SPF(Sender Policy Framework)
SPFは、電子メールの認証プロトコルの一つで、送信元のIPアドレスが特定のドメインに関連付けられているかを確認するための仕組みです。
コラム
~DMARCの仕組みをやさしく解説~
DMARCは、メールセキュリティを向上させるための技術です。「DMARCとは?」「どうやって設定するの?」そんな疑問にお答えします。
DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPFやDKIMという電子メールの認証技術を補完し、さらに強化する仕組みです。
メールの「From」アドレス(ユーザー画面に表示される送信元アドレス)を確認し、不正に利用されていないかを検証します。
SPFは、電子メールの認証プロトコルの一つで、送信元のIPアドレスが特定のドメインに関連付けられているかを確認するための仕組みです。
DKIM は、電子メールの認証プロトコルの一つで、送信されたメールが正当な送信者からのものであり、送信中に改ざんされていないことを確認するための仕組みです。
暗号化技術を使用してメールにデジタル署名を付与し、その署名を検証することで認証を行います。
メールセキュリティの基本であるSPFとDKIMには、1つの大きな弱点があります。
それは、送信元(差出人)の「From」アドレスを直接認証しない点です。
そのため、詐欺メールやフィッシングメールの送信者が、偽のFromアドレスを使って、あたかも信頼できる企業や知人から送られたように見せかけることが可能です。
DMARCはこの問題を解決します。
「From」アドレスが正しいか確認することで、詐欺メールや
フィッシング攻撃をシャットアウトします
正当な送信元だけがメールを送れるようになるため、
企業やブランドの信頼性を高めることができます
DMARCを設定すると、スパム扱いされにくくなり、
正規のメールが受信者に届きやすくなります
DMARCは、送信者が受信側のメールサーバーに対して、認証に失敗した場合の処理方法を指定できます。
設定できるポリシーは以下の3つです。
DMARCは以下のステップで動作します。
DMARCレコードは、ドメインのDNS(Domain Name System)に保存される設定情報です。
これにより、インターネット上のすべてのメールサーバーが即座にアクセス可能となります。
DMARCレコードは他のDNSレコードと並んでTXTレコードとして挿入され、名前は「_dmarc」から始まり、その後に適用されるドメイン名が続きます。
たとえば、「example.com」のDMARCレコードは「_dmarc.example.com」として公開します。
DMARCレコードにはさまざまなタグがありますが、基本的に理解する必要があるのは以下の3つのタグだけです。
上述のv=, p=, rua=がDMARCレコードで必要な3つのタグです。これらが正しく設定されていれば、DMARCの基本的な機能を活用できます。
特定のニーズに応じて使用されるタグもありますが、多くの場合は必須ではありません:
DMARCレポートは、対象ドメイン名を指定してメールを送信するすべての送信者とその認証状況を把握するための重要なツールです。
これにより、不正な送信者や認証に問題のあるサービスを特定し、ドメインのセキュリティを強化できます。
DMARCレポートには次の情報が含まれます:
DMARCを導入し、エンフォースメントを達成することは、メールセキュリティ強化において重要です。
エンフォースメントを達成するためには、最初に「p=none」を設定し、DMARCレポートを分析して現状を把握します。
その後、問題点を特定・改善しながら、段階的に「p=quarantine」や「p=reject」へ移行することで、安全性を高めていきます。
具体的には、以下のステップを繰り返し実施することが必要です:
DMARCは非常に効果的ですが、以下のような制約もあります。
Valimailを利用すれば、DMARC、SPF、DKIM、BIMIの管理を簡単に行い、ドメインを確実に保護することができます。
自動化ツールを使用することで設定の複雑さを解消し、より早くエンフォースメントを達成できます。
Monitorに登録して、Valimailをお試しください!
~ValimailのMonitorサービスを体験し、DMARC導入・運用の第一歩を踏み出しましょう~