Gmailがメール送信に関するポリシーを変更し、メールマガジンやマーケティングを含めた大量のメール送信者に対して、DMARCのサポートを義務づけます。この方針はGmailに限らず、他のメールプロバイダーも追従すると予想されています。
本記事では、その鍵となるDMARCについて、その概要とサポート方法、そしてメリットとデメリットについて解説していきます。
はじめに
DMARCの概要
DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略称になります。フィッシングやスパムメールのような不正なメール防止する技術の一つです。同様の技術としてSPFやDKIMが知られていますが、DMARCはそれらを補完する存在になります。
DMARCが何であるかといえば、SPFやDKIMによってメールの送信元検証が失敗した際に、そのメールをどう扱うかを規定するものになります。メール受信者にとっては不正なメールを受け取らないというメリットがあり、送信者にとっても自分たちのドメインが不正利用されるのを防げるようになります。
DMARCの重要性
DMARCは不正なメールの扱いをどうするか規定するものですが、その前提としてSPFやDKIMの準備が必要です。それらを整えることで、メールの送信元が検証されるようになり、不正なメールがユーザーに届くのを防げるようになります。
メールは便利な半面、大量の迷惑メールや不正なメールを受け取っているのが実情です。そうしたメールの中にはいかにも本物といった雰囲気を感じさせるものがあり、記載されたURLをクリックしてしまったがために、大きな損害につながるケースがあります。そうした不正メールの送信元としてあなたのドメインが使われれば、大きなブランド毀損につながるでしょう。
DMARCをはじめ、不正なメールを防止することは、ブランドの信頼性担保に大きな役割を果たします。
DMARCの基本
DMARCとは何か
DMARCは、不正なメールに対する処理を決める技術です。その設定はDNSレコードに対して行います。メールを受信するプロバイダーは、DMARCに関する設定を利用し、もし不正なメールであった場合にDMARCポリシーに沿った処理を適用します。
メールの処理方法としては、隔離や拒否があります。
DMARC、DKIM、SPFの違い
SPFはメールの送信元ドメインを規定します。そのドメイン自身はもちろんのこと、SMTPリレーを使っている場合にも対応します。DKIMはDNSレコードに公開鍵を設定します。そして、送信時に各メールに対してハッシュを生成し、メールの改ざんを防止します。各メールプロバイダーは、そのメールのハッシュ値について、DNSに設定されている公開鍵に従って検証します。
DMARCでは、このSPFとDKIMを使ってメールの検証を行い、もし不正メールであった場合にどう処理するかを規定します。DMARCの設定をする際には、まずSPFとDKIMの設定が基本になります。その上での運用ポリシーを規定するのがDMARCです。
DMARCの設定方法
DMARCレコードの作成と設定
今回は example.com というドメインに対して設定するものとします。DMARCは _dmarc.example.com に対してTXTレコードを設定します。設定する内容は、たとえば以下のようになります。
v=DMARC1; p=none; rua=mailto:dmarc-ra@example.com; ruf=mailto:dmarc-ra@example.com
ここで、各名称の意味は以下の通りです。
| 名称 | 意味 |
|---|---|
| v | DMARCのバージョン番号 |
| p | DMARCポリシー |
| rua | 集約レポートの送信先 |
| ruf | 個別レポートの送信先 |
DMARCに関する設定を間違えると、メールの配信に影響を及ぼす可能性があります。専用のサイトやツールを使って、設定内容の検証をしましょう。
無料DMARCチェッカー - 無料DMARCアナライザー - Skysnag
DMARCポリシーの選択と設定
DMARCポリシーは3つあります。
| DMARCポリシー | 処理方法 |
|---|---|
| none | 何もしない |
| quarantine | メールを隔離 |
| reject | メールを拒否 |
初期設定としてのお勧めは none が良いでしょう。まず、その状態でDMARCが正しく実装されているか確認します。その後、徐々に quarantine や reject へ移行していくことで、不正なメールを効果的に遮断できます。
なお、ポリシーの設定は各組織のセキュリティ要件や、リスク判定によって変わってくるでしょう。
DMARCの運用
DMARCレポートの解析
DMARCレポートは、メールが実際にどのように処理されているか確認できます。メールが設定したDMARCポリシーに沿って運用されているかどうか、ポリシーに違反したメールがあったかどうかを確認できます。
個人のメール送信に加えて、自社システムからの送信やSaaSでの送信などメールの送信元はさまざまです。各メール送信元から正しく送信されているか確認したり、不正な利用によるインシデント発生を未然に防げるなど、セキュリティ戦略を進める上で大きな役割を担うでしょう。
なお、レポートの解析には専門的な知識が必要になります。適切なツールや専門家のサポートの利用をお勧めします。
DMARC設定の確認と調整
DMARCは一度設定したら終わりではありません。定期的な確認と、必要に応じた調整が必要です。基本はDMARCレポートの分析タイミングになるでしょう。DMARCレポートの内容に合わせて、組織のセキュリティニーズに適合しているかを確認し、必要に応じて対応します。
また、なりすましメールのように、ドメインを不正に利用したメールが確認される場合もあるでしょう。そうしたメールが発生した際の対応(ユーザーへの告知やプレスリリースなど)をIT部門やセキュリティ部門とあらかじめ確認しておくことをお勧めします。
DMARCの普及と課題
DMARCの普及状況
DMARCは大手企業や、技術系企業では積極的に導入されている一方、中小企業ではまだまだ浸透していません。普及率はまだ低いのが実情です。今回のGmailによる発表は導入のきっかけにはなりますが、運用まで適切に設計されているケースは少ないでしょう。
企業同士のやり取りに際して、メールを多用する企業では導入が必須です。これはメールの送信件数によらず、不正利用を防止する上で導入をお勧めします。
普及しない理由と対策
DMARCの導入に対して障壁になるのが、技術的な複雑さでしょう。DMARCの導入に対してはSPFとDKIMの設定が必須になりますので、公開鍵設定を行う必要があります。そして、DMARCの設定を誤ると、メール配信に対して重大な影響を及ぼす可能性があり、導入に対して慎重にならざるを得ません。
こうした課題に対しては、専門家やメール送信に利用しているサービスプロバイダーからのサポートを得るのがお勧めです。また、DMARCの検証ツールなどを利用し、正しく設定されているか確認することで、安全な運用が可能になります。
ケーススタディ
ここではDMARCの導入ステップについて、一例を挙げながら紹介します。これは組織のセキュリティポリシーやリスク評価によって異なりますので、あくまでも一例としてください。
最初はnoneから
とある大手ECサイトでは、購入経験者へのメールマーケティングを実施する上で、DMARCを導入しました。主な目的は、不正なメールによるブランドの信頼性低下を懸念したことです。
すでにSPFおよびDKIMは導入済みであり、DMARCの導入だけで進められました。実際の設定はIT部門によるものですが、運用部門との調整の上で実施となりました。
DMARCポリシーは、最初は none にて開始しました。設定後、メールフローへの影響と認証結果を詳細に監視しました。特にメールの到達率、開封率に大きな変化がないことを確認しました。
数週間の監視を得て、ポリシーを quarantine に変更しました。こちらも特に大きな問題は発生せず、最終的に reject へポリシーを変更しています。レポートによる監視は継続しており、不正なメールの送信を効果的に防止できていると実感しています。
DMARCを用いた問題解決の事例
他の事例として、ある教育機関ではスタッフと学生を狙ったフィッシング攻撃が課題となっていました。DMARCの導入により、多くの攻撃が阻止され、メールシステム全体に対する信頼性を向上させています。DMARCのレポートを分析することによって攻撃の源泉を特定し、追加のセキュリティ対策を講じられた点を挙げています。
まとめ
DMARCのメリットとデメリット
DMARCのメリットは、メールの認証強化です。不正なメールが送信されなくなることで、組織のブランディングを向上させられます。また、DMARCレポート分析することで、メール運用の深いインサイトが獲得でき、効果的なセキュリティ対策を講じられます。
一方でデメリットもあります。正しい設定をしなければ、正当なメールが届かない状態になりかねません。そしてDMARCの導入時にはSPFとDKIMの導入も必要であり、設定に関する正しい技術的知識を必要とします。
今後のDMARCの展望
Gmailのポリシー変更は今後、厳しくなることはあっても緩くなることはありません。また、他のメールプロバイダーも追従していくと予想されます。フィッシングなどのセキュリティ侵害も増えており、ますます高いセキュリティレベルが求められるでしょう。
そうした状況下で正しいメールを相手に届けるためには、DMARCの導入は必須になるでしょう。なお、設定については各企業の取り組みによって、より簡単に間違いなく設定できるようになると想定されます。分析についても同様で、専門的なサービスを導入することで、低コストに運用できるようになるでしょう。
DMARC導入を検討ならCutomers Mail Cloudへ
Customers Mail Cloudでは、DMARCの導入から運用までを全面的にサポートするDMARCアドバイザリーサービスの提供を開始しました。本サービスでは、専任エンジニアによるDMARCモニタリングと解析結果の報告を行います。また、DMARC運用におけるお客さま社内でのコミュニケーションをサポートし、円滑な導入を実現します。運用を開始した後はポリシーの引き上げにおけるスケジュール設計など、スムーズな改修を実現します。
DMARC導入を検討する際には、ぜひCusrtomers Mail Cloudへお問い合わせください。
