DMARC Best Guess Passの判定理由と、DMARCレコード設定による解決をイメージした画像

「DMARC Best Guess Pass」とは?意味と対処方法


著者: Yunes Tarada
翻訳: 東條 百々朱

この記事はPowerDMARCのブログ記事 “DMARC Best Guess Pass” Explained: What It Means and How to Fix It の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。


主なポイント

  1. 「Best Guess Pass」は、メール認証レポートで使用される非公式な用語であり、SPFおよび/またはDKIMの認証には成功しているものの、DMARCレコードが存在しないことを示します。
  2. この用語は、DMARCの正式仕様(RFC 7489)では定義されていません。
  3. Microsoft Exchange Online Protectionでは、送信元ドメインとのアライメントが成立していることを示すために使用されています。
  4. Gmailなど一部のメールプロバイダでは、主にSPFレコードが存在しない場合に「Best Guess」の仕組みを適用します(DMARCとは別の仕組みです)。
  5. 「Best Guess Pass」が表示されることは、DMARCレコードが設定されていないというセキュリティ上のギャップを意味します。
  6. 「none」「quarantine」「reject」のいずれかのDMARCポリシーを設定したDMARCレコードを公開することで、この問題を防ぎ、ドメイン保護を強化できます。

「Best Guess Pass」は正式なDMARC判定結果ではなく、DMARC仕様(RFC 7489)では定義されていません。
この用語は、Microsoft Exchange Online Protectionなど一部の受信メールサーバが、SPFまたはDKIMの認証には成功している一方で、DMARCレコードが存在しないメールを処理する際に使用する表現です。
この場合、受信サーバは認証自体は有効であると判断し、「DMARCが設定されていれば、このメールはDMARC認証にも合格していた」と判断して、「Best Guess Pass」と表示します。

「Best Guess」という表現は本来SPFで使われることが多いものですが、DMARCレポートでこの表示が出る場合は、DMARCポリシーが設定されていないことを示しています。
このギャップを理解することは、メールセキュリティを向上させるうえで非常に重要です。
混同しないよう注意してください。

通常のDMARCの動作

「Best Guess Pass」を理解する前に、通常のDMARCの動作を確認しましょう。
DMARCは以下の2つのメール認証方式を利用します。

SPF
SPFは、どのIPアドレスが自分のドメインからメールを送信できるかを定義するDNSレコードです。
SPFレコードがない場合は、無料のSPF生成ツールを利用して作成できます。
既にSPFレコードが存在する場合でも、SPFレコードチェッカを使用して設定内容を確認することをお勧めします。
DKIM
DKIMは電子署名を利用し、メールが配送中に改竄されていないことを確認します。
DKIMの設定にはDKIMレコード生成ツールDKIMレコードチェッカが役立ちます。
DMARCは、SPFまたはDKIMの少なくとも一方が認証に成功するだけでなく、その認証済みドメインが「From」アドレスのドメインと一致(アライメント)しているかどうかを確認します。

その結果、DMARCに対応した受信メールサーバは次のいずれかの正式な判定を返します。

DMARCポリシーは、その後の処理方法を指定します。

p=none
監視のみを行います。
メールは通常どおり配送されます。
このモードでは、DMARC集計レポート(Aggregate Report)の取得が主なメリットです。
p=quarantine
認証に失敗したメールを迷惑メールフォルダへ振り分けます。
p=reject
認証に失敗したメールを受信時に拒否します。

「DMARC Best Guess Pass」はなぜ発生するのか?

「Best Guess Pass」は通常、DMARCレコードが存在しないものの、SPFまたはDKIMの認証が成功した場合に表示されます。
一般的な流れは次のとおりです。

  1. 正規の送信者がメールを送信します。
  2. SPFまたはDKIMは正しく設定されており、認証に成功します。
  3. 受信サーバはSPFまたはDKIMの認証結果とアライメントを確認します。
  4. 続いてDMARCレコードを検索します。
  5. DMARCレコードが見つかりません。
  6. 受信サーバはSPFまたはDKIMの認証結果を基に、「DMARCが設定されていればPassになっていた」と判断してメールを配送し、ログにはdmarc=bestguesspassのように記録されます。

これはあくまでフォールバックの仕組みです。
DMARCレコードが存在しないだけで正当なメールを拒否しないための仕組みですが、同時に設定漏れを示す警告でもあります。

「Best Guess Pass」が問題である理由

「Best Guess Pass」に依存することは危険であり、DMARCが本来果たすべき役割を十分に発揮できません。

混乱を招く
正式なDMARC判定ではないため、レポートを誤解する可能性があります。
DMARCが設定されていないにもかかわらず、保護されているように見えてしまいます。
セキュリティの可視性が低下する
DMARCポリシーが存在しないため、ドメインなりすましやスプーフィングに関するDMARCレポートを受け取ることができません。
つまり、自分のドメインが悪用されていても把握できません。
フィッシングやスプーフィングを防げない
p=quarantinep=rejectが存在しないため、攻撃者は依然としてドメインを偽装したメールを送信できる可能性があります。
また、多くのメールプロバイダは「Best Guess」を実装していないため、不正メールを拒否するための指示を受け取ることができません。

「DMARC Best Guess Pass」の解決方法

解決方法はシンプルです。
DMARCレコードを公開することです。

1.SPFとDKIMを正しく設定する
DMARCレコードを公開する前に、SPFとDKIMが正しく設定されていることを確認してください。
すべての正当なメール送信サービスを含める必要があります。
2.ドメインアライメントを確認する
SPFのReturn-Pathドメイン、またはDKIMのd=ドメインが、Fromアドレスのドメインと一致していることを確認してください。
3.DMARCレコードを公開する
最初は監視モードから開始することをお勧めします。
v=DMARC1; p=none; rua=mailto:your-dmarc-reports@example.com;
このTXTレコードを以下へ登録します。
_dmarc.yourdomain.com
4.DMARCレポート解析ツールを利用する
DMARCレポートはXML形式で送られるため、人がそのまま読むには扱いにくい形式です。
DMARC管理ツールやDMARC管理プラットフォームを利用すれば、ダッシュボードやグラフ、分析レポートとして分かりやすく確認できます。

「Best Guess Pass」を防ぐためのベストプラクティス

DNSレコードを定期的に監査する
SPF、DKIM、DMARCが正しく設定されていることを定期的に確認してください。
DMARCレポートを毎日確認する
新しい送信元や認証失敗を早期に発見できます。
ポリシーを段階的に強化する
すべての正当なメールがDMARCに合格していることを確認したら、

p=none
p=quarantine
p=reject
の順に段階的に移行します。
IT・セキュリティ担当者を教育する
DMARCレポートの読み方や、異常を発見した際の対応方法を理解しておくことが重要です。

まとめ

「Best Guess Pass」は、安全なメールを意味するものではありません。
むしろ、「DMARCによる保護が不十分である」という警告です。
現在は、一部のメールプロバイダによる「推測(Best Guess)」に基づいてメールが処理されている状態です。

ドメインの評判とセキュリティを自ら管理するためには、正式なDMARCレコードを公開し、DMARCを適切に運用する必要があります。
PowerDMARCでは、DMARCの導入から監視、運用までを一元的に支援しています。
ぜひお気軽にお問い合わせください。

よくある質問

なぜレポートに「Best Guess Pass」が表示されるのですか?
主にMicrosoft 365やExchangeのレポートで表示されます。
これは、送信ドメインにはSPFまたはDKIMが設定されているものの、DMARCレコードが存在しないことを意味します。
受信側システムが「DMARCが設定されていればPassになっていた」と推定しているため、このような判定が表示されます。
「Best Guess Pass」はセキュリティリスクですか?
はい。
これは、DMARCポリシー(quarantineまたはreject)が設定されていないことを意味します。
そのため、受信側に不正メールの拒否や隔離を指示することができません。
「Best Guess Pass」を表示させない方法はありますか?
送信ドメインの所有者が、有効なDMARCレコードをDNSに公開する必要があります。
自分のドメインであれば、本記事で紹介した手順に従ってDMARCレコードを設定してください。
「Best Guess Pass」はメールが安全という意味ですか?
いいえ。
これは、DMARCによる重要な保護機能が設定されていないことを意味します。
適切なDMARCレコードが公開されていない限り、そのドメインはDMARCによる十分な保護を受けているとは言えません。