DMARCとは
SPFとDKIMの認証不適合の明示的処理通知と監査
DMARCとは、Domain-based Message Authentication, Reporting and Conformanceの略で、既存の電子メール認証機構であるSPFとDKIMを拡張したもので、メールドメインの所有者にメールのなりすまし送信を防ぐ機能を提供するためのプロトコル仕様です。
DMARCには、3つの大きな役割があります。
- SPFやDKIMに違反したメールをどう扱うかのポリシーを送信側ドメインが指定する
- Fromアドレス詐称を検出する(DMARC Alignment)
- メールの監査に必要なレポートを受信する
SPFやDKIMに違反したメールをどう扱うかのポリシーを送信側ドメインが指定する
DMARCは、MTAやMDAと連動し、SPFやDKIMの機構と連動して動作します。
SPFやDKIMの認証方法のいずれも合格しなかった場合、DMARCを設定していないと、メール受信側が、合格しなかったメールをどうするか決めます。
DMARCを設定すると、送信側ドメインが、受信先のメールシステムに対して、合格しなかったメールの処理を指示する事が可能になります。
- p=none
- 認証に失敗したメールに対して、何もしないよう受信サーバに指示。違反があった場合はDMARCレコードのmailto:にレポートを送信。
- p=quarantine
- 認証に失敗したメールを隔離するよう受信サーバに指示。迷惑メールフォルダに振り分けられる。
- p=reject
- 認証に失敗したメールは無条件に拒否するよう受信サーバに指示。100%認証に成功したメールのみが受信トレイに到達し、それ以外は削除。
これらのポリシーは、テキストのTXTレコードとしてDNSに登録し、公開します。
Fromアドレス詐称を検出する(DMARC Alignment)
企業側がきちんとSPFとDKIMを設定したとしても、なりすましメールを送る事は可能です。
なりすましメールを送る側が、自分のドメインでSPFとDKIMを設定して、Fromアドレスをなりすますドメインのものに書き換えれば良いのです。
Fromアドレスは、簡単に書き換える事が出来ます。
DMARCは、Fromアドレスが送信元ドメインと合致しているかどうかを確認して、Fromアドレスの詐称をチェックします。
- Return-Pathに記載されたドメインとFromアドレスとの照合
- DKIMのd=に設定されたドメインとFromアドレスの照合
この仕組みによって、Fromを詐称したメールを弾く事が可能になります。
メールの監査に必要なレポートを受信する
DMARCには、自社のドメインのアドレスでどのくらいの通数のメールが受信されているかを確認するためのレポート機能があります。
送信されたメールではなく、受信されたメールであることに注目して下さい。
これによって、勝手になりすましメールを送られても、受信側からレポートされるので、把握が可能になります。
- RUA
-
"Reporting URI(s) for aggregate data"の略。
メール受信側から、受信したメールについて、SPF、DKIM、DMARC Alignmentに合格したかどうかのデータがXMLで送られる。 - RUF
-
"Reporting URI(s) for failure data"の略。
メール受信側から、受信したメールについて、SPF、DKIM、DMARC Alignmentに不合格だったメールのヘッダ情報がXMLで送られる。
現在、対応しているプラットフォームが少なく、Microsoftからは送られてくるが、Googleからは送って来ない。
SPF、DKIM、DMARCの3点セットを設定して、なりすましメール対策になります。
どれか一つでも設定できていないと、なりすましメールを防ぐ事ができません。
では、受信者側は、毎度、この3点セットがきちんと設定されていることを、確認しなくてはいけないのでしょうか?
それは、面倒ですよね。
この3点セットを設定しているメールでなりすましメールではない事を一目で確認できるようにしたのが、BIMIという仕様です。