MailData

DMARC Quarantineとは? p=quarantineポリシー - [解説済み]

DMARC Quarantineとは? p=quarantineポリシー - [解説済み]

p=quarantineの処理を理解する

2025年1月14日
著者: Yunes Tarada
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 What Is DMARC Quarantine? p=quarantine Policy [EXPLAINED] の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARC Quarantineは、pタグが「quarantine」に設定された場合の隔離ポリシーです。
これは、メールがスパムとしてタグ付けされ、その後ドメイン所有者に転送される ことを意味します。
この設定により、多くのなりすましドメイン(スプーフィングドメイン)を事前に検出できます。

このガイドでは、DMARC Quarantineとは何か、そして「p=quarantine」ポリシーでDMARCがどのように動作するのかを解説します。

DMARC Quarantineは、3つのDMARCポリシーのうちの1つです。
(他の2つは「p=none」と「p=reject」)
このポリシーは、DMARC認証に失敗したすべてのメールを、受信者のスパムフォルダ(迷惑メールフォルダ)に振り分けるよう受信サーバに指示します。

DMARCポリシーを「p=quarantine」に設定すると、メールサーバに対して「DMARC認証に失敗したメールは隔離するように」指示することになります。
「隔離(Quarantine)」とは、メールが受信者に届くものの、通常の受信トレイではなく、スパムフォルダ(または「迷惑メール」フォルダ)に振り分けられることを意味します。

こちらのGmailでスパムフォルダを確認する方法で確認できます。

以下は、Quarantineポリシーを設定したDMARCレコードの例です。 


v=DMARC1; p=quarantine; rua=mailto:dmarc-agg@example.com;

重要なポイント

  1. DMARC Quarantineを有効にすると、認証に失敗したメールが「疑わしい」と判断され、スパムフォルダに振り分けられます。
  2. Quarantineポリシーを設定したDMARCレコードは、メールプロバイダーに対し、未認証のメールを慎重に取り扱うよう指示します。
  3. Quarantineポリシーは、正当なメールを失うリスクを軽減し、受信トレイの安全性を維持するのに役立ちます。
  4. メールを隔離することで、送信者が疑わしいメッセージを確認でき、なりすまし対策の追加のセキュリティ層を提供します。
  5. 隔離(Quarantine)アクションの適用割合を設定することで、組織はセキュリティと正当な通信を見逃すリスクのバランスを取ることができます。

DMARC Quarantineポリシーの実行方法

Quarantineポリシーとは、あなたから送信されたメッセージを受信したメールプロバイダーが、DMARCを参照して、そのメッセージがDKIMまたはSPF認証を通過しているかどうかを確認することを意味します。
また、アドレス内のドメインが、SPFまたはDKIMの識別子アライメント内にあるドメインと一致しているかどうかも確認します。

これらの基準が満たされている場合、メールプロバイダーはメッセージをユーザーの受信トレイに配信します。
しかし、これらの基準が満たされていない場合、メールプロバイダーはメッセージをスパムフォルダに振り分けるか、完全に拒否します。

Quarantineポリシーの動作をステップバイステップで分析する

  1. メールが送信されると、受信側のサーバがDMARCレコードの存在を確認する。
  2. メッセージがSPFまたはDKIMを通過しなかった場合、DMARCチェックの一環としてドメインアライメント(Domain Alignment)パラメータを評価する。
    ドメインアライメントとは、メールの送信元ドメインがSPFレコードやDKIM署名内のドメインと一致しているかどうかを指します。
  3. DMARCポリシーに基づき、メールの送信ドメインとの整合性(アライメント)の度合いに応じて処理を決定する。
  4. 送信者が認証に成功した場合、メールは通常通り受信トレイに配信される。
  5. 認証が不完全または失敗した場合、DMARCポリシー(今回の場合はp=quarantine)が適用される。
  6. DMARCの「p=quarantine」ポリシーは、受信サーバに対し、DMARC認証に失敗したメールを「疑わしい」として扱うよう指示します。
    これらのメールはユーザーの受信トレイには直接配信されませんが、完全に破棄されることもありません。
    代わりに、スパムフォルダ(迷惑メールフォルダ)に振り分けられるか、何らかの警告が付加され、ユーザーがそのメールが正規のものでないことを認識できるようになります。

DMARC Quarantineポリシーの重要性

DMARCは、メールのなりすまし(スプーフィング)を防ぐための効果的なツールであり、Quarantineポリシーはシステムに大きな変更を加えずに受信トレイを安全に保つための優れた方法です。
「p=quarantine」を設定すると、「From」フィールドに自分のドメイン名が含まれていないメール(またはその他の指定した基準を満たさないメール)は、デフォルトで隔離(Quarantine)される よう受信メールサーバに指示します。

スパマーが「admin@yourdomain.com」というアドレスからメールを送信しようとしても、DKIMまたはSPFで署名するために必要な情報を持っていない場合、そのメールは受信トレイには届かず、隔離されます。
これにより、不要なスパムメールから受信トレイを保護することができます。

さらに、Quarantineポリシーは「誤検知(False Positive)」を減らすメリットもあります。
これは、あらかじめ設定した基準を満たさないメールを隔離するだけなので、悪意のあるメールと正当なメールを手動で識別する必要がないためです。

DMARC Quarantineの例とその重要性の解説

あなたがACME社の人事担当者(HR) だとします。
ある日、上司から「Dynamic Corpというベンダーの銀行口座に1,000ドルを振り込んでほしい」というメールが届きました。

あなたはこのベンダーの名前を聞いたことがなく、そもそも会社がベンダーと取引をしているかどうかすら分かりません。
しかし、メールは上司のアドレスから送信されており、不審なアカウントではないため、正当な依頼だと判断し、振込を実行します。

翌日、上司から「なぜDynamic Corpに1,000ドルを送金したのか?」と聞かれます。
あなたは「上司の指示だと思った」と答えますが、実は上司になりすました第三者が送った偽メールだったのです!
上司はそんな依頼をした覚えはなく、詐欺に引っかかったことが発覚しました。

DMARC Quarantineポリシーがあれば、このような事態は発生しません。
もしACME社がDMARCプロトコルを使用し、Quarantineポリシーを設定(DMARC TXTレコードを公開)していた場合、ACMEのドメインをなりすましてHR部門からのメールを装ったメッセージが送信されても、受信者のメールボックスはそのメールをスパムまたは迷惑メールとしてフラグ付けし、問題が発生する前に未然に防ぐことができます。

DMARCレコードにおける推奨されるQuarantineの割合

DMARCレコードを設定する際、Quarantineアクションによって正当なメールが失われる可能性があることを考慮することが重要です。
ここで役立つのがパーセンテージの指定です。
この値は、受信メールサーバに対し、どの割合のメールをスパムとして扱うべきかを指示します。
例えば、100通のメールのうち[x]通だけがQuarantineの対象となります。

小規模な組織では、DMARCチェックに失敗したメールのうち10%がQuarantine(スパム扱い)される設定を推奨します。 この設定では、10通に1通だけがスパムとして隔離されるため、正当なメールを失うリスクを抑えながら、DMARCの動作をテストできます。

大規模な組織には、より低い割合(約1%)の設定を推奨します。
大規模な組織では、DMARC認証に失敗したメールが100通のうち1通の確率でスパムとして隔離(Quarantine)される設定 となります。

大規模な組織を運営する場合、送信者をIPアドレスやドメイン名のみで信頼しなければならないケースがあります。
例えば、オフィスビルが共有スペースにあり、すべてのテナントが同じIPアドレスを使用している場合などが該当します。
そのため、Quarantineの適用率を低く設定することで、正当なメールがブロックされるリスクを最小限に抑えることが重要です。

以下は、Quarantineの割合を10%に設定したDMARCレコードの例です。 


v=DMARC1; p=quarantine; pct=10%; adkim=r; aspf=r; rua=mailto:dmarc-agg@example.com;

pct= は、DMARC Quarantineポリシーの適用対象とするメールの割合を指定するタグです。
pct=100 の場合、すべてのメールがQuarantineポリシーの対象 になります。
pct=10 の場合、10通のうち1通だけがQuarantineポリシーの対象 になります。

p=none VS p=quarantine VS p=reject

p=none(モニタリングのみ)
受信サーバは送信元ドメインのメールを監視するが、不正なメッセージをブロックしない。
詐欺メールを防ぐ効果はないが、不正なメールがどれくらい送られているかを把握するのに適している。
DMARCを導入する初期段階での監視目的に最適。
p=quarantine(スパムフォルダへ隔離)
SPFまたはDKIMの認証に失敗したメールを受信者のスパムフォルダに振り分ける。
正当なメールがブロックされるリスクを抑えつつ、不正メールの影響を軽減できる。
「すぐにブロックはしないが、不審なメールは目に入らないようにしたい」場合に適している。
p=reject(完全拒否)
SPFまたはDKIMの認証に失敗したメールを完全に拒否し、受信トレイにもスパムフォルダにも届かない。
なりすましメールやフィッシング詐欺を最も効果的に防ぐことができる。
正当なメールが誤って拒否されるリスクがあるため、事前に十分なモニタリング(p=none)やテスト運用(p=quarantine)が推奨される。

DMARCについて詳しく知りたい場合、PowerDMARCはプロセスを支援するためのさまざまなツールを提供しています。
これには、現在のDMARCレコードを要約し、既存の問題を検出するDMARC XMLリーダーや、自分のドメイン用のSPFレコードを無料で作成できるSPFジェネレーターが含まれます。