HDE BLOG

コードもサーバも、雲の上

DMARCとは

こんにちは。メール配信担当の大久保です。

先日、社内の技術勉強会で、なりすましメールを防ぐための技術 DMARC についてお話させて頂きました。 今回はこの話をまとめてブログ記事にしたいと思います。

DMARC とは

DMARC(Domain-based Message Authentication, Reporting & Conformance)は、 送信ドメイン認証技術であるSPFとDKIMをもちいてなりすましメールの判定を行います。 メール受信者がなりすましメールを受信した場合に、これをドメイン所有者に通知する仕組みと、 なりすましメールをどのように取り扱うべきかをドメイン所有者が宣言する仕組みを提供します。

DMARCは主に2つの機能をメール送信者に提供します。

レポート

メール送信者は、メール受信者から2種類のレポートをもらうことができます。

  • Aggregate Reports : メール送信者のドメインから受信したメール数と認証結果のサマリーレポートです。

  • Failure Reports : 送信ドメイン認証が失敗した場合、リアルタイムに報告されます。 送信IPや、メッセージIDなど認証に失敗したメールを調査するために必要な情報が含まれます。

ポリシー

メール送信者は、SPFとDKIMを用いて自身が送信したメールをメール受信者に認証してもらいます。 認証に失敗した場合、メールをどのように取り扱ってほしいかを3つのポリシーのいずれかで宣言することができます。

  • none : 何もしない。

  • quarantine : 隔離する(迷惑メールフォルダに入れる)。

  • reject : 受信しない(SMTPエラーとする)。

どのように導入するのか

企業ドメインでは複数のシステムからメールを送信していることが考えられ、 送信ドメイン認証に未対応のシステムがあったり、 DKIMキーやSPFが適切に公開されていないなどを理由とした認証エラーが発生するリスクがあります。

このようなリスクを回避し、安全にDMARCを導入するために、以下の手順が推奨されています。

  1. まず最初にDKIMとSPFを導入します。

  2. Gmail や Yahoo メールなどでメールを受信して認証が成功することを確認します。

  3. ポリシーを"none"として、DMARCレコードを公開し、Aggregate Reports を受信します。

  4. Aggregate Reports を分析して全てのメール送信先ドメインの認証結果を確認します。

  5. DKIMとSPFの運用が適切であることが確認できたら、DMARCポリシーを"none"から"quarantine", "reject"へ変更します。

どのようなメリットがあるのか

米国では、2007年に PayPal が DMARC を導入し、なりすましメールを激減させることができたというレポートがあります。

DMARCのゴールは、"reject"を宣言してなりすましメールをユーザーのメールボックスに届けないことですが、 Aggregate Reports を受信し、企業ドメインに対する送信ドメイン認証の対応状況を分析するなど、 メールの到達性を改善するための有効なツールとして利用できるかと思います。

また、Failure Reports を受信することで、 認証エラーの発生を検知し、原因の調査と改善を図るなど送信ドメイン認証の運用を適切に維持できると考えます。

おわりに

DMARCを導入するためには、まず送信ドメイン認証(SPF,DKIM)を導入する必要があります。 私どもが提供するメール配信サービス Customers Mail Cloud は、 既存のメールサーバーにメールリレーの設定をするだけで利用することができ、DKIMとSPFに対応することができます。

また、DMARC導入に関するご相談も承っております。 興味がありましたら問い合わせフォームよりお気軽にご相談ください。