DMARC について

DMARC を使用してなりすましとフィッシングを防止する

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、標準的なメール認証方式です。メール管理者が、ハッカーをはじめとする攻撃者による組織またはドメインのなりすましを防ぐのに役立ちます。なりすましとは、メールの差出人アドレスが偽装される攻撃のことです。なりすましメールは、なりすましの被害を受けている組織またはドメインから送信されたかのように表示されます。

DMARC を使用すると、組織またはドメインからのメールを受け取るメールサーバーに対してレポートをリクエストすることもできます。そうしたレポートには、ドメインから送信されたメールについて、潜在的な認証の問題と悪意のあるアクティビティを特定するのに役立つ情報が含まれています。

なりすましとフィッシング

スパマーは、ドメインまたは組織になりすました偽装メールを送信します。

なりすましメールは多くの場合、偽の情報を伝えたり、有害なソフトウェアを送信したりなど、悪意のある目的に利用されます。また、ユーザー名、パスワード、クレジット カード番号などの機密情報を不正に入力させる詐欺行為であるフィッシングにも利用されます。なりすましの被害に遭った組織は、その評判に長く悪影響が残り、ユーザーや顧客からの信頼を損ねる可能性もあります。

スパマーは、メールの送信元がよく知られた組織または正当な組織であるかのように見せかけることがあります。自分の組織の名前を語った偽装メールを受け取ったユーザーは、それを迷惑メールとして報告する場合もあります。多くのユーザーが偽装メールを迷惑メールとして報告すると、自分の組織からの正当なメールも迷惑メールに分類される可能性があります。

DMARC によるなりすまし防止の仕組み

DMARC は、なりすましメールの処理方法を受信メールサーバーに指示します。指示するタイミングは、自分の組織からのものと思われるものの、認証チェックに合格しなかったメールまたは DMARC ポリシー レコードの認証要件を満たしていないメールを受信サーバーが受け取ったときです。認証されないメールは、自分の組織になりすましていたり、不正なサーバーから送信されていたりする可能性があります。

DMARC は、次に示す 2 つのメール認証方法(認証チェック)と常に一緒に使用されます。

  • SPF(Sender Policy Framework)を使用すると、ドメイン所有者は、そのドメインへのメール送信が許可される IP アドレスを指定できます。受信サーバーでは、特定のドメインから送信されたように思われるメールが、ドメイン所有者が許可したサーバーから送信されたものであることを確認できます。
  • DKIM(Domain Keys Identified Mail)では、すべての送信メールにデジタル署名を追加します。受信サーバーは、その署名を使用して、メールが信頼できるものであり、転送中に偽装または変更されていないことを確認します。

メールを認証する(DMARC 調整)

SPF または DKIM によるメールのチェック時、DMARC はメールの From: ヘッダーが送信元ドメインとどの程度一致しているかに基づいて、メールを受理または却下します。これを DMARC 調整と呼びます。この調整が行われるように、ドメインで DMARC を設定する前に、SPF と DKIM を有効にする必要があります。

詳しくは、DMARC 調整に関する記事をご覧ください。

認証チェックに合格しなかったメールを管理する(受信側のポリシー)

SPF と DKIM のいずれかまたは両方のチェックに合格しなかったメールをメールサーバーがドメインから受け取った場合、DMARC はそのメールの処理方法をサーバーに指示します。DMARC ポリシーでは、次の 3 つの設定が規定されています。

  • ポリシーを [none] に設定した場合 - メールに対して何の操作もせず、通常どおりに配信します。
  • ポリシーを [quarantine] に設定した場合 - メールを迷惑メールに分類し、受信者の迷惑メールフォルダに送信します。
  • ポリシーを [reject] に設定した場合 - メールを拒否し、受信者に配信しません。

詳しくは、DMARC の適用設定に関する記事をご覧ください。

管理者がポリシーをモニタリング、変更できるようレポートを送信する

DMARC レコードを設定して、ドメインからのメールを受け取るサーバーから定期的にレポートが届くようにします。DMARC レポートには、自社のメールサーバーと任意のサードパーティ サーバーを含め、ドメインのメールを送信するすべての送信元に関する情報が含まれています。

DMARC レポートは次の場合に役立ちます。

  • 自分の組織のメールを送信するすべての送信元に関する情報を得る。
  • 自分の組織から送信されたように見せかけたメールの不正な送信元を特定する。
  • 自分の組織から送信されたメールのうち、認証チェック(SPF と DKIM のいずれかまたは両方)に合格したメールと不合格だったメールを特定する。

DMARC レポートは、ほとんどのユーザーにとって読みにくく、理解するのが困難です。詳しくは、DMARC レポートの使用に関する記事をご覧ください。

必要な対応


DMARC を設定する前に

  • ドメインで SPF と DKIM を設定する
  • DMARC レポート用のグループまたはメールボックスを設定する
  • ドメインホストのログイン情報を取得する
  • 既存の DMARC レコードがあるかどうかを確認する(省略可)
  • サードパーティのメールが認証されることを確認する

詳しくは、DMARC を設定する前に行うべきことに関する記事をご覧ください。


DMARC ポリシー レコードを定義する

  • DMARC ポリシーの設定
  • DMARC 調整の設定
  • DMARC レポートの設定

詳しくは、DMARC ポリシーの定義に関する記事をご覧ください。


DMARC レコードを追加する

  • レコードを追加または更新する
  • DMARC レコードの形式
  • DMARC レコードのタグ
  • ドメインまたはサブドメインを追加する

詳しくは、DMARC レコードの追加に関する記事をご覧ください。


チュートリアル: DMARC のおすすめのロールアウト方法

  1. 制限が緩和された DMARC ポリシーから開始する
  2. DMARC レポートを確認する
  3. ごく一部のメールを検疫する
  4. 未認証のメールをすべて拒否する

詳しくは、チュートリアル: DMARC のおすすめのロールアウト方法に関する記事をご覧ください。


DMARC レポート

  • DMARC レポートの対象ユーザー
  • レポート専用のグループまたはメールボックスを作成する
  • サードパーティのサービスからサポートを受ける(推奨)
  • DMARC レポートを読む

詳しくは、DMARC レポートに関する記事をご覧ください。


DMARC に関する問題のトラブルシューティング

  • メールが認証に合格することを確認する
  • メール送信の方法を確認する
  • メールログの検索を使用して詳しい情報を得る
  • おすすめのトラブルシューティング手順を行う

詳しくは、DMARC のトラブルシューティングに関する記事をご覧ください。


関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。