DMARC導入の基本と重要性
DMARCとは?
Gmailのガイドライン更新に合わせて注目が集まっているのが、DMARC(Domain-based Message Authentication, Reporting & Conformance)です。DMARCは、一言で言えば電子メールの送信元を認証し、不正なメール受信を防ぐ仕組みです。DMARCは特に、不正なメールの取り扱いについて規定するものになります。
本記事では、DMARC導入の基本的な方法と、その重要性について解説します。
なぜDMARCの導入が必要か?
DMARCは不正なメールが届いた時に、その取り扱いを規定する仕組みになります。従来、不正利用されている送信元ドメインでは、送信されたことを検知する仕組みは基本的にありませんでした。そのため、不正利用に対する注意喚起を促すくらいしか対策を取れませんでした。
DMARCの前提として導入される仕組みにSPFとDKIMがあります。SPFは送信元認証の仕組みで、不正な送信元を防ぎます。そしてDKIMはメールに対して署名を行い、正当なメールであることを保証します。DMARCは、SPFやDKIMで不正と判断されたメールに対して、どう扱うかを規定するものです。扱い(ポリシー)は以下の3つに分かれます。
- none
DMARCの設定を行っているが、メールの送信元を検証するだけで、送信元が不正である場合でもメールを受信者に届ける - quarantine
送信元が不正である場合、受信者の迷惑メールフォルダに振り分ける - reject
送信元が不正である場合、メールを受信者に届けない
DMARC導入時に避けるべき一般的なミス
DMARC導入に際して、以下のような一般的なミスが発生することがあります。
SPFとDKIMの設定を確認する
SPFは送信元のIPアドレスを認証する仕組みです。「ドメインが正しいもの」であることを証明するものではありません。単一のIPアドレスを設定する場合もあれば、SMTPリレーを利用している場合にはその提供会社が提供するSPFレコードを設定することもあります。設定されたSPFレコード以外のIPアドレスやドメインからメール送信が行われれば、それは不正なメールとして扱われます。さまざまなシステムからメール送信を行っている場合、設定漏れがあると正当なメールがブロックされる可能性があります。
DKIMは公開鍵・秘密鍵認証を用いてメールに署名を行う仕組みです。メールに対して一意の署名が生成されるので、メールの改ざんやなりすましを防ぎます。多くのメールライブラリがDKIMに対応していますが、もし自作した場合には署名の生成処理が正しく行われていることを確認しなければなりません。
また、署名を行う秘密鍵には有効期限を設けるのがセキュリティ的に肝心ですが、その更新やDKIMレコードの設定漏れがあると、正当なメールがブロックされる可能性があります。
アライメントの確認
DMARCによる検証で肝になるのがアライメントと呼ばれる仕組みです。これは、SPFやDKIMで認証されたメールの送信元と、メールのヘッダーに記載された送信元が一致しているかを確認する仕組みです。一致しない場合、DMARCによって不正なメールとして扱われます。
アライメントモード
DMARCではアライメントを検証するモードを以下の2つから選択できます。
- relaxed
Fromで指定したドメインがSPFとDKIMで認証したドメインと一致していれば成功とします。つまりサブドメインが利用できます。 - strict
Fromで指定したドメインがSPFとDKIMで認証したドメインと完全に一致している場合に成功とします。
DMARCポリシーの設定ミス
DMARCで良くあるのがポリシーの設定ミスです。たとえば reject に設定すると、SPFやDKIM認証に失敗したメールは受信者に届かなくなります。テスト不足で正当なメールでもブロックされる可能性があります。そのため、一般的に最初はポリシーを none に設定し、テストを行いながら段階的に厳しくします。
サブドメインの設定忘れ
DMARCを導入する際には、メール送信に利用しているサブドメインがないか確認しましょう。マーケティングや決済など、独自のサブドメインを利用している場合、そのサブドメインにもSPFやDKIMの設定が必要です。サブドメインの設定を忘れると、そのメールがブロックされる可能性があります。
サブドメインポリシー
サブドメインについてもDMARCのポリシーは親ドメインのものが適用されます。そのため、親ドメインでの運用ポリシーが反映されてしまい、メールが届かなくなる場合があります。もしサブドメインを別なポリシーとしたい場合には、spタグを指定します。なお、spタグはすべてのサブドメインに対して適用されるので注意してください。
DMARC導入のための推奨ステップと監視の重要性
DMARCポリシーの段階的導入
前述の通り、DMARCポリシーは段階的に導入するのがお勧めです。つまり、以下の順番になります。
- none
- quarantine
- reject
そしてレポートを受け取るメールアドレスを設定し、実際にどれくらいのメールが認証に失敗しているのかを確認します。そして問題が解決したら、 quarantine に変更して様子を見ます。問題がなければ reject に変更して運用します。このように段階的に導入を行えば、正当なメールが誤ってブロックされるリスクを最小限に抑えつつ、DMARCの効果を最大限に引き出せるはずです。
DMARC導入後の継続的な監視
もちろん、メールは徐々に追加されたりシステム変更などが行われるものなので、定期的にレポートを確認し、必要に応じて送信元でメール認証の設定を行います。システム開発によって、当初はなかったIPアドレスやドメインからメール送信が行われるかも知れません。そのため、レポートのメールを分析し、問題があれば速やかに対応しましょう。
Customers Mail Cloudによる専門家のサポート
ここからはCustomers Mail Cloudが提供するDMARC導入支援コンサルティングサービスについて紹介します。
設定のミスを防ぐためのサポート内容
Customers Mail Cloudが提供するDMARC導入支援コンサルティングでは、ポリシー設定に関する説明やレポートのモニタリング、DMARCを正しく運用するためのサポートをいたします。SPFやDKIMを含め、正しくDMARCを設定する流れをサポートします。
継続的な監視と調整支援
前述の通り、DMARCの導入・運用では、送信メールのDMARC認証結果を継続的に監視することが重要です。HENNGEのDMARCアドバイザリーサービスでは、DMARCレポートの収集・分析を行い、メール送信に利用しているドメインの洗い出しから、そのドメインに関するDNSレコードの登録の仕方まで細やかなコンサルティングを実施いたします。また、DMARCの導入・運用に関する全般的な疑問に対しても、専任のアドバイザリースタッフがしっかりと対応を行います。
まとめ
マーケティングメール、メールマガジンなどを送信している企業においては、DMARCの導入は必須となっています。しかし、安易に導入すると、本来届いて欲しいメールが届かなくなる恐れがあります。DMARCは不正なメールを防止してくれる便利な仕組みですが、正しく運用するためには適切な設定が必要です。
本記事で紹介した良くあるミスを参照の上、DMARCの導入を進めてください。
DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。
