MailData

DMARCに関連付けるべきパラメータとは?

DMARCに関連付けるべきパラメータとは?

タグで差が出る防御力

2024年5月5日
著者: Ahona Rudra
翻訳: 永 香奈子

この記事はPowerDMARCのブログ記事 What Parameters Should be Associated With DMARC? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メールは最も一般的に使用されているコミュニケーション手段の一つです。
しかし、ハッカーやスパマーによる攻撃を受けやすいという特性があります。
そのため、SPFDKIM、DMARCを実装することで、メールのやり取りを保護し、脅威アクターによる乗っ取りを防ぐことができます。

本記事では、DMARCの導入を始めるにあたって役立つ主要なパラメータについて解説します。

重要なポイント

  1. DMARCSPFおよびDKIMと共に実装することは、なりすましやフィッシング攻撃からメール通信を保護するために不可欠です。
  2. DMARCには「none」「quarantine」「reject」という3つのポリシーがあり、認証されなかったメールを受信者のメールボックスでどのように扱うかを定義します。
  3. モニタリングポリシー(p=none)を使用することで、DMARCの導入初期段階において配信に影響を与えることなくメールの活動状況を分析できます。
  4. 隔離ポリシー(p=quarantine)は、フィッシングの疑いがあるメールをスパムフォルダ(迷惑メールフォルダ)に振り分け、さらに検査できるようにします。
  5. 拒否ポリシー(p=reject)は、許可されていないメールが受信者の受信トレイに届くのを防ぐことにより、最高レベルのセキュリティを提供します。

DMARCはどのように機能するのか?

DMARCは、SPFおよびDKIMと連携して実装されます。
ドメイン所有者は、DMARCのDNSレコードを作成し、自身のDNSプロバイダに公開します。
そのドメインからメールが送信されると(あなたやあなたの従業員、またはサイバー犯罪者によって)、受信者のメールサーバは、そのドメインがDNSにDMARCレコードを公開しているかを確認し、その正当性を検証します。

これに加えて、受信者のサーバは、送信者が本当に名乗っている通りの人物かを確認するために、DKIMおよびSPFのチェックを行います。
以下の確認が実施されます。

SPFおよびDKIMの結果が判明すると、メールサーバはポリシーを適用します。
最終的に、「DMARC集計レポート」と呼ばれる報告書が、レポート受信用に指定されたメールアドレスに送信されます。

DMARCポリシー

DMARCの主要なパラメータの一つに、3つのDMARCポリシーがあります。
一定期間監視を行った後、自分のドメインから送信された認証されていないメールを受信者のメールボックスでどのように扱うかを決定することができます。
以下が3つのポリシーです。

モニタリングポリシー:p=none

このDMARCポリシーは、DMARCレコードの「rua」または「ruf」タグに記載されたアドレスにレポートを送信するよう、メールサーバに指示します。
これは「モニタリング専用ポリシー」と呼ばれ、DMARC準拠の初期段階で実装され、自社のメールチャネルの活動を分析するために使用されます。
このポリシーは、メールチャネルに関する洞察を提供しますが、DMARCチェックに失敗したメールを受信サーバがどのように扱うべきかは指示しません。

隔離ポリシー:p=quarantine

このDMARCレコードパラメータは、DMARC認証に失敗したメールを受信サーバにスパムフォルダ(迷惑メールフォルダ)へ振り分けるよう指示します。
認証テストに合格したメールは受信トレイに届きます。
これにより、誤ってフィッシングメールに対応してしまうリスクを最小限に抑えることができますが、そのような悪意のあるメールはスパムフォルダ内には依然として存在することになります。

拒否ポリシー:p=reject

p=rejectのDMARCパラメータは、DMARC認証チェックに失敗したメールの受信をメールサーバに完全に拒否させるよう指示します。
認証に合格したすべてのメールは受信トレイに配信されます。
ただし、「誤検知」により、正当で意味のあるメールも意図した受信者に届かない可能性があります。

DMARCタグの種類とその役割

DMARCタグは、DMARCパラメータのさまざまな要素を指定するものであり、すべてのタグが同じ重要性や使用頻度を持つわけではありません。
これらは、3つのカテゴリに分類されます。

必須
これらは必須タグです。
すべてのDMARC TXTレコードは、必須のvまたはバージョンタグから始まり、その値としてDMARC1を指定する必要があります。
任意(推奨)
これらのタグは必ずしも追加する必要はありませんが、レポートの生成に役立ちます。
任意
これらのタグは完全に省略することができます。

DMARCタグの機能

DMARCレコードパラメータには、合計11個の重要なタグがあり、そのうちvタグとpタグは必須です。
それぞれのタグの機能について見ていきましょう。

DMARCタグ名 タイプ 機能
v (version) 必須 このDMARCタグはバージョンを指定します。現在のところバージョンは1つのみであるため、その値は固定でv=DMARC1となります。
p (policy) 必須 このDMARCパラメータは、DMARCポリシーモードを示します。
認証チェックに失敗したメールに対して、受信側にレポート、隔離、または拒否のいずれかの対応を指示します。
adkim 任意 これは、DKIMアライメントモードの略です。
その値はStrict sまたはRelaxed rのいずれかを指定できます。
リラックスモード(Relaxed)では、検証されたDKIMレコードがd=sample.comであり、送信者のメールアドレスがemail@news.sample.comのようなサブドメインであっても、検証結果は合格(pass)と判断されます。
一方、ストリクトモード(Strict)では、メールがsample.comドメインから送信されたアドレスである場合にのみ、検証結果が合格(pass)となります。サブドメインは検証に失敗します。
aspf 任意 このDMARCパラメータは、SPF整合モードを表します。
その値はStrict sまたはRelaxed rのいずれかを指定できます。
デフォルトはRelaxed rです。
sp (サブドメインポリシー) 任意 DMARCのspタグは、サブドメイン用のポリシーを指定します。
このポリシーモードは、メインドメイン用に設定されたpタグに基づいて構成されます。
fo (失敗レポート) 任意 DMARCのfoタグのデフォルト値は0です。
これは、ドメイン所有者が選択可能な失敗報告オプションを提供します。
利用可能なオプションは以下の通りです。
fo=0:メールがSPFとDKIMの両方の整合性に失敗した場合に、DMARCの失敗(フォレンジック)レポートが送信されます。
fo=1:メールがSPFまたはDKIMのいずれかの整合性に失敗した場合に、DMARCの失敗(フォレンジック)レポートが送信されます。
fo=d:メールのDKIM署名が検証に失敗した場合、整合性に関係なく、DKIMの失敗レポートが送信されます。
fo=s:メールがSPF評価に失敗した場合、整合性に関係なく、SPFの失敗レポートが送信されます。
ruf(失敗レポート RUI) 任意(推奨) これは、DMARCフォレンジックレポート(rufレポート)をどこに送信するかを指定するものです。
現在のところ、DMARCに準拠した一部の企業のみがこれを送信しています
rua(集計レポート RUI) 任意(推奨) ruaタグは、レポートを送信する必要があるメールアドレスまたはWebサーバを表示します。
このアドレスまたはサーバは、レポートを提供する企業がレポートを配信するためのものです。
rf(レポート形式) 任意 このDMARCタグのデフォルト値はafrfです。
これは、フォレンジックレポートの形式を登録するものです。
pct(パーセンテージ) 任意 このタグのデフォルト値は「100」です。
このタグは、ポリシーモードを適用するメールの割合を指定します。
たとえば、pct = 40と設定した場合、メールの40%がフィルタされます。
ri(レポート間隔) 任意 riタグのデフォルト値は「86400」です。
このタグは、2つの連続する集計レポートの間隔を秒単位で指定します。

まとめ

DMARCパラメータは連携して機能し、貴社ブランド名を悪用したフィッシングやなりすまし攻撃を防ぐのに役立ちます。
DMARCはSPFやDKIMと連携して動作し、DMARCポリシーは受信サーバに対して、検証チェックに失敗したメールをどのように処理すべきかを指示します。
ポリシーには次の3種類のタグがあります。

p=none
検証に失敗したメールに対して何のアクションも取られません。
p=quarantine
失敗したメールは受信箱ではなくスパムフォルダ(迷惑メールフォルダ)に振り分けられます。
p=reject
失敗したメールは完全に拒否され、受信者のメールボックスに届きません。