Skip to content Skip to navigation Skip to footer

DMARCとは?

DMARCの定義

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、Eメールセキュリティプロトコルの一つです。DMARCは、DNS(Domain Name System)、DKIM(DomainKeys Identified Mail)、SPF(Sender Policy Framework)の各プロトコルを用いてEメールの送信者を検証します。

DMARCは、攻撃者が組織のドメインを利用して従業員になりすます「ドメインスプーフィング」の脅威を防ぐために策定された規格です。また、Eメール送信の基本プロトコルであるSMTP(Simple Mail Transfer Protocol)を補完するものであり、Eメール認証を定義・実装する仕組みは含まれていません。

DMARCの仕組みは?

DMARCでは、EメールドメインにDKIMまたはSPFが適用されていること、DMARCレコードがDNSに公開されていることが必要です。DMARCアライメント、識別子アライメントとも呼ばれるDMARCポリシープロセスにより、DKIMやSPFのステータスを確認した上でEメールドメインのポリシーの共有と認証を行います。

SPF DKIM DMARCレコードは、XML(Extensible Markup Language)レポートをレコードに関連付けられたEメールアドレスに送信するようにEメールサーバーに要求します。DMARCチェッカーレポートは、Eメールがシステム内をどのように移動するかについての情報を提供するため、自身のEメールドメインを使用するすべてのトラフィックを識別することができます。

なぜEメールにDMARCを使用するの?

DMARCレコードにより、ドメイン所有者は自身のドメインを不正なアクセスから保護することができます。これは、フィッシング、スプーフィング、ホエーリング、CEO(最高経営責任者)詐欺、BEC(ビジネスメール詐欺)などEメールの脆弱性を悪用したサイバー攻撃を防ぐために非常に重要なことです。

Eメールは、最も広く使われている通信手段の一つです。DKIMとSPFは、送信者を特定し認証するために何年も前から使われています。しかし、送信者のアドレスが正当なものでない場合、Eメールの正当性 を保証することができませんでした。これでは、ドメイン所有者は、自分たちのEメールを完全に制御することができません。このため、DMARCによるEメールセキュリティの必要性が生まれたのです。

DMARCのメリットは?

DMARC認証の使用により、ドメイン所有者はドメインのなりすましを防止することができます。米国では、すべての政府機関および請負業者がDMARCの使用を義務付けられており、その他の国でも公的機関や組織で使用が求められています。

DMARCのメリットは以下の通りです。

評価

ドメイン所有者がDMARCレコードを公開すると、不正なユーザーや第三者によるドメインからのEメール送信を防止し、企業ブランドを保護することができます。

また、DMARCレコードを公開することで、組織の評価が急速に高まる可能性があります。

セキュリティ

DMARCは、Eメールのドメイン所有者に一貫したポリシーを適用し、検証されていないメッセージや不正なメッセージを処理します。その結果、Eメールの利用環境全体が本質的により安全で信頼性の高いものになります。

可視性

DMARCレポートは、ドメイン所有者のEメールプログラムの可視性を向上させます。これにより、誰が自分のドメインからEメールを送信しているのかを確実に把握することができます。

DMARCレコードとは?

DMARCレコードは、DNSテキストレコード(TXTレコード)の特定のバージョンであり、組織またはドメイン所有者のDNSデータベース内に含まれています。完全なDMARCレコードは、例えば「v=DMARC1\; p=none\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100」のようになります。意味は次の通りです。

  1. v=DMARC1: 指定されたDMARCのバージョン
  2. p=none: ドメイン所有者のDMARCポリシーまたはEメールメッセージの優先処理方法
  3. rua=mailto:dmarc-aggregate@mydomain.com: Forensicレポートを送信する必要のあるEメールアドレス
  4. ruf=mailto:dmarc-afrf@mydomain.com: フォレンジックレポートを送信する必要のあるEメールアドレス
  5. pct=100: DMARCポリシー仕様を適用するEメールの割合。この例では、DMARCで認証に失敗したEメールメッセージの100%がサーバーによって拒否されます。

DMARCレコードとは?

ドメインアライメントは、SPFまたはDKIMとEメールメッセージのドメインを一致させるDMARCの概念です。DMARCレコードは、DKIMを「strict alignment」または「relaxed alignment」に変更して、メッセージがDKIM処理をどの程度パスできるかを設定することが可能です。「strict alignment」はEメールのドメインと完全に一致するものを通過させ、「relaxed alignment」はベースドメインが同じであればサブドメインでも通過させます。

DMARC p=ポリシーとは?

DMARCレコードでドメイン所有者が使用するポリシーは、DKIMとSPFの検証に失敗したものの、ドメインからのものであると主張するEメールをどう処理するかを受信メールサーバーに指示します。3つのポリシーがあり、"p=policy "で示します。

None(なし)

「p=none」は、受信側のサーバーに、要件を満たさないEメールを受信しても何もしないように指示します。ただし、DMARCレコードに登録されているEメールアドレスには、Eメールレポートが送信されます。

Quarantine(隔離)

「p=quarantine」は、受信側のサーバーに、要件を満たしていないEメールを隔離するように指示します。Eメールは通常、受信者の迷惑メールフォルダに届きます。

Reject(拒否)

「p=reject」は、受信側のサーバーに、要件を満たしていないEメールを拒否するように指示します。ドメインからのEメールであることが100%保証されたEメールだけが受信トレイに届き、検証に失敗したEメールはすべて拒否されます。

DMARCに関する誤解

DMARCは、送信メールの経路を保護するための重要なツールです。しかし、DMARCについてはいくつかの誤解があるため、これを解く必要があります。

例えば、DMARCは、少なくとも組織外から送信されるEメールに関しては、受信メールのデータストリームを保護しません。DMARCは、組織のドメインから送信されるEメールを保護します。

また、DMARCのポリシーは厳しすぎる可能性があります。特に、Eメールの受信拒否を設定する際は注意が必要です。自動的に多くのEメールを拒否するようなポリシーを設定した場合、正規のEメールを拒否してしまう可能性があります。

DMARCのベストプラクティスとツール

DMARCとは、Domain-based Message Authentication, Reporting, and Conformance(ドメインベースのメッセージ認証、報告および適合性)の略称です。このDMARCの定義、特に「報告」と「適合性」を念頭に置き、ベストプラクティスとツールをご紹介します。

  1. DMARC解析ツールを使用し、取得したレポートの情報をより良く理解する
  2. DMARCを熟知したプロフェッショナルサービスのコンサルタントを利用して、システムを導入する。これによって、彼らの知識と経験を取り入れることができます。
  3. DMARCを利用する際には、サードパーティEメールプロバイダーを含むすべての正当なEメール送信者を時間をかけて特定しましょう。これにより、微調整する際のベースラインを設定することができます

DMARCレポートとは?

DMARCの検証プロセスでは、受信メールサーバーによってDMARCレポートが作成されます。DMARCレポートには2つの形式があり、いずれもDMARCレコードに含まれ、レポートの送信先となるEメールアドレスの前に表示されます。

Aggregateレポート

Aggregateレポートは、Eメールドメインからであると主張するEメールメッセージに関する統計データを提供するXML文書です。これには、認証結果やメッセージ処理などのデータが含まれていますが、機械でのみ読み取り可能です。Aggregateレポートは、ドメインレコードの「rua=mailto」にあたり、任意のEメールアドレスに送信できます。

Forensicレポート

Forensicレポートは、認証に失敗したEメールメッセージのコピーです。これは、ドメインの認証問題のトラブルシューティングや、悪意のあるウェブサイトやドメインの特定に使用することができます。Forensicレポートは、ドメインレコードの「ruf=mailto」にあたり、DMARCレコードが作成されたEメールドメインにのみ送信できます。

DMARCとSPF、DKIM、その他の規格との関係性は?

DMARC、DKIM、SPFは、Eメール認証の異なる要素に関連する規格です。SPFは、送信者が自分のドメインからEメールを送信することを許可するIP(Internet Protocol)アドレスを定義します。DKIMは、デジタル署名と暗号鍵を使用して、Eメールメッセージを検証し、Eメールメッセージが捏造または偽造できないことを保証します。

DMARCは、これら2つの標準を共通のフレームワークに統合したものです。これにより、ドメインの所有者は、自分のドメインからのEメールが認証に失敗した場合にどのように処理されるべきかを指定することができます。

フォーティネットはどのように役立つか

フォーティネットは、包括的なセキュアEメールゲートウェイソリューションであるFortiMailによって、Eメールドメインの所有者とユーザーを保護します。FortiMailは、受信および送信の脅威を検知・防止し、Exchange、Microsoft 365、Google Workspaceなどの一般的なEメールサービスともスムーズに連動します。FortiMailは、ランサムウェアやウイルスなどのマルウェアを検知し、標的型攻撃を防止し、ユーザーによる危険なファイルのダウンロードを阻止します。

FortiMailは、FortiGuard Labsと連携して、1億通以上のユニークなEメールを可視化し、リアルタイムの脅威に対する実用的な情報を提供します。これにより、最新のスパム、マルウェア、ウィルスから組織をいち早く保護します。

FortiMailでフォーティネットのDMARC、DKIM、およびSPFを有効にする方法をぜひご覧ください。