スカイスナッグ・ブログ
DMARCとは?
DMARCとは "ドメインベースのメッセージ認証、レポーティング、コンフォーマンス".これは、ドメイン所有者がフィッシング攻撃と戦うことを可能にする、オープンな電子メール認証、ポリシー、および報告プロトコルである。
なぜDMARCを導入する必要があるのか?
DMARCの目的は、一般的に電子メールのなりすましとして知られる不正使用からドメインを保護し、ビジネスメール詐欺(BEC)攻撃、フィッシングメール、マルウェア、その他のサイバー脅威活動のリスクを軽減することです。
無料のDMARCチェッカーを使用して、DMARC、SPF、DKIMを調査し、ドメインのステータスをお知らせするクイック分析を実行します。その後、コンプライアンスを達成するために必要な次のステップが通知されます。
どの程度深刻なのか?
電子メールのなりすましは、従業員トレーニング、SOC、2FA、HTTPS、強力なパスワードなど、すでに導入されているあらゆるセキュリティ対策を回避する。
攻撃者は、DNSに公開記録を問い合わせることで、組織のドメイン名がなりすませることができるかどうかを簡単に調べることができる。DMARC enforcement 、ドメイン名はなりすますことができる。
攻撃者は、スパムメールを配信したり、時には直接なりすまし攻撃をするために、企業のドメインの良い評判を利用する。
結果は?
スパムとジャンク。
スパムや迷惑メールは多くの企業にとって謎となっており、顧客に迷惑メールやスパムフォルダをチェックするよう呼びかけているほどだ。もしメールが正当なものであれば、それは常に受信トレイフォルダに入るはずであり、それ以外の場所に入ることはない。
なぜみんなDMARCを導入していないのか?
大昔に電子メールが構築された当初は、将来サードパーティのメール送信者があなたの代わりに電子メールを送信するとは誰も予想していませんでした。SMTPには認証機能がなかったため、電子メールのなりすましやなりすましが可能になり、攻撃者はどのドメイン名からでも電子メールを送信できるようになった。
この抜け穴を修正するために、SPF、DKIM、DMARCというセキュリティ標準が導入された。しかし、この修正はDNS上で行わなければならず、ドメイン所有者のみが行う必要があり、多数の監視アクションが必要であったため、困難で時間がかかり、現在では90%の企業が未設定のままとなっている。
なぜこのようなことが起こるのか?
- ドメイン名が不正に過度に使用されている。つまり、なりすましがあなたのドメインから大量にメールを送信している。
- メール送信者の設定が間違っている状態で、メールが送信されている。
Skysnagは、ドメインのレピュテーション、DMARC enforcement の設定、SPF/DKIMのアライメントをすべて自動で行いながら、次のレベルの自律的なメール認証を発見するお手伝いをします。
メールのレピュテーションを回復し、ドメイン名から送信されるすべてのメールが認証されていることを確認しましょう。
- ジャンクにノーと言おう。
- スパムにノーと言おう。
DMARCポリシー
DMARCプロトコルには、複数のオプションとポリシー実施レベルがある:
1.ポリシーを監視する: p=なし
について p=なし は、DMARCが失敗したときに何のアクションも起こさない監視ポリシーですが、ドメイン所有者が自分のドメインで何が起こっているかを洞察することができます。これは、すべてのドメイン所有者が始めるポリシーであり、理想的なDMARC enforcement ステータスへの道を開きます。
2.検疫方針: p=検疫
これはモニターポリシーよりも厳しいポリシーで、ドメイン所有者はDMARCチェックに失敗したメールが受信トレイに入り、それ以外のメールがスパムフォルダに入る割合を設定することができます。おそらく、30%のドメインが p=検疫つまり、DMARCに失敗したメールの30%が受信者の受信箱に届くことになります。ドメイン所有者は通常、低い割合から始めますが、良いメールを失わないという確信が深まるにつれ、その割合は増えていきます。
3.拒否ポリシー: p=拒否
このポリシーは、すべてのドメインが到達すべき究極のポリシーです。DMARCチェックに失敗したメールはすべて拒否し、それ以外のメールはすべてDMARC認証が正しく行われ、受信者の受信フォルダに配信されることを保証するポリシーです。
DMARCはなぜ失敗するのか?
DMARCは主に2つの理由で失敗することがある:
DMARCレコードが誤って設定されているか、ドメイン名が攻撃者によって使用されているかのどちらかである。これをさらに掘り下げてみよう。
1: DMARCアライメントの失敗
DMARCは以下を使用します。 [識別子アライメント] で指定したドメインからのメッセージであることを確認する。 "から" セクションに追加されます。この処理は、DKIMとSPFレコードが適切に設定されていれば可能です。
DMARCレコードを作成するために、Skysnagアカウントを作成してください。
そのため、SPFレコードに送信ドメインのIPが含まれていること、またサードパーティが代理で送信している場合は、それらがSPFに含まれていることを確認してください。DKIMについては、ドメインキーがFromヘッダーキーと一致していることを確認してください。
DMARCをパスするためには、SPFまたはDKIMのどちらかがアライメントされている必要があり、アライメントモードをstrictとrelaxに設定することができます。アライメントモードをstrict modernに設定し、サブドメインからメールを送信する場合は、サブドメインからの認証を明示的に許可するようにしてください。
2: 電子メールの転送
メールは転送される際に仲介サーバーを通過する。この過程で、転送サーバーのIPアドレスが元のドメインのSPFと一致しないため、SPFは失敗しなければならない。
ここでのDKIMの役割は、電子メールのデジタル署名を、受信サーバーがチェックする公開鍵署名と一致させることである。
はい、DKIMは一定の受信者DNSをチェックするため、IPSを気にすることはありません。SPFレコードとDKIMレコードが適切に設定されていることを確認し、DMARCレポートを分析することは、転送されたメールの配信上の問題を避けるために非常に重要です。
3: DNSで送信元が見つからない
DMARCを実施する場合、お客様の代わりにメールを送信するサードパーティの送信サービスのレコードをお客様のDNSに追加する必要があります。SPFアライメントの失敗により、MTAがお客様のレコード内の送信IPを見つけられず、正当なメッセージの認証に失敗してしまうからです。この問題を解決するため、Skysnagは有効なIPアドレスを自動的に追加し、SPFアライメントの失敗を防ぎます。
結論
Skysnagの自動化されたソフトウェアは、お客様のドメインのレピュテーションを保護し、漏洩したビジネスメール、パスワードの盗難、そして潜在的に大きな金銭的損失からお客様のビジネスを守ります。SPFやDKIMなどのメール認証設定の問題を回避し、厳格なDMARC enforcement 、お客様のドメインをなりすましから守ります。このリンクから 無料トライアルにお申し込みください。