近年、なりすましメールによる詐欺やサイバー攻撃などの被害が深刻化しています。メールの送信元を偽装したなりすましメールは、受信者が本物と信じて開封してしまい、個人情報や金銭を騙し取られるなどの被害につながります。
このような被害を防ぐために、送信ドメイン認証(SPF、DKIM、DMARC)という技術が活用されています。DMARCは、SPFとDKIMを組み合わせることで、なりすましメールの検知精度を高める技術です。
Googleの「メール送信者のガイドライン」が改訂され、1日あたり5,000件以上のメール(個人宛)を送信する場合は、SPFとDKIM、そしてDMARCの設定が義務付けられました。
本記事では、DMARCの概要や仕組み、メリット、主要なMA利用における設定方法などをわかりやすく解説します。
関連記事:2024年2月までに対策すべきGmailの送信者ガイドラインとは。SPFレコードやDKIMについて解説
◆目次
1. DMARCとは
2. DMARCの仕組み
3. DMARCを設定するメリットや必要性
4. DMARCレコードの設定方法
5. MA利用にのけるDMARCの設定方法
6. まとめ
1. DMARCとは
DMARC(Domain-based Message Authentication, Reporting & Conformance)とは、メール送信元の正当性を証明する送信ドメイン認証技術です。
DMARCは、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)という2つの送信ドメイン認証技術を組み合わせることで、なりすましメールの検知精度を高めます。
SPFは、メールの送信元ドメインのIPアドレスが、そのドメインの送信元として登録されているかどうかを検証する技術です。
DKIMは、メールの送信元ドメインの公開鍵と、メールヘッダに埋め込まれた署名を検証することで、メールの送信元が正当かどうかを検証する技術です。
2. DMARCの仕組み
DMARCは、ドメイン所有者がDMARCレコードをDNSサーバーに登録することで、なりすましメールの検知や対処方法を指定します。
DMARCレコードには、以下の3つの要素が含まれます:
・ポリシー(p=):認証に失敗したメールの取り扱い方法(拒否、隔離、何もしない)
・レポート(rua=):DMARCレポートの送信先アドレス
・拒否ドメイン(p=rejectで指定した場合に適用):認証に失敗したメールを拒否するドメイン
ポリシーは以下のような挙動を指定します。
・何もしない(None):DMARCでは何もしません。メールの受信側にゆだねられます。(必ず受信者に到達するわけではなく、受信者側の仕組みで隔離されることがおおい)
・隔離(Quarantine):メッセージを隔離するよう指定します。
・拒否(Reject):メッセージは届きません。
3. DMARCを設定するメリットや必要性
DMARCを設定する主なメリットは、以下の2つです:
・なりすましメールの検知精度の向上
・なしすまりメールの状況把握と対策の検討
①なりすましメール検知精度の向上
DMARCを設定することで、メールの「ヘッダーFrom(受信トレイで見えている送信元アドレス)」と「エンベローブFrom(受信トレイからは見えない真の送信元アドレス)」が合致しているかのチェックが可能です。この仕組みを「アライメント」といいます。
実はSPFレコードとDKIMだけでは「ヘッダーFrom」と「エンベローブFrom」が合致しているかは確認できません。このSPFレコードとDKIMの弱点を補うために、DMARCは重要なのです。
②なりすまりメールの状況把握と対策の検討
DMARCでは、対象ドメインのメールの認証結果をレポートとして受け取れます。たとえば、第三者が自社になりすましてメールを送信している場合、その状況を把握できます。また、自社のメールが届かない場合にも、その状況を検知し要因を特定する際に役立ちます。
4. DMARCレコードの設定方法
DMARCレコードは、DNSサーバーに登録することで設定することができます。DMARCレコードの設定方法は、ドメインの管理画面やDNSレコード編集ツールなどから行うことができます。
記述例は下記のとおりです。
_dmarc.<ドメイン名> IN TXT “v=DMARC1; p=none; rua=mailto:xxx@xxx.com; ruf=mailto:xxx@xxx.com”
詳細な設定方法については、ドメインの管理画面やDNSレコード編集ツールのヘルプを参照してください。たとえば、レンタルサーバーである「XSERVER」ではサーバーパネルというConsoleから設定が可能です。
出典:DMARC設定│XSERVER
https://www.xserver.ne.jp/manual/man_mail_dmarc.php
5. MA利用におけるDMARCの設定方法
MAツール(マーケティングオートメーションツール)を使用している際は、それぞれのSPFレコードまたはDKIMでDMARCを設定する必要があります。
①Adobe Marketo Engageでの設定
Adobe Marketo Engageを使用してメール配信をしている場合、あらかじめSPFレコードとDKIMを設定しておきます。MarketoのSPFとDKIMを使用することが推奨されています。
ステップとしては下記です。
・Adobe Marketo EngageのSPFレコードとDKIMをDNSサーバーに設定する
・上記で設定したSPFレコードまたはDKIMでDMARCを設定する
②Account Engagement(旧 Pardot)での設定
Account EngagementそのものにはDMARCを設定する機能はありません。ただし、DKIM設定が可能なため、DMARC認証を利用することができます。SPFレコードでの認証が必要な場合は、別途手続きが必要になります。
③HubSpotでの設定
HubSpotにはDMARCレコードの設定を支援する機能があります。同様にSPFレコードとDKIMレコードの設定を支援する機能もあるので、両方を設定したうえでDMARCレコードを設定しましょう。
参考・出典:HubSpotでEメール認証を管理する
6. まとめ
Googleのポリシー変更によってSPFやDKIM、そしてDMARCの設定に追われている企業の担当者の方は少なくありません。いっぽうで、フィッシング詐欺やBEC(ビジネスメール詐欺)は年々巧妙になっています。
DMARCを設定しておくことでSPFやDKIMだけではすり抜けてしまう詐欺メールを、検知し隔離することが可能です。自社の顧客を守り、ひいては自社を守ることにもつながります。とはいうものの、技術的な知識が必要な取り組みでもあります。
Brizzyでは、MAツールの導入コンサルティング、運用支援を行っています。メール設定などもお気軽にご相談ください。
.png)
