多くの人は、DMARCが何を実現するのか、詐欺、なりすまし、ドメイン偽装からどのように保護するのかを即座には理解していません。DMARC、メール認証の仕組み、そしてなぜDMARCが有益なのかについては、多くの誤解があります。しかし、同じような神話が何度も出てくるため、調査する価値のある、繰り返される要素がいくつかあります。

しかし、何が正しくて何が間違っているのか、どうやって見分けることができるのだろうか？そして、その使い方が正しいかどうかを確かめるにはどうしたらいいのだろう？Skysnagにお任せください。この記事では、様々なDMARC神話を取り上げ、DMARCが組織にとって非常に重要である理由を理解します。

神話その1：SPFとDKIMはすでに完了しているから、DMARCは必要ない。

DMARC（Domain-basedMessage Authentication, Reporting, and Conformance）規格は、最新の電子メール認証規格であり、多くの主要な電子メールサーバーが送信メールと受信メールのチェックに使用している（Office 365、Google Workspace、商用セキュア電子メールゲートウェイ）。

SPFや DKIMは適切な情報を提供しないため、上述のゲートウェイはいずれも、配信を決定する際にこれらだけを考慮することはありません。その代わりに、DMARCやエンゲージメント率など、さまざまな指標を考慮します。

神話2：SPF/DKIMを使っていないので、DMARCを利用できない。 

DMARCレポート は、SPFとDKIMの認証問題を解決するために必要な情報を提供する。DMARCプロジェクトの最初のステップは、監視モード(p=なし)DMARCレコードは、許可されたメール・ストリームの認証問題や、シャドーITやなりすまし行為を可視化する。

神話その3：DMARCをサポートしていると謳っているOffice 365やGoogle Workspaceを使っているので、すでにDMARCは持っている。

O365とGoogle Workspaceは、DMARC認証のためにインバウンドメールを検査しますが、DMARCの可視性を提供したり、独自ドメイン用にDMARC enforcement 。また、あなたの代わりにメールを送信するクラウドやオンプレミスのサービスを確認することはできません。

神話その4: DMARCはメールの設定上使えない

DMARCは、オンプレミス、クラウドを問わず、どのようなメールゲートウェイでも動作します。DMARCはメールフローから独立しており、MXレコードとは別のDNSエントリです。Exchange、Office 365、Google Workspace、およびすべての商用メールゲートウェイを使用しているお客様に対して、Red SiftはDMARCの実装に成功しています。

神話その5：DMARCは私のメールマーケティングを非効率にする。

現実には、いったん適切に認証されれば、DMARCはあなたのマーケティングレターを配達する最良の機会を与えてくれます。問題は、最初にすべてのマーケティングメールを識別・認証することなくDMARCを使用すると、DMARC enforcement ポリシーに切り替えた場合、誤って隔離または拒否される可能性があるということです。

神話その6：DMARCを使っているのは大手のメール送信者だけである。

DMARCは、規模の大小にかかわらず、あらゆる企業に適用されます！すべての企業は、正当な電子メールを認証し、不法ななりすましやドメインのなりすましを防止する必要があります。

神話その7：DMARCは単なるセキュリティの取り組みである。

DMARCは、IT、セキュリティ、コンプライアンス、マーケティングが協力することで、最も迅速かつ生産的に完了する部門横断プロジェクトです。BIMIにより、DMARCは信頼できるドメインを使用した悪質ななりすましやフィッシングを排除するだけでなく、シャドーITを特定し、正規のメール配信を改善し、ブランドの印象を向上させます！

神話その8：DMARCと p=なし は、DMARCが全くないよりも望ましい。

確かに、すべてのDMARCプロジェクトは以下のことから始めるべきである。 p=なし.これは、DMARCコンプライアンスを満たすために認証調整を行うために必要な可視性を得るためである。しかし、一部のユーザーは、DMARCポリシーが「なし」に設定されることで、セキュリティ態勢が向上すると誤解している。DMARCポリシーを 'なし,' を持っていないのと同じように、簡単になりすまされる可能性がある。 DMARCレコード まったく

神話#9 DMARCは時間のかかる手作業で、完了までに数ヶ月かかる。

企業は通常、2つの理由でDMARCプロジェクトを中止する：

1. DNSの認証レコードを手作業で変更する場合、特に毎回変更管理を行わなければならない場合は、長い時間がかかる可能性がある。手作業によるSPFフラット化とメンテナンスは、困難で時間がかかり、成功の保証もない。
2. すべての正当なメールが認識され、認証され、DMARCポリシーによって隔離または拒否されないかどうかわからない。

神話その10：自分でDMARCを実装するのは簡単だ。

DMARCは実際、誰でも使用できる無料のパブリックスタンダードです。毎日、Red Siftは何百万ものDMARCレコードを調査し、DIY DMARCプロジェクトの大半は、DMARCレコードにとどまっていることを発見しています。 p=なし DMARC enforcementを達成することはない。その結果、こうした企業はなりすまし、なりすまし、フィッシングなどの攻撃を受けやすくなる。

神話その11：DMARCのXMLレポートが理解できない。

DMARCレポートが人間が読むことを意図したものでないことは、驚くことではありません！DMARCレポートの意味を理解するには、何らかの方法で解析し、レポート作成、アラート、解釈を追加する必要があります。

神話その12：DMARCのフォレンジックデータには個人情報が含まれている。

DMARCフォレンジックレポートは、悪意のあるEメール発信元を特定するだけでなく、本物のメールストリームにおける認証問題のトラブルシューティングにも役立ちます。

神話その13：DMARCベンダーはあまり区別されていない。

多くの企業は、ドメインに代わってGUIインターフェースでDMARCレポートを処理できるため、DMARCのモニタリングと可視化は、最近のコモディティとなっています。ホストされた電子メール認証とプライベートデータチャネルの最新技術を使用して、DMARC enforcement 、ドメインを取得するための反復可能、安全、簡単、かつ効率的な手順は、商品ではありません。

神話その14：SPFを管理し、最新の状態に保つのは不可能だ

今日のクラウドメールサービスの世界では、手作業でSPFレコードを管理し、最新の状態に保つのは間違いなく大変な作業だ。しかし、適切な機器が手元にあれば、とても簡単になります。SPFレコードの更新は、次のような方法で簡単に行うことができる：

• すべてのメール送信元が適切に識別・認識されるため、ユーザーは有効なメールサービスを見逃す心配がありません。また、すべての送信元は、当社独自の送信者インテリジェンスによって明確にラベル付けされ、認識可能です。
  送信者が検出されると、SPFフラット化を使用して、ワンクリックで承認済みの送信元を検証できます。使用されなくなったサービスはアンインストールすることができ、レコードは将来的に便利に管理することができます。
• Dynamic SPFでは、SPFレコードは動的に平坦化され、常に構文的に正確であるため、SPF 10ルックアップの制限を回避できる。

神話その15：SPFルックアップが10個以上あっても、メールフローには影響しない。

現在のほとんどのメールゲートウェイはメール認証にDMARCを使用していますが、メールフィルタリングの主な要因としてSPFを使用するレガシーシステムもまだいくつかあります。
受信メールボックスがSPFチェックを実行する場合、ルックアップの上限が10を超えると、レコードが技術的に壊れていることを示します。さらに、DMARCレコードが強制（隔離または拒否）されている場合、DKIMを使わない送信者からのメールを禁止するリスクがあります。実際のメールがSPFとDKIMの両方で正常に認証され、SPFレコードのルックアップ数が10を超えなければ、配信される可能性は最も高くなります。

神話その16：DMARCの保護はすでに「有効化」されている。

のDMARCポリシー 'なし' と実施時のDMARCレコードは大きく異なる。ポリシーを「なし」にしてDMARCを「有効にする」という単純な行為は、必要な最初の一歩ではあるが、セキュリティ態勢を改善したり、ドメインがなりすまされるのを防いだりすることには何の役にも立たない（このように表示されただけでは賞はない！）。

で隔離または拒否のポリシーを実行する必要があります。 pct=100 でDMARCの旅を終えることができます。そうでなければ、あなたのドメインはなりすましやフィッシング攻撃に対して脆弱なままになってしまいます。

神話その17：DMARCの設定が複雑すぎる。

ドメインのポートフォリオが多いからといって、DMARCプロジェクトの立ち上げをためらうべきではありません。現実には、保護されていないドメインを多く持つことは、DMARCをエンフォースメントに使用しない場合、ソフトターゲットになります。したがって、ドメインを多く持っているからといって問題を無視することは解決策にはなりません。ドメインを探す

迷信その18：DMARCは非常に高価である

スカイスナッグでは、可能な限り自動化を進め、効率性とスケールメリットをお客様に提供できるよう努めています。

DMARCレコードを作成するために、Skysnagアカウントを作成してください。

神話その19：私は自分のドメインからメールを送信しないので、DMARCによる保護は必要ありません。

非送信ドメインは、送信ドメインと同様に偽装することが可能であり、有名なブランド、ウェブサイト、個人、企業が使用されている場合、フィッシングやなりすましメールのターゲットとしてより魅力的です。非送信ドメインからの悪意のあるメールの受信者は、そのドメインからメールが送信されるように設定されていないことを発見したり、理解したりしないかもしれません。メールが十分に説得力があり、合法的に見える場合、受信者はそのメールがあなたからのものだと勘違いし、あなたのブランドや評判全体を危険にさらすかもしれません。

最終的な感想

以上、DMARC神話が完全に否定されたリストをご紹介しました。Skysnagの自動化されたDMARCは、メールメッセージの送信元がそのドメインであることを確認することで、フィッシングやなりすましに対する防御を強化します。Skysnagは、潜在的なセキュリティ問題の調査やなりすまし攻撃による潜在的なリスクの特定に役立つDMARCレポートを 生成します。このリンクからサインアップしてSkysnagを始めましょう。