スカイスナッグ・ブログ
DMARCレコードをp=noneに設定することは、本質的にDMARCレコードをまったく持たないことと同じである。強制力(p=none)のないDMARCレコードは、IDをスキャンするアクセス管理システムを持つが、IDスキャンの結果、身元不明者であったとしても、誰でも入ることができるのと同じである。p」で識別されるDMARCポリシーは、DMARC enforcement の最も重要な部分である。これは、ドメイン所有者が認証チェックに失敗したメールをどのように処理したいかを指定する能力を与えるからである。DMARC enforcement (p=reject)で、ドメイン所有者は、認証されていないメッセージをスパムフォルダに送るか、完全にブロックするように電子メールクライアントに指示することができる。
DMARCポリシーとは何ですか?
DMARCポリシーは、ドメイン所有者がSPFおよびDKIM認証チェックに失敗した電子メールに何を望むかを指定することを可能にする。
- 認証に失敗したメールは通常配送される。
- p=quarantine- 認証に失敗したメッセージはスパムに配信されます。
- p=reject- 認証に失敗したメッセージは、メールクライアントによってブロックされ、配信されません。受信者によってはこの要求を尊重するところもあれば、認証に失敗したメッセー ジをスパムとしてマークするところもあります。
ポリシーp=noneは、監視モードのポリシーであり、ドメインがスプーフィングに対して脆弱なまま、強制力を提供しない。このポリシーは、正当なメールをブロックするリスクなしに、サードパーティの送信者との認証の設定ミスをトラブルシューティングするためにテストモードで一般的に使用されます。
フィッシングやなりすまし攻撃を防ぐには、DMARCをp=noneではなく、エンフォースメント(p=quarantineまたはp=reject)に設定する必要がある。
p=noneモードでは、ドメイン所有者は、メールクライアントが送信するレポートを利用して、詐欺メールを送信して自分のドメインを悪用しようとしているIPアドレスを特定することができる。これらのレポートで提供される情報は、実際の技術的課題であるドメインのp=rejectを達成するために、実行可能な洞察に変換されなければならない。
残念ながら、DMARCを試みる企業の大半は、実施に至っていない。DMARCレコードを公開している企業の約80%は、p=rejectに設定されていません。これは、設定ミスの問題、DMARCを実施しない限定的なレポートツールへの依存、またはメール送信者との技術的な問題に遭遇したことが原因と考えられます。
DMARC enforcement のない企業が直面するリスク:
電子メールのなりすまし/なりすまし:p=noneのポリシーでは、攻撃者は何の制限もなくドメイン名になりすますことができる。これにより、誰でもドメイン名を使用して電子メールを送信できるようになり、顧客、パートナー、その他の利害関係者に重大なリスクをもたらす。潜在的なリスクは以下のとおりです:
- 財務上の損失
- 風評被害
スパムメール:DMARC enforcement がないと、インターネット・サービス・プロバイダーはメッセージの認証の合否を判断できず、その結果、メッセージがスパムとして分類されてしまう。
DMARCレコードを作成するために、Skysnagアカウントを作成してください。
このドメインはなりすましメールに対して脆弱であり、攻撃者はこのドメインを自由に使用できるため、メールクライアントはこのドメインにフラグを立てるようになるかもしれません。これは、ドメインがブラックリストに登録されるなど、長期的に悪影響を及ぼす可能性があります。ブラックリストに登録されると、メール配信が妨害され、メールが届かなくなり、ブラックリストからドメインが削除されるまで3~4週間かかることもあります。
何もしなければどうなるのか?
不正使用がひどい場合、メールクライアントはメールをスパムとして分類するだけでなく、ドメイン名をブラックリストに登録することもある。ドメインがブラックリストに登録されると、大多数のメールクライアントにメールが届かないようになります。
Skysnagは、市場初のDMARC enforcement ソリューションとして、電子メール認証プロトコルに関連する手間のかかるDNSプロセスを排除します。これは、静的なDNSレコードではなく、動的なフォーマットにレコードを変換することで実現します。その結果、企業はこの電子メールの抜け道を自律的に実施することができ、エンジニアの貴重な時間を節約することができます。