DMARC (Domain-based Message Authentication Reporting & Conformance) は、企業のドメインがなりすましメールに悪用されないよう保護するセキュリティ技術です。急速に拡大するメール詐欺の大部分がドメインの偽装であることから、多くの組織がDMARC認証を導入し、自分たちになりすましたメールを阻止しようとしています。実際に米国国土安全保障省は、すべての民間連邦機関が最優先でDMARCを導入することを義務付け、民間企業にもDMARCの導入を検討するよう促しています。
DMARCは設定が難しく、正しいメールを間違えてブロックしてしまうなどのリスクもあるため、多くの企業はいまだに導入していません。企業や機関がドメインを保護できるようにするために、DMARC認証を導入する際にありがちな5つの間違いをまとめました。
間違い1:メールの送受信サービスの内容を把握していない
ほとんどの企業では、業務支援ツール(サードパーティを含む)が利用者に代わってメールを送信しています。特に、マーケティング・営業・人事など、組織内のさまざまな部門が業務支援ツールを使用している場合、すべての送信手段を特定することは困難です。しかし、手段ごとにメールの送信権限を与えない限り、重要なコミュニケーションがブロックされ、混乱をまねく可能性があります。管理者は、すべての部門の関係者に情報を提供し、DMARC導入に協力してもらうようにしなければなりません。
間違い2:サブドメインに独自ドメインのポリシーを継承している
典型的な失敗として、独自ドメイン (例:acme.com) へDMARCを導入することに注力してしまい、サブドメイン (例:mail.acme.com) のそれぞれに固有のポリシーを設定することを見落としていることがあります。独自ドメインに展開されたDMARCポリシーは、サブドメインに自動的に継承されます。これは、すべてのサブドメインが個別に記述されない限り、意図せずに安全なメールを間違えてブロックしてしまう可能性があります。
間違い3:DMARCレコードを活用できる解析システムやツールを導入していない
メール受信側のプロバイダから送られてくるDMARC集計レポートには、メール環境に関する重要な情報が含まれていますが、一目で理解できるものではありません。データは、整理して価値を提供できるようになるまで、ただの文字列にすぎません。さらに、送信される膨大な量のレポートのすべてに目を通し、すべての情報を参照しようと試みるのは困難を極めます。特に、DMARCを迅速かつ適切に設定しようとしている場合には、解析ツールの導入を検討してください。
間違い4:SPFとDKIMのアライメントを理解していない
DMARCアライメントは、ドメインの照合関係を指し、次のような手順でヘッダーの差出人 (Header-From) のなりすましを防ぎます。
- 「Header-From」ドメイン名を、SPF (送信ドメイン認証) で使用された「MFROM (MAIL FROM)」ドメイン名と一致させる。
- 「Header-From」ドメイン名を、DKIM(電子署名認証)の「d=<ドメイン名>」と一致させる。
適切なアライメントにより、送信者の身元をドメインに関連付けて認証していることが確認できます。ただし、サードパーティのメール送信ツールには、さらなる課題があります。例えば、サードパーティのベンダーは独自の「MFROM」ドメインを持っていることが多いです。そのため、SPFを通過することはできますが、SPFアライメントではブロックされてしまいます。DKIMも同様です。サードパーティのベンダーはDKIMを通過できますが、DKIMアラインメントは通過できません。
間違い5:不適切なDMARC構文または内容での使用
DMARCレコードの設定方法を目にする機会はありますが、明確さは欠けているかもしれません。 また、不適切なフォーマットや内容を使用し、ポリシー値が間違っていることもよくあります。以下に、このような問題を避けるために覚えておくべき重要なポイントを挙げます。
- 「_dmarc」を必ず用いる
- 複数のアドレスでレポートを受信したい場合は、カンマで区切り、カンマの後にスペースを入れず、2番目のアドレスを「MailTo」で始める
- 正しいポリシー値を使用する (例:"monitor "の代わりに "none "を使用)
- 誤字脱字をチェックする
もっと詳しくDMARC 導入について知る
DMARC認証は、企業がメール詐欺を防ぐのに有効なツールです。DMARCの実装は容易ではありませんが、フィッシング詐欺やなりすましなどのメール攻撃をブロックすることで得られるメリットは数多くあります。Proofpoint Email Fraud Defenseは、お客様が迅速かつ確実にDMARCを導入できるように、最適なツールとサービスを提供します。今すぐDMARC導入ガイドをダウンロードしてください。
