DMARCレコードの設定方法

2024.04.07

Dmarcレコードの設定方法

DMARCレコードの設定サンプルとその効果

セキュリティ強度:強 DMARC対策の最終フェーズ

  • “v=DMARC1; p=reject; sp=reject; fo=1; rua=mailto:<メールアドレス>; ruf=<メールアドレス>”

親ドメインとサブドメインに対するReject設定で、不審なメールは完全にブロックされる。
加えて、ruaやrufの設定があることで、新たに認証エラーが出始めたときに気付くこともできるし、攻撃の兆候を把握することも把握することが可能です。

セキュリティ強度:中 DMARC対策の中間フェーズ

  • “v=DMARC1; p=reject; sp=none; fo=1; rua=mailto:<メールアドレス>; ruf=<メールアドレス>”
  • “v=DMARC1; p=none; sp=reject; fo=1; rua=mailto:<メールアドレス>; ruf=<メールアドレス>”

親ドメインかサブドメインのどちらかにメールを制御する設定。

DMARCプロジェクトを進めて送信環境の整備が進むと、部分的に十分な認証状況になります。整った部分からReject設定を入れることにより、セキュリティリスクを減らすことつながります。何よりもプロジェクトが前進していることが感じられるので、モチベーションにもつながります。

サブドメインを使ったプロジェクトの進めたかたは「DMARCレコードによるメールの制御とサブドメインの調整」で詳しく解説してます。

セキュリティ強度:弱 DMARC対策の初期フェーズ

  • “v=DMARC1; p=none; fo=1; rua=mailto:<メールアドレス>; ruf=<メールアドレス>”

メールの制御は行わずに、DMARCレポートで認証状況の可視化を実施する設定。

DMARCプロジェクトは認証状況を可視化することから始まります。可視化のためにruaの設定をして、DMARCレポートを受け取り、分析をします。
rufは一般的な環境では受け取れることは少ないかもしれませんが、無いよりはあった方がましという範囲です。

セキュリティ強度:無 Googleガイドライン対策で最低限の設定

  • “v=DMARC1; p=none”

メールの制御はせず、DMARCレポートも送付しない、本当に最低限の設定。

一部のマーケティングツールで「”v=DMARC1; p=none”でもいいので入れておきましょう」とアナウンスしていたり、Googleのガイドラインにnoneを設定できると書いてあるので、最低限の設定としてこのパラメータにしているケースがあります。

DMARCを用いたセキュリティ対策の本質からズレており、対策をまじめにする気がないのがバレバレで、攻撃者からも狙われやすいので、少なくともDMARCレポートを受け取るように設定変更しましょう。

セキュリティ強度:無 レコード設定なし

  • 無 (no record)

そもそもDMARCレコードを設定していないパターン。

なりすまし攻撃やGoogleガイドラインを考慮すると、今の時代有名なドメインや上場企業のドメインでレコード設定がされていないのは、リスク管理ができていないと責められても仕方ががない状況です。

DMARCレコードを設定していないドメインは上場企業でもまだまだある状況で、詳しくは「日本企業のDMARC対応状況とその傾向」にて掲載してます。

DMARCレコードのパラメータ

一般的なDMARCパラメータの例です。DMARCの設定は、ドメインの管理者がドメインのDNSレコードにこれらのパラメータを追加することで行います。セキュリティ要件やポリシーに合わせてこれらのパラメータを適切に設定することが重要です。

p | 不正メールの扱いを指定

P(Policy)、DMARCポリシーを指定します。メールの受信者が不正なメールをどのように扱うかを指定します。サブドメインポリシー(sp)が設定されていない場合、サブドメインにも適用されます。
例:”p=quarantine”

noneDMARCレポートのみを受信者に送信し、メールの扱いは変更されません
quarantine受信者が不正なメールをスパムフォルダに移動することが推奨されます
reject受信者が不正なメールを破棄することが推奨されます
(p=)で可能なポリシーの一覧

sp | サブドメインの不正メールの扱いを指定

SP(Subdomain Policy)、サブドメインに対するDMARCポリシーを指定します。サブドメインに親ドメインと異なるポリシーを適用する場合に使用します。
例:”sp=quarantine”

noneDMARCレポートのみを受信者に送信し、メールの扱いは変更されません
quarantine受信者が不正なメールをスパムフォルダに移動することが推奨されます
reject受信者が不正なメールを破棄することが推奨されます
(sp=)で可能なポリシーの一覧

pct | DMARCポリシーの適応率

DMARCポリシーを実施する割合を指定します。このパラメータは、メールの全体のうち、DMARCを実行するメールの割合を0から100の間で指定します。
例:”pct=100″(100だと全てのメールにDMARCポリシーが適用される)
デフォルト値:100

rua | 統計レポート送付先

DMARCレポートを受信するためのメールアドレスを指定します。DMARCレポートからメールの認証状況を把握することができ、DMARC対応を進めたり、不正な活動を検知するのに役立ちます
例:”rua=mailto:メールアドレス”(メールでDMARCレポートを送信)

ruf | 失敗したメッセージの送付先

DMARCの失敗したメッセージの情報(フォレンジックレポート)を受信するメールアドレスを指定します。これは、メール送信の問題を追跡するのに役立ちます。ruaとrufで同じ場所に送信することも可能です。
ただ、残念なことにフォレンジックレポートを送信されないことは多く、DMARCを自社管理している多くの環境では受けて取れていないのが現状です。
例:”ruf=mailto:メールアドレス”(フォレンジックレポートを送信)

fo | フォレンジックレポートの送付オプション

フォレンジックレポートのオプション設定です。残念ながら多くの環境でフォレンジックレポートを受け取ることができてません、自社でDMARCを管理される場合にはrufタグと同様にあまり気にしなくてもいいです。
デフォルト値:0

0SPF/DKIM両方のアライメントに失敗した場合にフォレンジックレポートを送信
1SPF/DKIMのどちらかのアライメントに失敗した場合にフォレンジックレポートを送信
dDKIMのアライメントに失敗した場合にフォレンジックレポートを送信
pSPFのアライメントに失敗した場合にフォレンジックレポートを送信
(fo=)で可能なポリシーの一覧

adkim | DKIMに関するオプション

DKIM署名の識別子とヘッダーのドメインが一致しているかどうかを指定します。
例:”adkim=r”
デフォルト値:r (relaxed mode)

rヘッダーのドメインがDKIM識別子と部分的に一致することを要求します
sヘッダーのドメインがDKIM識別子と完全に一致することを要求します

aspf | SPFに関するオプション

SPF認証の結果とヘッダーの送信ドメインが一致しているかどうかを指定します。
例:”aspf=s”
デフォルト値:r (relaxed mode)

rヘッダーのドメインがSPF認証の結果と部分的に一致することを要求します
sヘッダーのドメインがSPF認証の結果と完全に一致することを要求します

コメント

タイトルとURLをコピーしました