DMARCとは?その仕組みと設定方法、SPFやDKIMとの関係

30日間無料トライアルを試す

DMARCとは?

DMARC (Domain-based Message Authentication Reporting and Conformance、読み方:ディーマーク) は、Eメールに関わる主要な組織によって策定され、2012年2月に発表された送信ドメイン認証技術です。ビジネスメール詐欺 (BEC / Business email compromise) やフィッシング攻撃、なりすましメールなどの攻撃に対して、現時点で最も強力でプロアクティブに防御ができる武器の1つです。

DMARCは既存の標準技術であるSPF (Sender Policy Framework) およびDKIM (DomainKeys Identified Mail) をベースにしており、 メールに表示される送信元アドレス「Header-from」ドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初の標準技術で、現時点で広く運用されている唯一の技術です。

ドメイン所有者は、ドメインネームシステム(DNS)でDMARCレコードを公開し、認証に失敗したメールをどうするかを受信者に伝えるためのポリシーを作成することができます。

メーラーに表示されるメールアドレスが本物だとは限らない

メールを用いた攻撃の種類

  • ドメインのなりすまし: 攻撃者が企業のドメインを詐称して、メールを正当なものに見せかける行為。
  • メールのなりすまし: メールを使ったなりすまし行為の総称。
  • ビジネスメール詐欺 (BEC / Business email compromise): 金銭や機密情報の送信を要求するために、組織内の上司や取引先企業などになりすまして送られてくるメール詐欺。
  • なりすましメール: 第三者になりすまして送信されるメール。
  • メールフィッシング: 被害者にマルウェアをインストールさせたり、認証情報を入力させようとするメールの総称。フィッシングメールは、正当なものであるように見せるために、見慣れたブランドを悪用することが多々あります。
  • 消費者向けフィッシング: 企業になりすまして、認証情報を窃取する目的で消費者に送信されるメール。
  • パートナー企業を狙ったフィッシング: サプライチェーンのパートナー間で行われるビジネスに基づいたなりすましメール。
  • 富裕層を狙ったフィッシング: 多額の金銭的利益を得ることを目的として、組織内の上級社員を狙って送信される詐欺メール。

メール認証の種類

  • DMARC (Domain-based Message Authentication Reporting and Conformance): なりすましメールを検知して防止するメールの検証の仕組み。フィッシングスパムメールでよく使われる、正当な組織から送信されたように見せかけて送信者アドレスを偽装したメールなどを阻止するのに役立ちます。
  • SPF (Sender Policy Framework): メールを検知およびブロックするために設計されたメール検証の仕組み。 これによりメールの受信プロバイダは、受信メールがそのドメインの管理者によって承認されたIPアドレスから送信されたものであることを確認することができます。
  • DKIM (DomainKeys Identified Mail): 電子署名を用いて送信ドメインの認証をおこなう仕組み。攻撃者はメールコンテンツを改変(例えば振り込み依頼であれば攻撃者の口座情報に変更) し、受信者をだますことがあります。DKIM を使用することで、受信側がコンテンツが改ざんされていないかを検証することができます。

SPFとDKIMの仕組み

SPF (Sender Policy Framework) はメール送信ドメインの認証技術のひとつで、送信者のドメインの詐称を防ぎ、送信ドメインの正当性を検証することができます。SPFにより、ドメインの所有者がそのドメインからメールを送信するために使用するメールサーバを指定することができます。メールを送信する企業は、ドメインネームシステム(DNS)でSPF レコード(TXT RR)を発行します。このレコードリストには、そのドメインを利用してメールを送信することが許可されているIP アドレスが含まれています。

メールの受信者は、DNS内の「Envelope from (Mail From, Mfrom, Return-Pathなどとも表記) 」ドメイン名を調べてSPFレコードを検証します。このドメインを利用してメールを送信しているIP アドレスがSPFレコードに記載されていない場合、そのメッセージはSPF認証に失敗します。

SPFで保護されたドメインは、攻撃者にとって魅力的でなくなるため悪用されることが少なくなり、結果としてスパムフィルタによってブラックリスト化されにくくなります。

DKIM (Domain Keys Identified Mail) は電子署名を用いて送信ドメインの認証をおこなう仕組みです。

攻撃者はメールコンテンツを改変( 例えば振り込み依頼であれば攻撃者の口座情報に変更) し、受信者をだますことがあります。DKIM を使用することで、受信側がコンテンツが改ざんされていないかを検証することができます。送信者は、メールのどの要素を署名プロセスに含めるかを決定します。メッセージ全体(ヘッダーと本文)を含めるか、メールヘッダーの1 つ以上のフィールドだけに集中するかを決めることができます。DKIM 署名の対象要素が転送中に変更された場合、DKIM 署名は認証に失敗するため、改ざんを検知することができます。

しかし、DKIMだけではメールのなりすましを効果的に防ぐことはできません。そのため、DKIMとともに、DKIMで検証されたメール送信元が、ユーザーが目にする送信者メール (MAIL FROM) と同一かを検証するDMARCと併用することを奨励しています。

DKIMとDMARCの組み合わせの他に、SPFとDMARCの組み合わせによるメールなりすまし対策も効果的です。

以下のビデオではDMARCとSPF、DKIMの関係をアニメーションで分かりやすく解説しています。

DMARCの仕組みと検証方法

メッセージがDMARC認証に合格するためには、SPF認証とSPFアライメントをパス、あるいはDKIM認証とDKIMアライメントをパスしなければなりません。メッセージがDMARC認証に失敗した場合、送信者はDMARCポリシーを介してそのメッセージをどう処理するかを受信者に指示することができます。

DMARCにはドメイン所有者が強制できる3つのポリシーがあります:

  • None (無し): メッセージは受信者に配信され、DMARCレポートはドメイン所有者に送信されます。
  • Quarantine (隔離): メッセージは隔離フォルダに移動されます。
  • Reject (拒否): メッセージは全く配信されません。

DMARCポリシーの「None (無し)」は、DMARCの導入の最初のステップとしては望ましいものです。この方法で、ドメイン所有者はすべての正当なメールが適切に認証されていることを確認することができます。ドメイン所有者はDMARCレポートを受け取り、すべての正当なメールが識別され、認証に合格していることを確認するのに役立ちます。認証に合格していることを確認するのに役立ちます。

ドメイン所有者がすべての正当な送信者を特定し、認証の問題を修正したことを確認したら、ドメイン所有者は「Reject (拒否)」のポリシーに移行します。これにより、フィッシング、ビジネスメール詐欺、その他のメール詐欺攻撃をブロックすることができます。メール受信者として、組織はそのセキュアなメールゲートウェイがドメイン所有者に実装されたDMARCポリシーを適用することができます。これにより、受信メールの脅威から従業員を保護することができます。

DMARCの仕組み

 

SPF認証は、与えられたドメインからメールを送信すべき正当なIPアドレスをすべて特定し、このリストをDNSで公開することから始まります。メールプロバイダは、メッセージを配信する前に、メールの隠しヘッダー内の「Envelope From」アドレスに含まれるドメインを調べることで、SPFレコードを検証します。 このドメインの代理としてメールを送信するIPアドレスが、ドメインのSPFレコードに記載されていない場合、メッセージはSPF認証に失敗します。

DKIM 認証は、まず送信者がDKIM 署名にどのフィールドを含めるか特定します。これらのフィールドには、「From」アドレス、メールの本文、件名などを含めることができます。 これらのフィールドは転送中に変更されないようにする必要があり、そうでなければメッセージはDKIM認証に失敗します。 次に、送信者のメールプラットフォームは、DKIM署名に含まれるテキストフィールドのハッシュを作成します。 ハッシュ文字列が生成されると、秘密鍵で暗号化され、送信者のみがアクセスできるようになります。 メールが送信された後、DKIM署名を検証するのは、メールゲートウェイまたはメールボックスのプロバイダです。 これは、秘密鍵と完全に一致する公開鍵を見つけることによって行われます。その後、DKIM署名は元のハッシュ文字列に復号化されます。

DMARCのレポートとレコード

  • メールの送信者が受信するDMARCレポートの量が多く、DMARCレポート内で提供される情報が分かりにくいため、DMARC認証を完全に実装するのが困難な場合があります。DMARC解析ツールは、組織がDMARCレポートに含まれる情報を理解するのに役立ちます。
  • DMARCレポートに含まれる情報以外のデータや知見を得ることにより、組織はメール送信者をより迅速かつ正確に特定することができます。これにより、DMARC認証の導入プロセスを迅速化し、正当なメールをブロックするリスクを低減することができます。
  • DMARCの知識を持つ専門のコンサルタントは、組織のDMARC導入を支援することができます。コンサルタントは、すべての正当な送信者を特定し、認証の問題を解決し、メールサービスプロバイダが適切に認証されているかどうかを確認するために、メールサービスプロバイダと協力して作業を行うこともできます。
  • DMARCポリシーを "None "に設定することで、DMARCレコードを数分で作成し、DMARCレポートを通じて可視化を行うことができます。
  • サードパーティのメールサービスプロバイダを含むすべての正当なメール送信者を適切に特定し、認証に関する問題を解決することで、組織はDMARCポリシーを"Reject "にする前に高い信頼レベルに到達することができます。

なぜDMARCは重要なのか?

エンドユーザーにメール詐欺に対する防御策を伝えることは重要ですが、それが組織の一番の防御策になるわけではありません。Verizon社によると、ユーザーの30%がフィッシングメールを開き、12%が添付ファイルをクリックしていると報告されています。DMARCを導入することにより、組織内のユーザーを守るだけでなく組織がつながるサプライチェーン全体、つまり取引先企業やクライアントを襲うフィッシングメールなどの詐欺メールの脅威から保護することができます。

DMARCの設定方法

DMARCの導入については、ぜひ以下のDMARCスタートガイドを参考にしてみてください。

 

DMARC スタートガイド

DMARC オンデマンド セミナー

DMARCの仕組みをアニメーション形式でわかりやすく解説

DMARCスタートガイド

DMARCチェックツール / 作成ツール

無料オンデマンドセミナー:「15分で設定!DMARC」