スカイスナッグ・ブログ
インターネットは、様々なトピックに関する情報を見つけるための素晴らしいリソースですが、インターネット上のすべての情報が正確であるとは限らないことを認識することが重要です。 インターネット上には、DMARCに関する多くの神話や誤った情報があります。何が真実で何が嘘かを見分けるのは難しいかもしれません。この記事では、DMARC神話のいくつかを論破します。
誤解その1:DMARCは簡単に導入できる
私たちはDMARCを多くのスペースに導入しており、このシステムの裏も表も熟知しています。ですから、DMARCはあなた一人で扱えるものではありません。多くのサイトはそうではないと言うでしょう。
DMARCレコードを公開するだけでいい、と彼らは言うだろう。簡単そうに聞こえる。結局のところ、DMARCは誰でも無料で実装できる公開仕様なのです。DMARCのような技術的なツールには専門知識が必要です。
DMARCレコードを作成するために、Skysnagアカウントを作成してください。
DMARCレポートの解析と関連付けは難しい。個々のメールシステムでさえ、扱いが複雑であることに驚かれることでしょう。ですから、本格的な組織のコミュニケーション・エコシステムを管理・監視することがどれほど面倒か想像してみてください。労働力を消耗させるだけでなく、社内で取り組もうとすればさらにコストがかかる。
そのため、DIYのDMARCプロジェクトは適切なDMARC enforcement 。つまり、DMARCの適用に成功したと思っても、なりすましやフィッシング攻撃からは保護されないということです。これは最も広範なDMARC神話の1つである。
誤解その2.確立された実績があれば、それだけで保護される
そう、DMARCレコードを設定することで、全世界で50億の受信トレイがメール攻撃を検知できるようになったのだ。ですから、DMARCレコードを設定すれば、スパムからも安全になると思われるかもしれません。
しかし、DMARCを設定しただけでは何の役にも立たないということだ。DMARCは、攻撃されるリスクを軽減するための第一歩に過ぎないのです。DMARCレコードを設定することは、送信者と受信者がなりすましメールを検出するのに役立つとはいえ、それだけでは何も強制することはできません。DMARCが完全に効果を発揮するためには、レポートとポリシー施行の両方が必要です。
レコードに適切なポリシーがない限り、そのレコードは役に立たない。そのため、組織はレコードを確立するだけでなく、設定する必要がある。例えば、迷惑メールを隔離するか拒否するかを決める必要がある。レコードを確立することは素晴らしいことですが、最終的にメール送信環境を保護するためには、それをさらに強化する必要があります。
残念なことに、多くの企業はこの方法を知らず、多くの組織はいまだにp=noneのDMARCポリシーを設定している。このため、米国の有名企業のうち、p=rejectのポリシーが設定され、完全に保護されているのは34%に過ぎない。
誤解その3:SPFとDKIMだけで十分
ほとんどのメール所有者は非技術者であるため、DMARCがいかに重要であるかを知らない。SPFとDKIMだけで十分だと思っているのだ。しかし、実のところ、DMARC(Domain-based Message Authentication, Reporting, and Conformance)がそのすべてを上回っているのです。
DMARCは、SPFやDKIMを補完する最新の電子メール認証システムであり、これらを組み合わせることで電子メールのセキュリティを強化します。現在では、Office 365やGoogle Workspaceなど、ほとんどのメールサーバーがDMARCやその他の認証システムを採用しています。
ほとんどのメールゲートウェイはDMARCを使用していますが、これはSPFとDKIMでは配信を決定する際に十分な情報が得られないためです。SPFやDKIMだけでは不十分であり、DMARCやその他のエンゲージメントの詳細を正しく機能させる必要があります。
誤解その4:Office 365はすでにDMARCをサポートしている
Office 365を使用し、DMARCをサポートしているからといって、セキュリティの責任から解放されるわけではありません。これらのメールサーバーが提供するDMARC認証は、インバウンドメールの認証をチェックしますが、あなたのドメインのDMARC enforcement 。したがって、DMARC認証サーバーは、お客様のドメインDMARC enforcement のような可視性は提供しませんし、お客様がメール送信に使用している他のオンプレミスサービスを認証することもできません。
決定的な違いは、Office 365はDMARCをサポートしているが、実装していないことだ。そのため、専門家に依頼してDMARCを実装するのがベストだろう。
誤解その5:DMARCはメールの設定やメールマーケティングに支障をきたす
DMARCはセキュリティを強化するだけです。DMARCはすべてのメールゲートウェイと完全に互換性があるため、支障をきたすことはありません。オンプレミスであろうとクラウドベースであろうと、DMARCがメールの流れを止めることはありません。
さらに、DMARCはマーケティング活動をより効率的にします。DMARCは、マーケティングメールを正しく認証するため、マーケティングメールの効率を高めます。唯一の課題は、まずすべてのマーケティングメールを識別し、隔離されたり拒否されたりしないように認証することによって、DMARCを適切に実装する必要があるということです。専門家がワンクリックでマーケティングメールの認証設定を行うことで、このようなことが可能になります。
誤解その6:DMARCは面倒なセキュリティプロジェクトである
まず第一に、DMARCは単なるセキュリティ・プロジェクトではありません。IT、コンプライアンス、マーケティング、セキュリティの各部門にまたがるプロジェクトです。そのため、悪意のあるメールを阻止するだけでなく、メール配信を強化し、ブランドの印象を高めることにも役立ちます。
さらに、DMARCは自分で実施しようとするのをやめれば、面倒なものではありません。DMARCは技術的なものであり、作成されるレポートは読むに耐えない。だから、手作業で解析するのではなく、専門家の手に委ねるのが一番だ。
DMARCプロジェクトは時間がかかり複雑だからといって放置しておくと、組織に大きな損失をもたらします。適切なツールと支援があれば、DMARCを設定し、最大限に活用することができます。
誤解その7.DMARCはドメイン数が多すぎると機能しない、
これは、DMARCの導入を妨げる最も一般的なDMARC神話の1つである。多くの人は、ドメインを持つということはDMARCのセットアップが 不可能、あるいは複雑すぎると考えている。それどころか、DMARCを適切に実装すれば、何千ものドメインを問題なく保護することができる。
世界中に何千ものドメインを持つ組織だからといって、DMARCの採用を躊躇する必要はない。実際、そのような企業にとっては、保護されていないドメインが多いため、餌食になる可能性が高く、DMARCはさらに不可欠である。つまり、DMARCは格好の標的であり、DMARC enforcement 。
そのため、複数のドメインを持っているからといってDMARCを無視することは解決策にはなりません。広範なドメイン・ポートフォリオを所有し、無数のベンダーと通信している多くの企業は、DMARCを介して安全な可視性とポリシー施行を維持しています。DMARCの攻撃を阻止する努力を、この神話に貶められないでください。DMARCは多くのドメインで機能し、うまく機能しています。時代遅れだ!
誤解その8:DMARCはコストがかかる
DMARCサービスにはコストがかかると思うかもしれない。しかし、DMARCを導入しないことは、それ以上のコストがかかるのです。そう、数ドルを節約するために、組織のセキュリティを危険にさらすことになるのだ。さらに、DMARCパッケージの価格はサービスによって異なります。優れたサービスとともにリーズナブルな料金を提供するツールを見つけることができる。
さらに、DMARCのコストも組織の規模によって異なります。予算に応じて、あらゆる規模の企業、非営利機関、政府機関に適合するソリューションを見つけることができます。DMARCがもたらす効率と保護を享受し始めれば、価格は問題ではなくなります。メリットはコストを上回るでしょう!
誤解その9:DMARCは常に機能する
DMARCがすべての攻撃を防げると思ったら大間違いだ。確かにDMARCは、SPFやDKIMといったすでに使用されている認証技術に強力なレイヤーを提供する、非常に洗練されたツールです。しかし、DMARCが安全なメールゲートウェイを提供できるのは、正しく設定された場合のみです。
DMARCがアウトバウンド・フィッシング対策として理想的なのは、専門家によって実装された場合のみである。.さらに、DMARCは始まりに過ぎません。DMARCを継続的に実施し、100%のセキュリティのためにEメールエコシステムを監視する必要があります。
最後に、DMARCが適切に設定されていたとしても、スピアフィッシングのような攻撃を防ぐことはできません。つまり、DMARCが非常に有益であるとしても、それが常に成功するというのは神話なのです。
誤解その10:メールを送らない?DMARCは必要ない
ドメインを使ってメールを送信していないからと言って、詐欺師から安全だと思ったら大間違いです。非送信ドメインであっても、特に有名ブランドや個人を利用している場合は、サイバー犯罪者に狙われます。
自分のドメインからメールを送信しない場合でも、他人がそのドメインを使ってユーザーを誘い込まないように保護する必要があります。フィッシングやなりすましは非常に一般的になっており、メール受信者は、メール送信用に設定されていないドメインから悪意のあるメールが送信された場合、それを識別することすらできません。ユーザーに自分だと思われると、評判を落とすことにもなりかねません。
結論
私たちは、あなたを怖がらせるためにこのような誤解をリストアップしたわけではありません。DMARCを最大限に活用するために、誤解を解いていただきたいのです。DMARC神話をすべて否定すれば、DMARCをよりよく理解し、適用できるようになるでしょう。
ですから、一部の知識の浅い人たちがDMARC神話を広めたからといって、DMARCをあきらめないでください。DMARCは、セキュリティ・リスクが増加傾向にあるこの試練の時代に、組織を保護するのに役立つ便利なツールです。SkysnagでDMARCをお試しいただき、DMARCの保護を実感してください。