義します。
SPFおよびDKIMレコード生成ツールを使用して、このプロセスを支援できます。

2. DMARCレコードの作成

3. DMARCポリシーの選択

DMARCポリシーは、DMARCチェックに失敗したメールをメール受信者がどのように処理するかを指示します。
3つのポリシーモードがあります。

p=none
認証結果を監視しますが、特別な処理を行いません。
これにより、メールトラフィックを分析し、潜在的な問題を特定できます。
p=quarantine
認証チェックに失敗したメールをスパムフォルダに移動します。
p=reject
認証チェックに失敗したメールをブロックして破棄します。

4. DMARCレコードの公開

生成したDMARCレコードをDNS設定に公開します。
_dmarcをホストフィールドに入力し、リソースタイプをTXTに設定します。
TTL(Time to Live)は1時間に設定することをお勧めします。

5. DMARC設定の確認

DMARCチェッカーツールを使用して、DMARCレコードが正しく公開され、期待どおりに機能していることを確認します。

6. レポートの有効化

DMARCが設定されると、レポートを有効化できます。
DMARCはメール認証結果に関するレポートを生成し、以下の情報を提供します。

DMARC公開後のワークフロー

DMARCレコードが公開されると、以下のように動作します。

1. メール送信
ドメインからメールが送信される際に、SPFおよびDKIMのチェックが実施されます。
2. メール受信
受信サーバが以下のチェックを実行します。
DKIMチェック
デジタル署名を検証し、メールが改竄されていないことを確認します。
SPFチェック
送信元IPアドレスがドメインに代わってメールを送信することが許可されているかを確認します。
3. 識別子アライメントのチェック
認証チェックとポリシー取得が行われた後、認証済み識別子がRFC5322.Fromドメインと一致するか確認します。
1つ以上の認証済み識別子がRFC5322.Fromドメインと一致する場合、そのメッセージはDMARCメカニズムチェックを「合格」とみなします。
それ以外の条件(認証失敗、識別子の不一致)はDMARCメカニズムチェックの失敗と見なされます。
4. DMARCポリシーの適用
受信サーバがDMARCレコードを確認し、指定されたポリシーを適用します。
合格 (Pass)
メールがSPFおよびDKIMチェックの両方に合格した場合、通常どおり配信されます。
不合格 (Fail)
メールがSPFまたはDKIMのいずれかのチェックに失敗した場合、DMARCポリシーで定義されたアクション(例:隔離、拒否)が実行されます。
5. レポート
受信サーバは、メール認証結果に関するレポートを生成し、DMARCレコードで指定されたメールアドレスに送信します。

DMARCレコードの構造

DMARCレコードの構造は、DNS(Domain Name System)のTXTレコードとして定義されています。
このレコードには、ポリシーモードやレポートオプションを指定する複数のタグが含まれます。
以下はDMARCレコードの例です。 


_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:forensics@example.com; sp=reject;"

この例の各部分の説明は以下の通りです。

_dmarc.example.com.
DMARCレコードが設定される特定のドメインを示します。
この場合は「example.com」です。
IN TXT
レコードタイプがTXT(テキスト)レコードであることを示します。
v=DMARC1
使用されるDMARCプロトコルのバージョンが「1」であることを示します。
p=reject
DMARCポリシーを「reject」に設定します。これにより、DMARCチェックに失敗したメールは受信メールサーバによって拒否または破棄されます。
rua=mailto:dmarc@example.com
集計レポートを受信する宛先メールアドレスを指定します。
ruf=mailto:forensics@example.com
フォレンジックレポート(メール配信失敗に関する詳細情報を含む)を受信する宛先メールアドレスを指定します。
sp=reject
サブドメインポリシーを「reject」に設定します。
これにより、このDMARCポリシーがサブドメインにも明示的に適用されることを保証します。
これを指定しない場合は、デフォルトでZoneAPEXのポリシーがサブドメインに適用されます。

DMARC、SPF、DKIM ― メールセキュリティの柱

DMARC、SPF、DKIMを組み合わせて導入することで、メールのなりすましやフィッシング攻撃に対する防御が一層強化されます。
これらの認証方法を併用するメリットを以下に説明します。

1. 包括的な保護
DMARC、SPF、DKIMの組み合わせは、メール認証において多層的なアプローチを提供します。
これにより、メールのなりすまし、フィッシング、不正送信者からの攻撃に対する包括的な保護を実現します。
2. メール到達率の向上
メールが正しく認証され、ドメインポリシーと一致していることを保証することで、正当なメールがスパムとして扱われたり拒否されたりする可能性を大幅に低減します。
3. ブランド評判の保護
これらの認証方法を実装することで、ブランドの信頼性を維持できます。
メールの不正利用やなりすましを防ぎ、受信者の間での評判を守ります。
4. セキュリティの向上
DMARC、SPF、DKIMを組み合わせて使用することで、ドメインに代わって悪意のあるメールを送信する不正なエンティティのリスクを最小化します。
これにより、全体的なセキュリティが強化され、潜在的なサイバー脅威を軽減します。
5. レポートと可視性
DMARCは、メール認証の失敗に関する貴重なレポートを提供します。
これにより、ドメイン所有者が問題を迅速に特定し、対処することが可能になり、メールセキュリティ対策の効果を向上させます。

SPFとDKIMを既にDMARCを導入している場合でも使用すべきか?

はい、既にDMARCを導入している場合でも、SPFとDKIMの両方を使用することが強く推奨されます。
DMARCはSPFおよびDKIMと連携して機能するよう設計されており、これらを組み合わせることで、強力なメール認証フレームワークを構築できます。
ただし、DMARCが機能するためには、SPFまたはDKIMのいずれかが必要です。

ベストプラクティス

DMARCを導入しようとしている組織は、以下の実践を採用することで、最大限の効果を得ることができます。

1. 監査から始める
現在のメールインフラを把握します。
特に、自社を代表してメールを送信しているすべてのサービスを確認します。
2. SPFとDKIMの実装
DMARCに進む前に、これらが正しく設定されていることを確認します。
3. 監視から開始する
最初は「p=none」ポリシーを使用し、メール配信に影響を与えることなくデータを収集します。
4. DMARCレポートの活用
DMARCアナライザーなどを使用して、レポートを定期的に確認し、自社のメールエコシステムを理解し、潜在的な問題を特定します。
5. ポリシーの厳格化を段階的に進める
設定に自信が持てるようになったら、「p=quarantine」へ移行し、最終的には「p=reject」へと進めます。
6. 関係者との連携
IT部門、マーケティング、サードパーティベンダーを含むすべての関係者に、DMARC導入計画を周知徹底します。
7. 情報を常に更新する
メール認証標準やベストプラクティスの進展を常に追い続けます。

課題と考慮点

DMARCは強力なツールですが、以下のような課題があります。

1. 複雑さ
DMARCを正しく実装するには、メールインフラやDNSに関する十分な理解が必要です。
2. サードパーティ送信者
多くの組織は、マーケティングプラットフォームなどのサードパーティサービスを使用してメールを送信しています。
これらがDMARCのアライメントチェックでSPFとDKIM双方で合格するようにすることは難しい場合があります。
3. メール転送
メールの転送はDMARC認証を壊す可能性があります。
転送サーバがメールを変更し、元のDKIM署名やSPFヘッダー情報を無効化してしまうことが原因です。
4. 段階的な導入
厳格なポリシーへ急激に移行すると、正当なメールがブロックされる可能性があります。
監視ポリシー(p=none)から始め、ポリシーの厳格さを段階的に高めていくことが重要です。

メール認証の未来

サイバー脅威が進化する中、防御策も進化し続ける必要があります。
DMARCは大きな前進ですが、メールセキュリティ対策全体の一部に過ぎません。
今後の発展には以下が含まれる可能性があります。

1. AIとの統合
機械学習を活用して、DMARCレポートをより効果的に解釈し、悪用のパターンを特定する。
2. ユーザーインターフェースの強化
DMARCの結果をエンドユーザーがより簡単に認識できるように、メールの正当性を示す視覚的なインジケーターを導入。
3. より広範な導入
より多くの組織がDMARCを実装することで、メール詐欺への対抗効果がさらに高まる。
4. 標準の進化
メール認証の分野は進化を続けています。
DMARCを基盤にしたり、補完したりする新しい標準が登場する可能性があります。
また、DANEやMTA-STSのような他の技術も開発され、メールのセキュリティをさらに強化しています。

PowerDMARCのクラウドベースDMARCソリューション

オンラインドメインを管理するビジネスオーナーにとって、DMARCを導入することはセキュリティ上の重要な利点です。
手動で設定することも可能ですが、PowerDMARCのようなサードパーティベンダーを利用することで得られる追加のメリットがあります。
当社では、レポート、管理、モニタリング機能を非常に手頃な価格で提供しており、これらは手動設定では得られないもので、ビジネスに大きな違いをもたらします。

当社のDMARCアナライザーを設定することで、以下が可能になります。

  1. ホスティング型DMARCや他のメール認証プロトコルを簡単に設定
  2. 認証結果を簡潔で人間が読みやすいレポートでモニタリング
  3. メール、Slack、Discord、Webhookを通じたリアルタイムアラートの受信
  4. 時間と共にメールの到達率を向上

お客様は、当社の専任DMARC専門家によるサポートを受けられます。
お客様のニーズに合わせてソリューションを構成します。
無料のDMARCトライアルをご希望の方は、ぜひお問い合わせください!

DMARCに関するFAQ

Q: なぜDMARCを使用する必要があるのですか?
A:
DMARCは、メールのなりすましやフィッシング攻撃を防ぎ、メールの到達率を向上させ、ブランドの評判を守るために不可欠です。
また、メール認証に関する可視性と制御を提供します。
Q: DMARCレコードとは何ですか?
A:
DMARCレコードは、ドメイン所有者がDNS(Domain Name System)に公開するエントリです。
これにより、メール認証ポリシーを指定し、なりすましやフィッシング攻撃を防ぐための指示をメール受信者に提供します。
認証されていないメールの処理方法も定義します。
Q: DMARCレポートとは何ですか?
A:
DMARCレポートは、ドメインに関するメール認証結果の情報を提供します。
これらのレポートはメール受信者によって生成され、DMARCレコードで指定されたメールアドレスに送信されます。
Q: DMARCとSPFの組み合わせは有効ですか?
A:
DMARCとSPFは、メールセキュリティを強化し、なりすましやフィッシング攻撃を防ぐ強力な組み合わせです。
DMARCはSPFの送信者検証機能を基に構築され、SPFチェックに失敗したメッセージの処理方法をドメイン所有者が指定できるようにします。
Q: DMARC準拠(DMARC Compliance)とは何ですか?
A:
DMARC準拠とは、ドメインがDMARC認証プロトコルに適合していることを指します。
適切に設定されたポリシー、SPF、DKIMを実装したドメインは、DMARC準拠とみなされます。
Q: DMARCの問題をどのように修正しますか?
A:
DMARCの問題を解決するには、DMARCレポートを慎重に確認し、認証失敗を分析します。
詳細は、当社の「DMARC Failガイド」をご覧ください。
Q: DMARCをテストする方法は?
A:
無料のDMARCチェッカーツールを使用して、DMARCをテストできます。