DMARC FOタグの説明：DMARCの失敗レポートオプション

FOタグで見抜く不正メール

2025年2月10日
著者: Milena Baghdasaryan
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 TDMARC FO Tag Explained: DMARC Failure Reporting Options の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DMARCのfoタグは、DMARCプロトコルにおける失敗レポートのオプションを決定します。
これは必須ではありませんが、失敗レポート（RUF）の生成方法を定義する、DMARC認証における重要な要素です。
メール認証を活用することは、メール通信のセキュリティを高めるための簡単で有効な方法です。

DMARC（ドメインベースのメッセージ認証、レポート、整合性）は、メール認証プロセスにおける多数のメール認証プロトコルの1つです。
これにより、ドメイン所有者は報告プロセスをフィルタリングし、ビジネスニーズや要件に応じて調整できます。

重要なポイント

失敗レポートオプションの指定

「fo」タグは、報告すべき認証および整合性の問題の種類を定義するための任意タグです。

さまざまな失敗タイプへの対応

このタグは、4種類のDMARC失敗レポート（fo=0、fo=1、fo=d、fo=s）をサポートします。

さまざまなレポートオプションの組み合わせの可能性

より個別化され、目的に応じた対応を実現するために、複数のfoレポートオプションを組み合わせることが可能です。

ベストプラクティス

サイバー脅威の効果的な防止を確実にするために、失敗レポートを継続的に監視し分析することが重要です。

DMARC FOタグとは何か？

DMARCにおける「fo」タグは、Failure Options（失敗オプション）を意味します。
これは任意のタグであり、報告すべき認証および整合性の問題の種類を決定するのに役立ちます。
これにより、ドメイン所有者はレポートプロセスをフィルタリングし、自社のビジネスニーズや要件に合わせて調整することが可能になります。

DMARC失敗レポートが役立つ理由

DMARCレポートは、その内容と実用的な洞察により役立ちます。

DMARC失敗レポートの内容

DMARC失敗レポートには、認証チェックに失敗したメッセージに関する重要な情報が含まれます。
具体的には、以下の情報が含まれます。

• 送信者のIPアドレス
• 送信ドメイン
• メッセージの送信時刻
• 認証失敗の原因
• SPFおよびDKIMの整合性結果

なぜ重要なのか

これらのレポートは、以下の点で役立ちます

• 正規の送信者がどれだけ認証に失敗しているかを把握する
• なりすましやフィッシング攻撃など、悪意ある活動の試みを検出する(例：なりすましやフィッシング攻撃)
• SPFまたはDKIM設定の誤りや誤構成を見つける
• DMARC導入戦略の有効性を監視し、時間の経過に伴う効果の変化を追跡する

DMARCのFOタグオプションとその意味

「fo」DMARCタグは、4つの異なるオプション（つまり、4種類の特定の失敗レポート）をサポートしています。

fo=0（デフォルトオプション）

このオプションを使用すると、SPFおよびDKIM（すべての基礎となる認証メカニズム）の両方が整合性のある「pass」結果を出さなかった場合にのみ、DMARC失敗レポートが生成されます。 つまり、fo=0は、最も重大な認証失敗に対してのみレポートを生成します。

fo=1（推奨オプション）

このオプションは、SPFまたはDKIMのいずれか（いずれかの認証メカニズム）が整合性のある「pass」結果を提供しなかった場合に、DMARC失敗レポートを生成するよう指示します。 これは、より包括的なレポート方式を提供するため、推奨されるオプションです。

fo=d（DKIM専用オプション）

このfo=dオプションを使用すると、整合性の状態に関係なく、DKIM署名の評価に失敗したメッセージに対して、失敗レポートの生成がトリガーされます。 これは、DKIM関連の問題に特に注目したいドメイン所有者にとって有用です。

fo=s（SPF専用オプション）

この設定は、整合性の状態に関係なく、SPF評価に失敗したメッセージに対してのみ、失敗レポートの作成をトリガーします。 これは、SPF関連の問題に特に注目したいドメイン所有者にとって好まれるオプションです。

複数のフォレンジックレポートオプションの組み合わせ

「fo」タグの優れた点は、複数のレポートオプションを組み合わせられることです。
これにより、ドメイン所有者は自分のニーズに最も適したカスタマイズされたレポート戦略を作成できます。
複数のレポートタイプを指定するには、「fo」タグ内で各オプションをコロン（:）で区切って使用します。

たとえば、オプション0、1、sのレポートを受け取りたい場合は、DMARCレコードに次のように「fo」タグを追加します。

fo=0:1:s

この構成により、以下のレポートが生成されます。

• 完全な認証失敗（0）
• いずれかの認証メカニズムの失敗（1）
• SPF専用の失敗（s）

各失敗レポート設定を使用するタイミング、例とベストプラクティス

DMARC失敗レポートを実装する際には、以下のベストプラクティスを考慮してください。

• 最初はデフォルトの「fo=0」で始めて、システムがすぐにレポートで過負荷にならないようにします。
• 徐々に「fo=1」に移行して、より包括的な洞察を得るようにします。
• DKIMの問題に注目する必要がある場合は「fo=d」を、SPFの情報がさらに必要な場合は「fo=s」を使用します。
• 自身のメール認証目標に合ったオプションを組み合わせて、よりカスタマイズされたアプローチを試みてください。
• 失敗レポートを定期的に監視・分析して、関連する問題に即座に対処できるようにします。

FOタグ付きDMARCレコードの設定方法

1. DMARCレコードを作成する

フォレンジックレポート機能を有効にしてDMARCを設定するには、TXTレコードを作成する必要があります。
このプロセスを自動化するには、DMARCレコード生成ツールを使用することができます。

このDMARCレコードでは、受信サーバが認証チェックに失敗したメッセージをどのように処理すべきかを指定します。
「fo=value」パラメータを使用して、DMARCレコード内に「fo」タグを定義できます。

「fo」タグ付きDMARCレコードの例

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:forensic-reports@example.com; fo=1; pct=100;

2. FO設定を選択する

以下の4つのオプションから選択できます。

fo=0

SPFとDKIMの両方が失敗した場合にのみ失敗レポートを生成します。
このオプションは、最小限のレポートを希望し、不必要なフォレンジックレポートを減らしたい場合に推奨されます。

fo=1

SPFまたはDKIMのいずれかが失敗した場合に失敗レポートを生成します。
このオプションは、認証失敗のトラブルシューティング時に詳細なレポートが必要な場合に役立ちます。

fo=d

DKIMが失敗した場合に失敗レポートを生成します。
このオプションは、DKIM認証に大きく依存している組織に最適です。

fo=s

SPFが失敗した場合に失敗レポートを生成します。
このオプションは、SPFが主要な認証メカニズムである場合に適しています。

3. DNSにDMARCレコードを追加する

「fo」タグを有効にしたDMARCを設定するには、生成されたDMARCレコードをDNSに追加する必要があります。手順は以下の通りです。

• ドメインレジストラのDNS管理コンソールにログインします。
• 自分のドメインのDNS設定に移動します。
• 以下の詳細で新しいTXTレコードを追加します。

ホスト名

_dmarc.example.com（example.comを自分のドメインに置き換えてください）

タイプ

TXT

値

（作成したDMARCレコードの構文）

• 変更を保存し、DNS伝播を待ちます（最大で48時間かかることがあります）。
• DMARCチェッカーツールを使用して、自分のDMARCレコードを確認してください。

DMARC失敗レポートの監視と解釈方法

DMARC失敗レポートは、あなたのドメインに対して試みられたフォレンジックインシデントについての深い洞察を提供することができます。
しかし、それらを読むのは難しい場合があります。
これらのレポートを簡単に監視し、解釈するには以下の内容を参照してください。

専用のメールボックスを使用する

フォレンジックレポートを受信するために、専用のメールアドレスを使用することが推奨されます。
これにより受信トレイの混雑を減らし、より効率的にレポートを監視することができます。

レポートを分析する

フォレンジックレポートはXML（Extensible Markup Language）形式で生成されます。
これに不慣れな場合は、PowerDMARCが提供するようなDMARCレポート解析ツールを使用することができます。
このツールは手動での解釈に代わる優れた手段であり、レポートをより整理された、人間が読みやすい形にしてくれます。

悪意のある送信元を特定する

失敗レポートに含まれる情報を活用することで、あなたのドメインをなりすまそうとする悪意のある送信元を迅速に特定できます。

ポリシーを調整する

最後に、行動に移す時です。あなたのドメインに対するなりすましの試みが確認されたにもかかわらず、
DMARCポリシーが強制されていない場合、それは問題を引き起こします！
DMARCのポリシーを徐々に「p=reject」へ移行することで、メールの脅威を防ぎ始めましょう。

一般的なDMARC FOの問題のトラブルシューティング

DMARCレコードの誤設定

DMARCレコードの構文エラー、必須タグの欠如、不正なフォーマットなど、いくつかの理由により失敗が発生する可能性があります。
公開前にレコードを検証するために、オンラインのDMARCレコードチェッカーを使用することが推奨されます。

FO設定の誤り

フォレンジックレポートが届かない、または不完全なレポートしか届かない場合は、タグ設定の誤りが原因である可能性があります。
これを修正するには、以下を確認してください。

• rufタグが有効なメールアドレスで正しく設定されていること。
• メールプロバイダがフォレンジックレポートに対応していること。
• foの値が、あなたのレポートニーズに基づいて正しく構成されていること。

SPF/DKIM設定エラー

SPFまたはDKIMの失敗が、DMARCレポートの結果に影響する可能性があることに注意してください。
不要な失敗を防ぐために、以下を確認してください。

• SPFレコードに正しい送信IPが含まれていることを確認すること。
• DKIM署名が正しく整合され、DNSに公開されていることを確認すること。
• SPFおよびDKIMをオンライン検証ツールでテストすること。

失敗レポートへの対応

正当な送信者の失敗を分析する

正当な送信者までもが認証に失敗していることに気づいた場合は、直ちに対応してください。
正当な送信者と連携して、彼らのメール構成が正しいことを確認しましょう。
これにより、メール通信の流れが改善され、正当な送信元と不正な送信元の識別がより効果的になります。

DNSレコードを定期的に更新する

DMARC失敗レポートの所見を注意深く確認してください。
その後、包括的なセキュリティフレームワークのために、SPF、DKIM、またはDMARCレコードをそれに応じて調整しましょう。

不正な送信者に対して行動を取る

悪意のある活動や、あなたのドメインの不正使用が確認された場合は、IPアドレスをブロックまたは報告してください。
これにより、データ侵害を防ぎ、全体的なオンラインセキュリティが向上します。

より厳格なポリシーへ移行する

すでに述べたように、DMARCポリシーの厳格さを徐々に高めていくようにしましょう。
リラックスモード（p=none）から、p=quarantine、さらにp=rejectへと移行することで、あなたのドメインに対するサイバー攻撃の成功率を下げることができます。

まとめ

「fo」タグを使用したDMARC失敗レポートの導入は、メールセキュリティ体制を強化するための戦略的な手段です。
適切な失敗レポートオプションを活用することで、ドメイン所有者は認証の問題をより深く可視化し、悪意のある活動を検出し、メール認証戦略を洗練させることができます。

これらのレポートを定期的に監視・分析することで、積極的な調整が可能となり、ドメインを適切に保護できます。
サイバー脅威が年々 少なくとも30％の割合で増加している中で、DMARCポリシーを効果的な失敗レポートと共に微調整することは、通信の信頼性を維持するのに役立ちます。