本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/challenges-diy-dmarc-domain-based-message-authentication-reporting-conformance」の翻訳です。
DMARC(Domain-Based Message Authentication Reporting & Conformance)は、信頼されている組織のドメインを偽装した攻撃に対抗するための、送信ドメイン認証技術の一つです。電子メール詐欺攻撃が驚くべき速さで増加する中、多くの組織が従業員、顧客、およびビジネスパートナーを保護するためにDMARC認証を実装しようとしています。
そのときに組織がとる一般的なアプローチの1つは、DMARCを独自に実装・運用することです。これは、外部からの支援なしで内部リソースを活用してデータ管理システムを構築し、DMARCを運用することです。信頼されているドメインを保護するために、DMARCを独自に実装することを検討する際に注意すべき潜在的なリスクがいくつかあります。
正規のメールをブロックしてしまうリスク:
DMARCが完全に展開されると、ドメインを偽装する不正なメールをブロックするために、認証に失敗したメールはすべて自動的に削除されます。このとき、正規の電子メールがブロックされないようにするためには、組織が受信する(および組織から送信される)すべての電子メールと、信頼できるサードパーティから送信される電子メールに対する認証を可視化する必要があります。これは、顧客や外部企業への送信を含む正規の電子メール送信者をすべて識別するための認証の重要な部分です。しかし、認証の可視化の重要性はそれだけではありません。正規の電子メール送信者が適切に認証されているかどうかも、可視化する必要があります。
DMARCの実装・運用には深い専門知識が必要:
DMARCの実装と運用を成功させるためには、深い専門知識を必要とします。DMARCプロジェクトでは、SPF、DKIM、およびDMARCがどのように機能するかについての知識、および認証エラーを解決する方法についての知識を得るために、多大な時間とリソースを投資する必要があります。転送された電子メールの識別、特定の電子メール受信者の複雑さの理解など、導入を成功させるためには深い知識が必要です。
大きなデータセットの保存とレンダリング:
DMARCの運用中に発生する膨大な量のDMARCレポートに対応するのは事実上困難で、大きなデータセットを保存およびレンダリングするためのシステムを構築し、管理する必要があります。また、これらのレポート内にある実用的なインサイトを理解して解釈するためにも、かなりの時間を確保する必要があります。
利害関係者の特定と連絡:
適切なDMARCの実装においては、正当なサードパーティのメール送信者だけでなく、組織内のさまざまな利害関係者を特定して連絡をとる必要がありますが、これは潜在的に非常に時間のかかるプロセスです。しかしこれは、すべてのメールが適切に認証され、正当なメールをブロックしないようにするために必要な作業です。たとえばマーケティングチームが、サードパーティの送信者を使用した大規模なマーケティングキャンペーンを計画していた場合で、その送信者が適切に認証されていない場合、DMARCはキャンペーン全体をブロックしてしまう可能性があります。
継続的なサポートと管理:
ビジネスニーズは時間とともに変化しており、これには組織内外のさまざまなグループで使用されるメールプラクティスが含まれます。メール認証の取り組みを将来にわたってサポートし、外部の送信者が新しく追加されるなどの変更を処理するためには、時間とリソース、そして教育水準の高いDMARCの専門家が必要です。
もっと詳しく
組織が保持する信頼できるドメインに、DIYでDMARCを適用することは可能ですが、正規のメールをブロックするという重大なリスクに組織をさらし、適切な運用のために多くの時間とリソースを割り当てる必要があります。実装や運用に少しでも不安がある場合には、DMARCを実装し、継続的に管理するのに役立つ可視性、ツール、およびサービスを提供するProofpoint Email Fraud Defenseのようなソリューションの利用をご検討下さい。
詳細については、Proofpointの「DMARC入門」をご覧ください