Google Workspace は 3 つのメール認証標準を使用して、組織の Gmail がなりすましとフィッシングの攻撃を受けないようにしています。こうした標準を適用することで、送信メールが迷惑メールに分類されないようにすることもできます。Workspace 管理者の皆様には、Gmail に対して次のメール認証標準を常に設定することをおすすめします。
- SPF: 組織に代わってメールを送信できるサーバーとドメインを指定します。
- DKIM: すべての送信メールにデジタル署名を追加します。これにより、受信サーバーはメールが実際に組織から送信されたものであることを確認できます。
- DMARC: 組織からの送信メールが SPF または DKIM の検証に合格しなかった場合に、そうしたメールの処理方法を受信サーバーに指示します。
DMARC は標準的なメール認証方式で、メール管理者がハッカーをはじめとする攻撃者による組織またはドメインのなりすましを防ぐのに役立ちます。なりすましとは、メールの差出人アドレスが偽装される攻撃のことです。なりすましメールは、なりすましの被害を受けている組織またはドメインから送信されたかのように表示されます。
DMARC を使用すると、組織またはドメインからのメールを受け取るメールサーバーに対してレポートをリクエストすることもできます。そうしたレポートには、ドメインから送信されたメールについて、潜在的な認証の問題と悪意のあるアクティビティを特定するのに役立つ情報が含まれています。
使用方法
この記事の後半にある DMARC を設定する手順に直接進んでください。
DMARC について
動画: DMARC とは
DMARC を使用すると、ユーザーが偽装メールの被害に遭わないように対策できるほか、
SPF や DKIM に合格しないメールを管理できます。
動画: DMARC を設定する
DMARC を使用すると、より強固に迷惑メール、なりすまし、フィッシングからメール アカウントを保護できます。
DMARC でなりすましとフィッシングを防ぐ
スパマーは、ドメインまたは組織になりすました偽装メールを送信します。DMARC は、なりすましメールの処理方法を受信メールサーバーに指示します。指示するタイミングは、自分の組織からのものと思われるものの、認証チェックに合格しなかったメールまたは DMARC ポリシー レコードの認証要件を満たしていないメールを受信サーバーが受け取ったときです。認証されないメールは、自分の組織になりすましていたり、不正なサーバーから送信されていたりする可能性があります。
DMARC は、次に示す 2 つのメール認証方法(認証チェック)と常に一緒に使用されます。
- SPF(Sender Policy Framework)を使用すると、ドメイン所有者は、そのドメインへのメール送信が許可される IP アドレスを指定できます。受信サーバーでは、特定のドメインから送信されたように思われるメールが、ドメイン所有者が許可したサーバーから送信されたものであることを確認できます。
- DKIM(Domain Keys Identified Mail)では、すべての送信メールにデジタル署名を追加します。受信サーバーは、その署名を使用して、メールが信頼できるものであり、転送中に偽装または変更されていないことを確認します。
なりすましとは
なりすましメールは多くの場合、偽の情報を伝えたり、有害なソフトウェアを送信したりなど、悪意のある目的に利用されます。また、ユーザー名、パスワード、クレジット カード番号などの機密情報を不正に入力させる詐欺行為であるフィッシングにも利用されます。なりすましの被害に遭った組織は、その評判に長く悪影響が残り、ユーザーや顧客からの信頼を損ねる可能性もあります。
スパマーは、メールの送信元がよく知られた組織または正当な組織であるかのように見せかけることがあります。自分の組織の名前を語った偽装メールを受け取ったユーザーは、それを迷惑メールとして報告する場合もあります。多くのユーザーが偽装メールを迷惑メールとして報告すると、自分の組織からの正当なメールも迷惑メールに分類される可能性があります。
メールを認証する(DMARC アライメント)
SPF または DKIM によるメールのチェック時、DMARC はメールの From: ヘッダーが送信元ドメインと一致しているかに基づいて、メールを受理または却下します。これを「DMARC 調整」と呼びます。このため、ドメインで DMARC を設定する前に、SPF と DKIM を有効にする必要があります。
詳しくは、DMARC 調整に関する記事をご覧ください。
認証チェックに合格しなかったメールを管理する(受信側のポリシー)
SPF と DKIM のいずれかまたは両方のチェックに合格しなかったメールをメールサーバーがドメインから受け取った場合、DMARC はそのメールの処理方法をサーバーに指示します。DMARC ポリシーでは、次の 3 つの設定が規定されています。
- ポリシーが「none」に設定された場合 - メールへの対処は行われず、通常どおりにメールが配信されます。
- ポリシーが「quarantine」に設定された場合 - メールが「迷惑メール」としてマークされ、受信者の迷惑メールフォルダまたは検疫に送信されます。
- ポリシーが「reject」に設定された場合 - メールは拒否され、受信者に配信されません。
詳しくは、DMARC の適用設定に関する記事をご覧ください。
管理者がポリシーをモニタリング、変更できるようレポートを受け取る
DMARC レコードを設定して、ドメインからのメールを受け取るサーバーから定期的にレポートが届くようにします。DMARC レポートには、自社のメールサーバーと任意のサードパーティ サーバーを含め、ドメインのメールを送信するすべての送信元に関する情報が含まれています。
DMARC レポートは次の場合に役立ちます。
- 自分の組織のメールを送信するすべての送信元に関する情報を得る。
- 自分の組織から送信されたように見せかけたメールの不正な送信元を特定する。
- 自分の組織から送信されたメールのうち、認証チェック(SPF と DKIM のいずれかまたは両方)に合格したメールと不合格だったメールを特定する。
DMARC レポートは、ほとんどのユーザーにとって読みにくく、理解するのが困難です。詳しくは、DMARC レポートの使用に関する記事をご覧ください。
必要な対応
|
|
|
|
|
DMARC を設定する前に
詳しくは、DMARC を設定する前に行うべきことに関する記事をご覧ください。 |
|
|
|
|
|
DMARC ポリシー レコードを定義する
詳しくは、DMARC ポリシーの定義に関する記事をご覧ください。 |
|
|
|
|
|
DMARC レコードを追加する
詳しくは、DMARC レコードの追加に関する記事をご覧ください。 |
|
|
|
|
|
チュートリアル: DMARC のおすすめのロールアウト方法
詳しくは、チュートリアル: DMARC のおすすめのロールアウト方法に関する記事をご覧ください。 |
|
|
|
|
|
DMARC レポート
詳しくは、DMARC レポートに関する記事をご覧ください。 |
|
|
|
|
|
DMARC に関する問題のトラブルシューティング
詳しくは、DMARC に関する問題のトラブルシューティングをご覧ください。 |
|
|
|
