DMARCは、なりすましメール攻撃から組織を保護するための重要な技術です。企業や組織でセキュリティに関する意識が高まっているため、メールセキュリティの技術であるDMARCが注目を集めています。
この記事では、DMARCの基本原則から始めて、なりすましメールの仕組みやその危険性、そしてDMARCがどのようにしてこれらの攻撃から保護するのかを詳しく解説します。初めてDMARCを設定する方に、設定方法も解説しますのでぜひご確認ください。
DMARCとは
DMARCは、Domain-based Message Authentication,Reporting and Conformanceの頭文字をとったもので、メールの送信元ドメインを認証して、なりすましメールからの攻撃を防ぐ対策として有効な技術です。
近年、フィッシング詐欺やなりすましメールによる被害が急増しています。そこでDMARCは送信元のドメインを認証する仕組みを提供しています。
DMARCの基本概念
DMARCは、SPFとDKIMの技術をもとに、なりすましメールへの対処ポリシーを明確化したものです。
SPF認証とDKIM認証を組み合わせることでなりすましメールへの被害は削減できますが、ヘッダFromが詐称されるなどのなりすましを防ぐことはできません。
SPFとは
SPFと、このあと解説するDKIMは、いずれもメールの送信ドメイン認証技術でありメールセキュリティ強化のために多くの企業で利用されています。
SPFは、送信元のIPアドレスを検証し、フィッシングメールやスパムメールといった悪意を持ったメールを防ぐ技術です。導入が比較的容易ですが、転送メールが誤判定されるケースが多いという欠点があります。また、DKIMとの大きな違いとして、メール本文が改ざんされている場合は検知できません。
基本的なメールセキュリティ対策を行い、導入の手間やコストを抑えたい企業がSPFを利用します。
DKIMとは
DKIMは、電子署名による認証を行うドメイン認証技術です。以下のステップで認証されます。
- 送信メールサーバーでメールに電子署名を付ける
- 電子署名付きのメールを送付
- 受信側は、電子署名を確認して送信側のDNSサーバーに公開鍵を問い合わせる
- 問い合わせを受けた送信側のDNSサーバーが公開鍵を公開する
- 公開鍵と電子署名を照会してOKとなれば認証成功
SPFに比べて設定が難しいとされていますが、精度の高い認証技術で、メール本文の改ざんも検知できるというメリットがあります。
関連記事:DKIMとは?SPF・DMARCとの違いや仕組みを解説!
DMARCのポリシーとは
SPFとDKIMを設定してドメイン認証を行い、認証に失敗したメールをどのように扱うかポリシーであらかじめ設定しておく技術がDMARCになります。
DMARCは、メールのなりすましを防ぐための技術です。なりすましメールとは、送信者のメールアドレスを偽装して送信されるメールのことで、フィッシング詐欺やランサムウェア攻撃など、悪意のある目的で利用されることが多いため、対策が重要です。
DMARCのポリシーは、SPFやDKIMの認証に失敗したメールの処理方法を指示するものです。DMARCレコードと呼ばれるDNSレコードに設定し、ポリシー(指示)はnone、Quarantine、Rejectの3つの種類から選択できます。
none (無し)
ポリシーをnoneに設定すると、認証結果に関わらず、メールは受信者に配信されます。DMARCを導入して、メールが通常通り受信できるか確認する段階など、初めてDMARCを設定する場合に使用します。noneにしていても、DMARCレポートは送信されるため、まずは、なりすましメールの受信頻度を確認したいという場合にも利用可能です。
quarantine (隔離)
DMARCポリシーをquarantine(隔離)に設定すると、なりすましや迷惑メールと判定したメールを、受信者の迷惑メールフォルダや隔離フォルダに配信します。なりすましメール対策を強化したいが、メール配信率への影響を抑えたい場合や受信者側で迷惑メールと判断する前に、隔離フォルダで確認したい場合に、quarantineのポリシーを利用します。
reject (拒否)
DMARCポリシーの中で、最もセキュリティを重視する設定がreject(拒否)です。なりすましや迷惑メールと判定した場合、受信者にメールが配信されません。別フォルダに移動することもありません。なりすましや迷惑メールによる被害が大きい場合や正常なメールの受信率を下げないことよりも、セキュリティを重視したい場合にrejectポリシーを利用します。
DMARC|4つのメリット
DMARCは、メールによる攻撃から企業や個人を守るための重要な対策として注目されています。ここでは、DMARC導入の4つのメリットについて解説します。
なりすましメール防止における効果
DMARCの最大の利点は、なりすましメールの隔離やブロックができることです。近年増加しているフィッシング詐欺や標的型攻撃は、企業や組織などから個人情報、金銭を騙し取るために、正規の送信元を装って送信されます。
DMARCは、SPFやDKIMなどの送信ドメイン認証技術と連携し、なりすましメールを高精度で検知し、受信者に届く前にブロックすることが可能です。DMARCの導入により、企業や個人の重要情報や資金を保護し、ブランドイメージの損傷を防ぐことができます。
メール送信の信頼性向上
DMARCの導入により、組織のメール送信プロセスの信頼性が向上します。DMARCは、送信元ドメインの認証を強化し、受信側のメールサーバーが正当なメール送信者を認識できるようにします。その結果、偽装やなりすましを防ぎ、メール送信の信頼性と品質を確保します。これにより、受信者は信頼できる送信元からのメールを受信し、スパムやフィッシング詐欺から保護されます。
DMARCレポートにより脅威を可視化できる
DMARCの導入により、定期的に生成されるDMARCレポートを確認できます。DMARCレポートを分析することで、偽装やなりすましメールの数、不正な送信元、認証の問題などを素早く把握し、セキュリティ上の脅威を可視化できることは大きなメリットです。
さらに、DMARCレポートは、組織がセキュリティポリシーの遵守状況を把握し、改善点を特定するのに役立ちます。これにより、組織はメール送受信におけるセキュリティリスクを最小限に抑え、効果的な対策を講じることができます。
DMARCレポートには、一般的に以下のような内容が記載されています。
- 受信したメールの数
- SPF・DKIMによる認証結果
- SPF・DKIMによるアライメント(一致確認)の認証結果
- 送信サーバーのIPアドレスを表示
- レポートを送信した組織情報を表示
- DMARCポリシーの設定内容
また、失敗レポートで認証に失敗したメールの失敗理由を確認できます。
メールセキュリティ対策にかける時間・コストを削減
DMARCの導入のメリット4つ目は、組織がメールセキュリティにかける時間とコストを削減できることです。DMARCは、送信元ドメインの認証を自動化し、メール送受信プロセスを効率化します。これにより、組織はセキュリティポリシーを簡単に適用し、不正な送信者からのメールを防ぐことができます。
また、DMARCレポートを利用することで、組織はセキュリティ上の脅威を素早く識別するための対策が可能です。これにより、セキュリティ対策にかかる時間とコストが削減され、組織はより効率的にリソースを活用できるようになります。DMARCの導入は、組織にとってコスト効果の高いメールセキュリティ対策を提供します。
DMARC|3つのデメリット
DMARC導入には、メリットだけでなくデメリットもあります。主なデメリットを3つ紹介します。
導入・設定時に専門知識が必要
DMARCの導入と設定は、専門知識が必要な作業です。DMARCは、SPF(送信者ポリシーフレームワーク)とDKIM(ドメインキー認証メール)という他のセキュリティ機能と統合されるため、これらの技術について理解していることが不可欠です。ドメインの所有権確認や、ヘッダーの改ざんを検知するメカニズムなど、複雑な技術的側面があります。専門家やテクニカルサポートの協力があれば、効果的な導入と設定が可能です。
送信側・受信側で設定が必要
DMARCの設定には、送信側と受信側の両方での調整が必要です。送信者は、自分のドメインに対するDMARCレコードを作成し、適切なポリシーを定義する必要があります。また、受信者は、送信者のDMARCポリシーに基づいてメールの受信を処理する必要があります。この双方向の設定が行われないと、DMARCの効果は十分に発揮されません。したがって、双方の側面を理解し、連携を確保することが重要です。
正規のメールも届かない誤検知が発生する
DMARCの設定が厳格になると、正規のメールでさえも誤ってブロックされる可能性があります。DMARCは、ドメインの認証を厳密に行い、偽装されたメールや悪意のある送信を防止するための機能です。しかし、送信者が適切に設定を行わず、受信者が誤ってメールをブロックしてしまう場合もあります。このような誤検知は、送信者と受信者のコミュニケーションや、DMARCポリシーの調整によって軽減されることがありますが、完全に回避することは難しいかもしれません。
DMARCの設定方法
ここからは、DMARCの設定方法を解説していきます。DMARCの設定を行う場合は、先にSPFかDKIMを設定しておく必要があるため、SPFとDKIMのそれぞれの設定方法についてもあわせて解説します。
DMARCの運用ルールを決める
導入するにあたり、まずは運用ルールを決めることが重要です。なりすましや迷惑メールなど不正なアドレスは、企業としてどのように扱うのか、破棄するのか、別のフォルダに保管するのか事前に決定しておきましょう。
DMARCはドメインに対して設定するため、DMARC導入によって、対象のドメインを使ってメール配信しているサービスやシステムに影響を及ぼす可能性があります。対象ドメインを利用しているサービスなどについても事前に確認しておきましょう。
SPFの設定をする
SPFレコードは、メール送信元のドメインを認証し、なりすましメールを防ぐためのDNSレコードです。設定方法は、利用しているドメイン管理サービスによって異なりますが、基本的な手順は以下の通りです。
- 対象ドメインのドメイン管理サービスにログインする
- DNSレコード設定画面を開く
- SPFレコードを追加する(SPFレコードの例)
「対象のドメイン名」. IN TXT "v=spf1 「SPFを設定するIPアドレス」 - 設定内容を保存する
DKIMの設定をする
DKIMは、公開鍵を利用するドメイン認証方式です。SPFレコードは、DNSサーバーを変更すれば設定できますが、DKIMは送信サーバーとDNSサーバーの両方の設定を変更する必要があります。設定方法は以下のとおりです。
- DKIMレコード用の鍵ペアを生成する
- DNSレコードに公開鍵を登録する
- メール送信サーバーに秘密鍵を設定する
- 設定を保存し、検証する
DNSサーバーに設定する公開鍵と、送信メールサーバーに設定する秘密鍵を作成し、それぞれ設定します。DKIM設定ツール、メールサービス事業社が提供するツールなどで、鍵の作成が可能です。設定の検証時にも、DKIM設定ツールが活用できます。認証の際は、秘密鍵と公開鍵の組み合わせが一致するかどうかで判定しています。
DMARCレコードの設定をする
DMARCレコードは、ドメインのDNSレコードの一種であり、送信ドメインがDMARCをサポートしていることを示します。DMARCレコードは、ドメインのDNS管理ツールを使用して、適切な設定を行う必要があります。
DMARCレコードの書式・タグについて
DMARCレコードは、テキスト形式で記述され、一般的には以下のような書式で記述されます。
_dmarc.example.com. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com
v: DMARCのバージョンを示します。現在のバージョンは「DMARC1」。
p: ポリシーを指定できます。none、quarantine、rejectのいずれかを指定します。
DMARCレコードのタグ設定は、vタグとpタグは必須ですが、その他はオプションとなります。その他、さまざまなタグが用意されていますのでいくつか紹介します。
| adkim | DKIM認証のアライメントモードを設定 |
| aspf | SPF認証のアライメントモードを設定 |
| fo | 失敗レポートのオプション (0, 1, d, s) |
| pct | ポリシーを適用するメールの割合を決める |
| rf | 失敗レポートの形式 |
| ri | 集約レポートの送信間隔 |
| rua | 集約レポートの送り先を指定する |
| ruf | 失敗レポートの送り先を指定する |
| sp | サブドメインに対するポリシー |
DMARCレコードを確認する方法
DMARCレコードを設定したら、正しく動作するか確認しましょう。DMARCレコードの確認方法は3種類あります。
- DMARC チェック ツールでエラーチェック
DMARC チェック ツールのページを開き対象のドメインを入力し確認します。 - 受信メールヘッダーの確認
DMARCに対応しているプロバイダーにメールを送信し、受信したメールヘッダーの詳細を確認します。ヘッダの値が 「spf=pass」、「dkim=pass」、「dmarc=pass」 となっていれば、DMARCレコードが正しく設定され、動作していることになります。 - DMARCレポートで確認
DMARCレポートは、DMARCレコードに従ってメールがどのように処理されたかを報告するものです。レポートの内容を確認することで、DMARCレコードの設定状況やメールの処理状況を詳細に分析できます。
DMARC導入時に注意すること
DMARCを導入することで、企業や組織へのなりすましメールや迷惑メールのリスクを軽減できます。セキュリティ強化のための便利な技術ですが、導入する際には注意点があります。ここでは、DMARC導入時に注意するべき3つのことについて解説します。
ポリシーは「none」から設定する
DMARCには、受信サーバーがなりすましメールと判断した場合の処理を指示するポリシー機能があります。導入当初は、ポリシーを「none」に設定し、DMARCレコードの動作確認と影響範囲の調査を行うことを推奨します。いきなり「reject」や「quarantine」を設定すると、正当なメールまで弾かれてしまう可能性があります。
SPF・DKIMのアライメント作業を行う
送信元メールアドレスのドメインと、SPFやDKIMで認証したドメインが一致するか確認する作業をアライメントと呼びます。
アライメントを行うことで、なりすましを防ぐことができます。DMARCの技術を導入してSPF認証、DKIM認証を行ってもアライメント作業を行わなければ、ポリシーをnoneから変更できず、なりすまし対策ができません。DMARC導入後はアライメント作業も必要になることを認識しましょう。
DMARCレポートで状況を把握し定期的にメンテナンスを行う
DMARCレコードを公開すると、受信サーバーからDMARCレポートと呼ばれる報告書が送信されます。DMARCレポートには、DMARC認証の結果やなりすましメールの受信状況などが記録されています。定期的にレポートを確認し、DMARCレコードの設定やポリシーを調整する必要があります。
HENNGE Customers Mail Cloudなら安全にクラウドメールを送れる
2023年に金融会社に対して、経済産業省がDMARCの導入を要請するなど、国を上げてDMARCによるセキュリティ対策を勧めています。
また、企業で多く利用されているクラウドメールサービスであるMicrosoft365のoutlookやGoogle Workspaceは、すでにDMARCに対応しています。従来のオンプレミス型メールサーバーから、クラウド型メール配信サービスへの移行が進んでいますが、その中でも「HENNGE Customers Mail Cloud」は、高いセキュリティと使いやすさで注目を集めています。
導入が簡単で使いやすい
Customers Mail Cloudの最大の特徴は、導入が簡単なことです。ECサイトや商品の予約サイトでは、顧客との取引情報が記載されたメールを送信します。
重要なメールを保護するために、ドメイン認証やメール暗号化、SPFやDKIMの設定、迷惑メールと判断されず確実にメールを送るための対策など、多くの煩雑な設定が必要でした。Customers Mail Cloudでは、これらがセットアップされたメールサーバーがフルマネージドサービスとして提供されるため、高いスキルを持っていなくても簡単に導入可能です。
また、直感的なインターフェースと使いやすい機能により、ユーザーはストレスなくメールの送受信や管理ができます。
高い可用性
ビジネスにおいてメールの可用性は非常に重要です。可用性とは、システムが継続して稼働できる割合を指します。Webサービスは24時間365日いつでも利用できることが求められるため、高い可用性を誇ることが、Customers Mail Cloudのメリットです。
サービス停止やメンテナンスの影響を最小限に抑え、常に利用可能な状態を維持する体制が整えられています。ビジネス上の重要なやり取りがスムーズに行え、生産性の向上に貢献します。
安心のセキュリティ
Customers Mail Cloudは、セキュリティ面でも優れています。メールを保護するために、データの暗号化、通信の暗号化、多要素認証などのセキュリティ対策を行っています。
また、特定電子メール法や個人情報保護法に対応するなど、各種ガイドラインにも準拠しています。そのため、利用者は安心して利用可能です。さらに、常に脅威を監視し、迅速かつ効果的に対処することで、データを安全に保ちます。
まとめ
DMARCを設定することで、なりすましメールからの保護が可能になります。貴社のドメインを悪用した不正な送信を防ぐため、DMARCは必須です。設定は難しくなく、ステップバイステップで進めることができます。さらに、DMARCの設定によって、メールの信頼性や配信率も向上させることができます。安心してメールを送受信するために、ぜひDMARCを設定しましょう。
DMARC対応を目的としたメールのクラウド化と、それに合わせたHENNGE One導入も有効です。
HENNGEでは、DMARCコンサルティングも行っています。Customers Mail Cloudの導入と併せてお気軽にご相談ください。
