DMARC フォレンジックレポート(RUF)は必要?

dmarc-project

DMARCフォレンジックレポート(RUF)は認証成功率を向上・不正な活動の確認に役立つと言われていますが、いざ使ってみると全くレポートが来ないというケースは多々あります。どんなケースでフォレンジックレポート(RUF)が有効になるかを説明していきます。

フォレンジックレポート(RUF)の実態と有効なケース

非常に有効だが滅多に滅多に手に入らない

まず、DMARCのフォレンジックレポートは滅多に手に入りません。
そのためDMARCレコードにrufタグを設定しても意味がないと考えられているシステム担当者も多くいらっしゃいます。
背景には、多くのメール受信サーバ(MTA)はフォレンジックレポートを返さないという現状があります。

フォレンジックレポート(RUF)が手に入るケース

逆にフォレンジックレポートが入手できて、分析に活用できるのは以下のようなケースです。

  • ハイグレードなDMARC可視化製品
    大企業が使うレベルのDMARCソリューションの中には、DMARCレポートではなく、独自の情報網から得られた情報を基に可視化を行うソリューションがあります。ものがあります。
  • 海外にも大量のメール送信をしている
    海外の受信サーバの方がフォレンジックレポートを返す傾向にあるので、海外向けのメールも相当量送っている場合には入手できる可能性が高まります。

逆に設定を避けているケース

DMARCプロジェクトでは少しでも多くの情報が必要になるので、例え手に入りにくい環境であっても、rufを設定して、フォレンジックレポートを取得できるようにしておくことがベターです。

多くの組織では有効にしていますが、設定を避けるケースもあります。
それはフォレンジックレポートの内容を機微な情報と判断する場合です。フォレンジックレポートには送信元IPアドレス・メールのヘッダ情報が含まれますが、その内容が所属する組織のセキュリティポリシーに反するケースもあります。

フォレンジックレポートに含まれる内容

  1. 送信者の認証情報: メールの送信元ドメインや送信者の認証情報が含まれます。これには、DKIM(DomainKeys Identified Mail)やSPF(Sender Policy Framework)に関する情報が含まれます。これらの情報に基づいて、メールの送信者が正当であるかどうかが判断されます。
  2. 送信時の詳細情報: メールが送信された時点での詳細情報が含まれます。これには、送信日時、送信元IPアドレス、送信元のメールサーバーのホスト名などが含まれます。これらの情報は、不正な送信を特定し、問題を解決するための手がかりとなります。
  3. メールの受信状況: メールの受信状況に関する情報が含まれます。これには、メールが配信されたか否か、配信が失敗した場合のエラー情報、受信者がメールを開封したか否かなどが含まれます。これらの情報は、メールの配信性能やセキュリティに関する問題を特定するのに役立ちます。
  4. 不正活動の警告: フォレンジックレポートには、不正な活動やセキュリティ上のリスクに関する警告が含まれる場合があります。これには、スプーフィングやフィッシング詐欺などの不正な活動に関する警告が含まれることがあります。
  5. その他の情報: その他、特定のフォレンジックレポートに含まれる情報には、送信されたメールのヘッダー情報、受信者のメールサーバーの応答コード、送信されたメールの件名や本文などが含まれる場合があります。

コメント

タイトルとURLをコピーしました