DMARCポリシー - ドメインへのDMARCポリシーの適用

DMARCの概要

「Domain-based Message Authentication, Reporting & Conformance(ドメインベースのメッセージ認証、レポート、適合)」の略であるDMARCは、メール認証プロトコルです。広く導入されているSPFやDKIMプロトコルに基づいて構築されており、送信者と受信者が不正なメールからのドメインを保護し、監視を改善できるレポート機能も追加されています。 

迷惑メール送信者は多くの場合、メール内の「送信元アドレス」を「偽装」または「偽造」し、ユーザーのドメインから送信されたかのように表示します。ドメインを使用したこの種の不正使用を防止し、他の受信者ドメインに送信ドメインポリシーを通知するために、DMARCレコードを公開できます。このレコードを使用すると、DMARC標準を使用するメールサービスで未認証のメールを処理できます。これは、ユーザーのドメインを使用した「フィッシング」攻撃を抑制し、ドメインの評判を保護するのにも役立ちます。  

DMARCを公開する前に

DMARCポリシーでは、送信者がSPFやDKIMでメールが保護されていることを示し、SPFとDKIMの両方でメッセージの検疫や拒否などのチェックが失敗した場合の処理を受信者に指示できます。DMARCでは、受信者が失敗したメッセージをより適切に処理できるようにするため、最終的な受信者がそのようなドメインを使用した偽装メールにさらされることを軽減または解消します。DMARCでは、メール受信者がメールのDMARC評価の合格/失敗について送信者に報告する方法も提供します。

DMARCポリシーでは、自分のドメインを使用してすべてのメールを送信した場合にのみ有効になります。ユーザーのドメインに代わって外部サービス経由で送信されたメールは、認証されておらず、公開されたDMARCポリシーに基づいて拒否される場合があります。外部サービスプロバイダー経由のメールを認証するには、ヘッダーに含まれるDKIMキーを共有するか、すでに認証済みのDKIMキーとSPFレコードが発行されているSMTPサーバー経由でメールを送信する必要があります。 

DMARCポリシーを公開する前に、自分のドメインにSPFレコードDKIMキーを設定する必要があります。DMARCポリシーではSPFとDKIMキーに基づいて、メールの信頼性を保証します。ドメインのメールアドレスを使用したメールがSPFテストやDKIMテストに失敗すると、DMARCポリシーがトリガーされます。 

DMARCポリシーの公開

DMARCポリシーを公開するには、DNSに次の形式でTXTレコードを作成する必要があります。 

TXTレコードの名前:

_dmarc.yourdomain.com ドメイン名を「yourdomain.com」に置き換える必要があります。

TXTレコード値: 

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

p=noneは、推奨される基本ポリシーです。後でp=quarantineに変更し、p=rejectに変更できます。 

DMARCポリシーの段階的な展開

DMARCポリシーを段階的に展開することを強くお勧めします。段階的に展開するには、パラメーター「p」を「なし」から「検疫」に変更し、最後に「拒否」に変更してください。同様に、第2段階または(検疫段階)と第3段階(拒否段階)では、オプションのパラメーター「pct」を使用して、検疫または拒否されるメールの割合を管理できます。 

第1段階:レポートとトラフィックの監視 

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

この段階では、ポリシーをp=noneに設定できます。これにより、ポリシーで指定されたメールアドレスに違反の報告が送信されます。レポートには、メールの異常、署名されていないメールの送信元、なりすましの疑いのあるメールに関する情報が表示されます。送信元を確認して、正当な場合はSPFレコードに有効なIPアドレスを含めることも、DKIMで送信元を設定することもできます。有効な偽装メールのみを含むレポートを見つけたら、ポリシーを「検疫」に変更できます。 

第2段階:メールの検疫と分析

"v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com"

この段階では、ポリシーをp=quarantineに設定できます。これにより、ポリシーで指定されたメールアドレスのユーザーに違反レポートが送信され、そのようなメールは「検疫」に送信されます。検疫のメールを監視し、検疫からのメールを承認または拒否できます。レポートを再表示したり、検疫されたメールを監視したりすることもできます。

また、DMARC TXTレコードテンプレートの「pct」パラメーターを使用して、ポリシーの第2段階で影響を受けるメールの割合を指定し、展開を完了するためにその割合を少しずつ増やして100%にすることもできます。重要なのは、メールレポートを定期的に監視して、有効なメールが拒否されたり影響を受けたりしないようにすることです。

"v=DMARC1; p=quarantinepct=20; rua=mailto:admin@yourdomain.com" 

上記の例では、偽装と思われるメールのうち20%のみが検疫され、残りのメールの詳細はレポートのみに記載されます。 

TXTレコードを上記の例に変更し、pctパラメーターを削除すると、DMARCポリシーに失敗したすべてのメールが拒否されます。 

偽装されたメールのみが拒否され、すべての有効なメールには署名があると確信したら、ポリシーを「拒否」に変更して、DMARCを完全に展開できます。 

第3段階:なりすましメールを拒否する

"v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"

この段階では、ポリシーをp=rejectに設定できます。ユーザーのドメイン名を使用して偽装されたメールは、この変更を行った後に拒否されます。拒否されたメールは、TXTレコードに入力されたメールアドレスに送付されたメールの受信レポートで追跡できます。 

この記事をシェアする : FacebookTwitter

必要な情報は見つかりましたか?

メールお問い合わせ窓口: support@zohomail.com