DMARC導入段階：何を期待し、どのように準備すべきか

段階導入で守るDMARC戦略

2024年9月15日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 DMARC Deployment Phases: What to Expect and How to Prepare の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

組織のメールセキュリティと到達性を強化したい場合、DMARC を導入する必要があります。
Domain-based Message Authentication, Reporting, and Conformance（DMARC）は、メールを介した攻撃からドメイン名を保護するために設計されたメール認証プロトコルです。
DMARC は SPF および DKIM を用いてメール送信元を検証し、未認可のメールが配信されることを防ぎます。

重要なポイント

1. DMARC を導入する前に、ドメインに対して SPF または DKIM が適切に構成されていることを確認してください。
2. DMARC レポート用の専用メールボックスを設定すると、メール認証データを一元管理できます。
3. 既存の DMARC レコードがないか確認し、導入時の競合を避けてください。
4. DMARC ポリシーを段階的に移行することで、セキュリティを強化しつつメールの到達性を維持できます。
5. 認証成功率を継続的に監視することは、効果的なメールセキュリティとレピュテーション管理に不可欠です。

企業は、自社ドメインに対して DMARC を正しく導入する方法を理解する必要があります。
DMARC の設定は、メール認証に不慣れな場合、時間と専門知識を要する作業です。
これをより簡単にするために、私たちは成功につながる 5 つの DMARC 導入フェーズにプロセスを分割しました。

さっそく始めましょう。

DMARC 導入の準備方法は？

DMARC を導入する前に準備が必要です。
以下は、DMARC 導入を開始する前に何をすべきかの概要です。

ドメインに対して SPF と DKIM を構成する

DMARC の前に、ドメインに Sender Policy Framework（SPF）または DomainKeys Identified Mail（DKIM）を設定する必要があります。
メールは DMARC チェックに到達する前に、SPF または DKIM のいずれかで認証されなければなりません。
SPF または DKIM がない状態で DMARC を導入しても、DMARC ポリシーは効果を発揮しません。

SPF または DKIM レコードが存在しないため検証ができず、ドメインから送信されるすべてのメールが DMARC チェックに失敗する可能性が高くなります。
DMARC ポリシー（none、quarantine、reject）によっては、正当なメールがスパム扱いされたり、隔離されたり、受信サーバによって拒否されたりする可能性があります。
さらに、SPF または DKIM がなければ、認証メカニズムが存在しないため DMARC を導入してもメールなりすましを防止できず、悪意ある攻撃者があなたのドメインから送信されたように見えるメールを送ることを阻止できません。

レポートを受け取るための専用メールボックスを作成する

すべての DMARC レポートを受信したい専用メールボックスを設定する必要があります。
専用メールボックスを用意することで、すべての DMARC レポートを1か所にまとめることができ、管理が容易になり、必要なレポートをすぐに見つけられます。

PowerDMARC の顧客の場合、このステップは不要です。
PowerDMARC では、専用メールボックスを設定することなく、クラウドベースの DMARC レポートアナライザーダッシュボード上でレポートを直接管理・監視できます。
これにより、受信トレイの散乱を防ぐだけでなく、DMARC データを XML 形式から人間が読みやすい情報に変換して簡素化することができます。

ドメインホストからログイン情報を取得する

ドメインのホスティングを自身で管理していない場合、DNS 管理コンソールにアクセスし、DNS 設定を確認できるようにする必要があります。
このステップで問題が発生した場合は、ホスティングプロバイダに問い合わせてサポートを受けてください。

DMARC レコードが既に存在するか確認する

通常、メールサービスプロバイダやドメインホストは DMARC をデフォルトで設定しません。
しかし、DMARC 導入前に、DMARC ルックアップツールを使用して DNS に DMARC の DNS TXT レコードがすでに設定されていないか確認することが推奨されます。
もし過去に DMARC が導入されている場合は、同じドメインに複数のレコードを設定しないようにしてください。
必要であれば、既存のレコードを編集して対応します。

サードパーティのメールベンダーが正しく認証されていることを確認する

多くのサードパーティメールベンダー経由で送信されるメールがSPF や DKIMチェックに合格していないことは、意外に思えるかもしれません。
これは、ベンダー側のアラインメント不足が原因です。

一部のベンダーは、クライアント向けに自動セキュリティ構成を有効にしており、手動でSPF や DKIM を設定する必要がない場合もありますが、すべてのベンダーがそうではありません。
以下は、主要なメールサービスプロバイダで SPF と DKIM を構成するためのガイドです。

1. Mailchimp SPF および DKIM の設定
2. Cloudflare SPF および DKIM の設定
3. SendGrid SPF および DKIM の設定
4. GoDaddy SPF および DKIM の設定

DMARC を 5 つのフェーズで導入する

これで DMARC を導入する準備が整いました。
以下では、最も重要な 5 つの DMARC 導入フェーズについて詳しく説明します。

1.DMARC ポリシーを決定する

DMARC 導入の最初のステップは、ポリシーモードを選択することです。
DMARC ポリシーは、あなたのドメインから送信されたメールがDMARC に失敗した場合に、受信側メールサーバが取るべきアクションを規定します。
以下に各ポリシーを簡単に説明します。

None（p=none）

p=noneポリシーは、実質的に「何もしない」ポリシーです。
メールボックスプロバイダは、メッセージが DMARC に失敗しても、通常どおり受信者にメールを転送します。
理想的には、p=noneが最初に導入すべきポリシーです。
このポリシーではドメイン所有者は DMARC レポートを監視することができます。

Quarantine

このポリシーは、未認証のメールを受信者の隔離（quarantine）フォルダに送ることを意味します。
これにより、受信者はメールが正当なものかどうかを受け入れる前に確認できます。

Reject

これは DMARC 導入の最終的な到達点です。
DMARC で認証されなかったメッセージは一切配信されません。
これらのメールは拒否され、送信者にはバウンスメッセージが返されます。

2.TXT レコードを公開／更新する

DMARC ポリシーを決定したら、DMARC レコードを作成して公開する必要があります。
これは DMARC 導入フェーズの中で最も重要なステップです。

• まず、DMARC TXT レコードを作成します。
  このステップでは、DMARC レコードジェネレーターのツールを使用できます。
  ツールを開いたら、使用したい DMARC ポリシーを選択します。
  

  

• DMARC 集計レポートを受信するために、専用メールボックスのメールアドレスを定義します。
  「Generate DMARC Record」をクリックして TXT レコードを作成します。
  このレコードをコピーします。
  

  

• DNS 管理コンソールで DNS 設定にアクセスします。
• ドメインの DNS に新しい TXT レコードを追加します。
  
  • Record Type（レコードタイプ）：TXT
  • Host（ホスト）：_dmarc
  • Value（値）：（生成したレコード値を貼り付けます）
• 変更を保存します。

PowerDMARC の顧客の場合、セットアップウィザードを使うことで導入は非常に簡単です。
専門家のサポートを受けながら、わずか数分でプロトコルを正しく導入できます。

3.レポートを分析して確認する

DMARC レコードを設定すると、メールボックスにレポートが届くようになります。
DMARC レポートには、SPF または DKIM の認証チェックに合格したメール、失敗したメールに関する詳細なデータが含まれています。

生成されるレポートは Extensible Markup Language（XML）形式の生データであり、そのままでは読みづらい形式です。
PowerDMARC の DMARC アナライザーツールを使用することで、これらのレポートを理解しやすくすることができます。
DMARC レポートデータを利用して以下を行うべきです。

• 送信元の監視
• メールの到達性とトラフィックの監視
• SPF、DKIM、DMARC の失敗を検出し、その原因を調査する

4.強制ポリシーへ段階的に移行する

DMARC を効果的に導入するためには、ポリシーを段階的に変更する必要があります。
これにより、DMARC レポートを収集・分析する時間を確保できます。

p=noneから始めると、すべてのメールが通常どおり配信されますが、メール詐欺に対する保護は提供されません。
数週間レポートを確認した後で、p=quarantineポリシーを導入することができます。
最終的に、未認証メールを拒否しても問題ないと確信できた段階で、p=rejectに設定します。

段階的な DMARC 導入は、「reject」などの強制ポリシー適用時にメール到達性の問題が発生しないようにするために非常に重要です。

5.認証成功率を継続的に監視する

Google と Yahoo の新しいメールポリシーにより、認証成功率を監視することが必須となりました。
メール認証プロトコルが適切に導入されていなければ、メールの到達性やドメインレピュテーションが低下する可能性があります。

信頼できるマネージド DMARC サービスプロバイダである PowerDMARC を利用することが重要です。
PowerDMARC は、これまでに 2000 を超える組織のドメインに対する DMARC 導入を成功に導いてきました。
上記の DMARC 導入フェーズをすべて完了した企業は、メールマーケティングキャンペーンで高い ROI を生み出し、データ漏洩を防ぎ、顧客の信頼を維持する傾向があります。

PowerDMARC が MSP とユーザ向けに DMARC 導入を簡素化する方法

サイバー攻撃からメールドメインを保護しようとする組織にとって、効果的な DMARC 導入は不可欠です。
フェーズに従って段階的に進めることで、複雑で高度なメールベースの脅威に十分対抗できるドメイン構成を整えることができます。

プロセスは最初は複雑で時間がかかるように見えるかもしれませんが、5 ステップガイドと自動化ツールの推奨により、管理しやすくなったと感じていただけるはずです。
PowerDMARC を始めるには、今すぐ DMARC 導入の専門家とのデモを予約してください！