DMARC

DMARCとは?

DMARC (Domain-based Message Authentication Reporting and Conformance、読み方:ディーマーク) は、Eメールに関わる主要な組織によって策定され、2012年2月に発表された送信ドメイン認証技術です。ビジネスメール詐欺 (BEC / Business email compromise) やフィッシング攻撃、なりすましメールとの闘いにおいて、現時点で最も強力でプロアクティブに防御ができる武器の1つです。

DMARCは既存の標準技術であるSPF (Sender Policy Framework) およびDKIM (DomainKeys Identified Mail) をベースにしており、 メールに表示される送信元アドレス「header-from」ドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初の標準技術で、現時点で広く運用されているものとしては唯一のテクノロジーです。

ドメイン所有者は、ドメインネームシステム(DNS)でDMARCレコードを公開し、認証に失敗した電子メールをどうするかを受信者に伝えるためのポリシーを作成することができます。

メーラーに表示されるメールアドレスが本物だとは限らない

DMARCが対応するメール詐欺攻撃の例

  • ドメイン スプーフィング(ドメインのなりすまし):攻撃者が企業のドメインを詐称して、電子メールを正当なものに見せかけること
  • Eメール スプーフィング:メールに関する第三者になりすます行為
  • ビジネスメール詐欺 (BEC / Business email compromise ):金銭や機密情報の送信を要求するために、組織内の上司や取引先企業などになりすまして送られてくるメール詐欺
  • 詐欺メール:第三者になりすまして送信されるメール
  • メール フィッシング:被害者にマルウェアをインストールさせたり、認証情報を入力させようとするメール。フィッシングメールは、正当なものであるように見せるために、見慣れたブランドを悪用することが多々ある
  • コンシューマー フィッシング:企業になりすまして、認証情報を窃取する目的で消費者に送信されるメール
  • パートナー スプーフィング:サプライチェーンのパートナー間で行われるビジネスに基づいたなりすましメール
  • ホェール(鯨) フィッシング:多額の金銭的利益を得ることを目的として、組織内の上級社員を狙って送信される詐欺メール

メール認証の種類

  • Domain-based Message Authentication Reporting and Conformance (DMARC):
    Eメールのなりすましを検知して防止する電子メールの検証の仕組み。フィッシング や スパムメールでよく使われる、正当な組織から送信されたように見せかけて送信者アドレスを偽装したメールなどを阻止するのに役立つ。
     
  • Sender Policy Framework (SPF):メールを検知およびブロックするために設計された電子メール検証の仕組み。 これによりメールの受信プロバイダーは、受信メールがそのドメインの管理者によって承認されたIPアドレスから送信されたものであることを確認することができる。
     
  • DomainKeys Identified Mail (DKIM):電子署名を用いて送信ドメインの認証をおこなう仕組み。攻撃者はメールコンテンツを改変(例えば振り込み依頼であれば攻撃者の口座情報に変更) し、受信者をだますことがある。DKIM を使用することで、受信側がコンテンツが改ざんされていないかを検証することができる。

     

SPF と DKIM

SPF(Sender Policy Framework)はメール送信ドメインの認証技術のひとつで、送信者のドメインの詐称を防ぎ、送信ドメインの正当性を検証することができます。SPF により、ドメインの所有者がそのドメインからメールを送信するために使用するメールサーバーを指定することができます。電子メールを送信する企業は、ドメインネームシステム(DNS)でSPF レコード(TXT RR)を発行します。このレコードリストには、そのドメインを利用して電子メールを送信することが許可されているIP アドレスが含まれています。

電子メールの受信者は、DNS 内の「envelope from」(Mail From、Mfrom、return-path などとも表記)ドメイン名を調べてSPF レコードを検証します。このドメインを利用して電子メールを送信しているIP アドレスがSPF レコードに記載されていない場合、そのメッセージはSPF 認証に失敗します。

SPF で保護されたドメインは犯罪者にとって魅力的でなくなるため悪用されることが少なくなり、結果としてスパムフィルタによってブラックリスト化されにくくなります。

Domain Keys Identified Mail (DKIM) は電子署名を用いて送信ドメインの認証をおこなう仕組みです。

攻撃者はメールコンテンツを改変( 例えば振り込み依頼であれば攻撃者の口座情報に変更) し、受信者をだますことがあります。DKIM を使用することで、受信側がコンテンツが改ざんされていないかを検証することができます。送信者は、電子メールのどの要素を署名 プロセスに含めるかを決定します。メッセージ全体(ヘッダーと本文)を含めるか、電子メールヘッダーの1 つ以上のフィールドだけに集中するかを決めることができます。DKIM 署名の対象要素が転送中に変更された場合、DKIM 署名は認証に失敗するため、改ざんを検知することができます。

しかし、DKIM だけではメールのなりすましを効果的に防ぐことはできません。そのため、DKIM とともに、DKIM で検証されたメール送信元が、ユーザーが目にする送信者メール(MAIL FROM) と同一かを検証するDMARC と併用することを奨励しています。

DKIMとDMARC の組み合わせのほかに、SPF とDMARC の組み合わせによるメールなりすまし対策も効果的です。

 

以下のビデオではDMARCとSPF、DKIMの関係をアニメーションで分かりやすく解説しています。

DMARCの仕組みと検証方法

メッセージがDMARC認証に合格するためには、SPF認証とSPFアライメントをパスし、あるいは/またはDKIM認証とDKIMアライメントにパスしなければなりません。メッセージがDMARC認証に失敗した場合、送信者はDMARCポリシーを介してそのメッセージをどうするかを受信者に指示することができます。

DMARCにはドメイン所有者が強制できる3つのポリシーがあります:

  • none(監視のみ): メッセージは受信者に配信され、DMARCレポートはドメイン所有者に送信されます
  • quarantine(隔離):メッセージは隔離フォルダに移動されます
  • reject(拒否): メッセージは全く配信されません

DMARCポリシーの「none」は、DMARCの導入の最初のステップとしてはのぞましいものです。この方法で、ドメイン所有者はすべての正当な電子メールが適切に認証されていることを確認することができます。ドメイン所有者はDMARCレポートを受け取り、すべての正当な電子メールが識別され、認証に合格していることを確認するのに役立ちます。認証に合格していることを確認するのに役立ちます。

ドメイン所有者がすべての正当な送信者を特定し、認証の問題を修正したことを確認したら、ドメイン所有者は「reject (拒否)」のポリシーに移行します。これにより、フィッシング、ビジネスメール詐欺、その他の電子メール詐欺攻撃をブロックすることができます。電子メール受信者として、組織は、そのセキュアな電子メールゲートウェイがドメイン所有者に実装されたDMARCポリシーを確実に適用することができます。これにより、インバウンドメールの脅威から従業員を守ることができます。

 

DMARCの仕組み

 

SPF認証は、与えられたドメインから電子メールを送信すべきすべての正当なIPアドレスを識別することから始まり、このリストをDNSで公開します。メッセージを配信する前に、電子メールプロバイダは、電子メールの隠された技術的なヘッダー内の「envelope from」アドレスに含まれるドメインを調べることで、SPFレコードを確認します。 このドメインに代わって電子メールを送信するIPアドレスがドメインのSPFレコードにリストされていない場合、メッセージはSPF認証に失敗します。

DKIM 認証のために、送信者はまず、DKIM 署名に含めるフィールドを特定します。これらのフィールドには、「差出人」アドレス、電子メールの本文、件名などを含めることができます。 これらのフィールドは転送中に変更されないようにしなければならず、そうしないとメッセージはDKIM認証に失敗します。 次に、送信者のメールプラットフォームは、DKIM署名に含まれるテキストフィールドのハッシュを作成します。 ハッシュ文字列が生成されると、送信者のみがアクセスできる秘密鍵で暗号化されます。 電子メールが送信された後、DKIM署名を検証するのは、電子メールゲートウェイまたはコンシューマーメールボックスのプロバイダに任されています。 これは、秘密鍵と完全に一致する公開鍵を見つけることによって行われます。その後、DKIM署名は元のハッシュ文字列に復号化されます。

ツールとベストプラクティス

  • 電子メールの送信者が受信するDMARCレポートの量が多く、DMARCレポート内で提供される情報が分かりにくいため、DMARC認証を完全に実装するのが困難な場合があります。どのような場合にDMARC解析ツールは、組織がDMARCレポートに含まれる情報を理解するのに役立ちます。
  • DMARCレポートに含まれる情報以外のデータや知見を得ることにより、組織は電子メールを送信している者をより迅速かつ正確に特定することができます。これにより、DMARC認証の導入プロセスを迅速化し、正当な電子メールをブロックするリスクを低減することができます。
  • DMARCの専門知識を持つプロフェッショナル サービス コンサルタントは、組織のDMARC導入を支援することができます。コンサルタントは、すべての正当な送信者を特定し、認証の問題を解決し、メールサービスプロバイダが適切に認証されているかどうかを確認するために、メールサービスプロバイダと協力して作業を行うこともできます。
  • 組織は数分でDMARCレコードを作成し、DMARCポリシーを "none "に設定することで、DMARCレポートを通じて可視性を得ることができます。
  • サードパーティのメールサービスプロバイダを含むすべての正当なメール送信者を適切に特定し、認証の問題を修正することで、組織はDMARCポリシーである "reject "を強制する前に高い信頼性レベルに到達することができます。

なぜDMARCは重要なのか?

エンドユーザーにメール詐欺に対する防御策を伝えることは重要ですが、それが組織の最初の防御策になるわけではありません。Verizonによると、ユーザーの30%がフィッシングメールを開き、12%が添付ファイルをクリックしていると報告されています。DMARCを導入することにより、自組織内のユーザーを守るだけでなく組織がつながるサプライチェーン全体、つまり取引先企業や自組織のお客様を襲うフィッシング メールなどの詐欺メールの脅威から保護することができます。

DMARCの設定方法

DMARCの導入については、ぜひ以下のDMARCスタートガイドを参考にしてみてください。

DMARC スタートガイド

DMARC オンデマンド セミナー