DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、電子メールの認証とセキュリティを向上させるための重要なプロトコルです。
SPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）と合わせて使用することで、偽造メールやフィッシング詐欺からの保護が可能です。

この記事では、DMARCの基本概念から具体的な設定方法、SPFやDKIMとの密接な関係について分かりやすく解説します。メールセキュリティを向上させ、信頼性を確保するためのステップを探ります。

DMARCとは？

DMARC（ディーマーク）とは、2012年に発表された電子メールの認証プロトコルであり、送信ドメインのメール認証を向上させるために設計されています。

DMARCは、SPF（Sender Policy Framework）およびDKIM（DomainKeys Identified Mail）と協力してメールヘッダーの認証情報を検証することで、ドメインの認証設定を強化し、不正なメール送信者からのメールを防ぎ、受信者に対して送信者の認証ステータスを報告することです。

これにより、フィッシング詐欺やスパム、偽造メールなどのセキュリティリスクを軽減してメールの信頼性を高めます。

DMARCの導入には、適切な設定とドメイン認証の確立が必要です。DMARCは、企業や組織がメール送信者の正当性を確認し、受信者に対して信頼性の高いメールサービスを提供するための重要な手段となっています。

DMARCの仕組み

DMARCは、電子メールの送信者認証を強化し、受信者に対してその結果を報告する仕組みを提供します。

以下は、DMARCの基本的な仕組みです。

1. SPFとDKIMの統合:

   DMARCは、既存のメール認証技術であるSPFとDKIMと組み合わせて使用されます。これらの技術は、それぞれメールが送信元のドメインから発信されたものであることを検証するための手段です。

2. DMARCレコードの設定:

   ドメインのDNSレコードにDMARCの設定を追加します。DMARCレコードには、送信者の認証結果に関するポリシー（受信側の動作指針）や、報告情報の送信先などが指定されます。

3. 認証結果の指定:

   DMARCポリシーには、合法なメールと見なされる条件や、不正なメールに対する処理方法が含まれます。これには「none」（報告のみ）、 「quarantine」（受信トレイへの配信を保留）、 「reject」（メールを拒否）などがあります。

4. 受信者への報告:

   DMARCが受信者のサーバーで有効になっている場合、認証結果や詳細な情報がドメイン所有者に対して報告されます。これにより、認証の問題や悪意あるアクティビティを監視できます。

5. 適用範囲の拡大:

   DMARCは、受信者のメールサーバーがDMARCポリシーをサポートしている場合に限り適用されます。送信側と受信側のサーバーがDMARCに対応していることが重要です。

DMARCの導入には慎重な設定が必要であり、正確なドメイン認証とポリシーの適切な設定がセキュリティの向上に寄与します。

SPF

SPF（Sender Policy Framework）は、電子メールの送信者認証技術の一つであり、ドメインのメール送信者が正当なものであるかどうかを確認する仕組みです。

SPFにより送信者のドメインの詐称を防ぎ、送信ドメインの正当性を検証できます。

SPFはドメインのDNSレコードに特定の情報を追加することで実現されます。

SPFの仕組みは以下の通りです：

1. DNSレコードへの追加:

   メールを送信する権限のあるメールサーバーのIPアドレスを、送信ドメインのDNS（ドメインネームシステム）レコードに追加します。これにより、メール受信者側が送信者のIPアドレスが正当かどうかを確認できるようになります。

2. メール受信時の検証:

   受信側のメールサーバーがメールを受信する際、送信者のドメインのDNSレコードを確認し、その中に記載されているIPアドレスがメールを送信する権限を持っているかどうかを検証します。

3. 検証結果に基づく処理:

   SPF検証に成功した場合、メールは正当なものと見なされ、通常どおり受信トレイに配信されます。一方、検証に失敗した場合は、メールの信頼性が低いと判断され、スパムフィルターや別の処理手段によって取り扱われることがあります。

SPFは、ドメインのなりすまし（spoofing）やフィッシング詐欺などからくる不正なメールを防ぐのに役立ちます。ただし、SPFだけではなく、他の認証技術（例：DKIM、DMARC）との組み合わせがより強力なセキュリティを提供します。

DKIM

DKIM（DomainKeys Identified Mail）は、電子メールの認証技術の一つで、メールの送信者がメッセージを改ざんされていないことを検証するための仕組みです。

例えば、攻撃者はメールを改変( 振り込み依頼であれば攻撃者の口座情報に変更など) して受信者をだますことがありますが、DKIMによって、メール受信者は送信者のドメインがメッセージに対してデジタル署名を行っているかどうかを確認できるので、コンテンツ改ざんがされていないか検証することが可能です。

DKIMの仕組みは以下の通りです。

1. メッセージにデジタル署名:

   メールの送信者は、メッセージの一部（通常はヘッダーと一部の本文）に対して、秘密鍵を用いてデジタル署名を生成します。このデジタル署名は、メッセージが送信者によって改ざんされていないことを示すものです。

2. 公開鍵のDNSレコードの配置:

   送信者は、公開鍵を含むDKIMレコードを自身のドメインのDNSに配置します。メール受信者はこの公開鍵を使ってデジタル署名の検証を行います。

3. メール受信時の検証:

   受信側のメールサーバーがメッセージを受信する際、DKIMの検証を実施します。これには、メッセージに含まれるデジタル署名を公開鍵を使って検証する手順が含まれます。

4. 検証結果に基づく処理:

   DKIMの検証が成功した場合、メッセージは改ざんされていないと見なされ、送信者の信頼性が向上します。逆に、検証に失敗した場合は、メールは信頼性が低いと見なされる可能性があります。

DKIMは送信者のドメイン認証を強化し、なりすましや改ざんからくる不正なメールを防ぐのに役立ちます。SPFやDMARCと組み合わせて使用することで、より強固なメールセキュリティを構築することができます。

DMARCポリシー

DMARCポリシーは、送信ドメインがDMARCを使用してメールの認証を実施する際の挙動を定義するものです。DMARCポリシーは、受信側のメールサーバーに対して、送信者の認証結果に基づいてどのようにメールを処理すべきかを指示します。

DMARCポリシーには主に以下の3つのオプションがあります：

1. “none”（モニタリングのみ）:

   v=DMARC1; p=none; rua=mailto:report@yourdomain.com


   DMARCの”none”ポリシーは、送信ドメインがメール認証を行い、不正なメールが検出された場合でも、メールを受信者の受信トレイに配信します。ただし、送信者や受信者に対して認証の結果を報告します。これは、DMARCの導入を検討している段階やトラフィックの監視を目的とする場合に使用されます。

2. “quarantine”（保留）:

   v=DMARC1; p=quarantine; rua=mailto:report@yourdomain.com


   “quarantine”ポリシーは、DMARC検証に失敗したメールを受信者の受信トレイに配信する前に、別の場所に保留させる指示です。これにより、不正なメールの影響を軽減できます。

3. “reject”（拒否）:

   v=DMARC1; p=reject; rua=mailto:report@yourdomain.com


   “reject”ポリシーは、DMARC検証に失敗したメールを受信者の受信トレイに配信せずに直ちに拒否する指示です。これにより、なりすましや不正なメールの送信を防ぎます。

これらのポリシーオプションは、ドメイン所有者がDMARCレコードに記述して設定します。ポリシーの選択は、セキュリティの強度と送信者への影響を考慮して行われるべきです。

DMARCレポート

DMARCレポートは、DMARCポリシーが実際にどのように機能しているかを把握するために生成される報告書です。これらのレポートは、送信者のドメインからDMARCに基づいて送信され、受信者側のメールサーバーがDMARCポリシーに従って受け入れたり拒否したりしたメールに関する情報を提供します。

DMARCレポートには、以下の2つの主要なタイプがあります：

1. Aggregate (RUA) レポート:

   Aggregateレポートは、一定期間（通常は24時間）のDMARC認証に関する統計的な情報をまとめたものです。これには、合法的なメールと認識されたメールの量や、不正なメールの詳細な情報が含まれます。これにより、送信者はDMARCのポリシーの影響を把握し、必要に応じてポリシーの調整を行うことができます。

2. Failure (RUF) レポート:

   Failureレポートは、DMARC認証に失敗した具体的なメールに関する詳細な情報を提供します。これには、失敗したメールのヘッダーや本文、認証エラーの種類などが含まれます。RUFレポートは主にセキュリティインシデントのトラッキングや解析に使用されます。

これらのレポートは、ドメイン所有者がDMARCレコード内で指定したメールアドレスに送信されます。レポートを活用することで、ドメイン所有者はメール送信の健全性を監視し、不正な活動に対して迅速かつ効果的に対処することが可能となります。

DMARCレコード

DMARCレコードは、メールドメインのDNSに配置されるエントリであり、DMARCポリシーの設定とDMARCレポートの受信先情報を含んでいます。DMARCレコードを設定することで、送信者はメール送信においてDMARCのポリシーを定義し、受信者によるメールの認証および詳細なレポートの送信先を指定できます。

一般的なDMARCレコードの形式は以下のようになります：

この例では、次の情報が含まれています：

　・v=DMARC1: DMARCのバージョンを指定します。”1″は現行バージョンを示します。

　・p=none: DMARCポリシーを指定します。”none”はモニタリングモードで、メールを拒否せずにDMARCの統計情報を報告します。他のポリシーオプションには”quarantine”（保留）　　や”reject”（拒否）があります。

　・rua=mailto:report@yourdomain.com: Aggregateレポートを送信する先のメールアドレスを指定します。DMARCレポートはこのメールアドレスに送信され、送信者はメール送信の統計　情報を得ることができます。

これらの設定は、DMARCの導入において、ドメイン所有者がメールの認証を制御し、セキュリティの向上を図るのに役立ちます。

DMARCのメリット

 

DMARCの導入は企業に多岐にわたるメリットをもたらします。

なりすましメールからの保護を強化し、従業員や顧客を安全に守ることが可能です。同時に、DMARCは脅威を可視化し、異常な活動やセキュリティの脆弱性に関する詳細な情報を提供します。

これにより、迅速かつ効果的な対策が可能となります。さらに、DMARCの導入により顧客サービスのコストを削減でき、信頼性の高いメール環境を提供することで顧客との良好な関係を築きます。最後に、メール到達率とエンゲージメントの向上が挙げられます。

正当なメールが確実に届き、受信者との信頼関係を深め、企業のメッセージがより効果的に届く環境を構築できるDMARCのメリットについて詳しく見ていきましょう。

なりすましメールから従業員や顧客を守る

DMARCは、なりすましメール（フィッシング詐欺）から企業や組織の従業員、顧客を効果的に守る重要な手段です。

DMARCを導入することで、送信者ドメインが正当であるかを厳密に検証し、不正な送信者からのなりすましメールを排除できます。これにより、企業のブランドイメージや信頼性を守りつつ、受信者に対して安全なメール環境を提供することが可能となります。さらに、DMARCのレポート機能を活用することで不正な試みやセキュリティの脆弱性に関する情報を得ることができ、迅速な対応やセキュリティの強化が実現されます。

総じて、DMARCはなりすましメールに対する有力な対策手段として、組織のデータおよび従業員、顧客のセキュリティを向上させる役割を果たします。

脅威を可視化する

DMARCの導入により、メール送信における脅威を効果的に可視化できます。

DMARCは、受信者のメールサーバーにおいて認証が成功したか失敗したかに関する詳細なレポートを提供します。これにより、送信者はどのような脅威や攻撃が発生しているかを把握し、その情報をもとに迅速な対応やセキュリティの向上を図ることができます。

複数の送信者がDMARCを活用することで、業界全体の脅威の傾向や特定の標的に対する攻撃を洞察することも可能です。この可視化はセキュリティ戦略の立案や実行において貴重な手段であり、組織が迅速で効果的な対策を講じることに寄与します。総じて、DMARCによる脅威の可視化は組織のサイバーセキュリティの向上に大きく寄与します。

顧客サービスコスト削減

メール到達率とエンゲージメントの向上

DMARCはメールの認証を強化し、偽造やなりすましメールを排除することで、受信者は本物のメールと判断しやすくなります。これにより、メールがスパムフィルターやブロックリストに引っかかるリスクが低減し、受信トレイへの配信率が向上します。

正当なメールが受信者に届きやすくなり、これがエンゲージメントの向上につながります。受信者は信頼性の高いメールにより安心感を得、企業のメッセージやプロモーションにより注意を向けやすくなります。結果としてDMARCは企業のメールキャンペーンの成功率を向上させ、受信者との良好な関係構築に寄与します。

DMARCのデメリット

DMARCは強力なメールセキュリティ手段ですが、導入にはいくつかのデメリットが存在します。技術的な知識が必要であり、設定が複雑であるため、導入には慎重なプランニングが求められます。また、対応しているメールシステムが限られているため、全てのメール送信者や受信者が一様にDMARCをサポートしているわけではありません。さらに、DMARCレコードの解読や設定が管理者に負担をかけ、専門的な知識が必要とされることもデメリットと言えます。

これらの課題を克服するためには、組織が専門的なサポートを得るなど、慎重な取り組みが不可欠です。

管理者に負担がかかる

対応しているメールシステムが限られる

DMARCのデメリットとして挙げられる一つは、対応しているメールシステムが限られている点です。

DMARCは受信メールサーバーがその検証に対応している必要があり、一部の古いまたは特定のメールプロバイダーではサポートが不足していることがあります。これにより、全てのメール受信者がDMARCを完全にサポートしているわけではなく、結果としてDMARCの効果が十分に発揮されない可能性があります。企業は、メールの主要な送信者と受信者がDMARCに対応していることを確認し、適切な対策を検討する必要があります。

DMARCレコード解読に知識が必要

DMARCのデメリットの一つは、DMARCレコードを解読するためには一定の技術的な知識が必要とされる点です。

DMARCレコードは特定の構文とパラメータを使用しており、これを理解し適切に設定するためにはDNSレコードやメール認証技術に関する知識が必要です。組織がこれに対応できない場合、適切なDMARCポリシーを設定することが難しくなります。この知識の要件があるため、一部の企業や組織はDMARCの導入に際して追加の技術的リソースや専門知識を必要とするデメリットが生じることがあります。

DMARCの設定方法

DMARCの導入には、送信者ドメインのDNSレコードにDMARCの設定を追加する必要があります。

正確な設定は、SPFやDKIMとの組み合わせも含め、慎重な調整が求められます。

この記事では、効果的なDMARCの設定手順と注意点に焦点を当て、セキュリティの高いメール環境の構築を支援します。

SPFを設定する

DMARCの設定の一環として、まず最初にSPFを設定することが重要です。SPFは、メールの送信元ドメインが信頼できるものであるかを確認するためのメール認証技術です。

SPFの設定では、送信者のメールサーバーのIPアドレスを、ドメインのDNSレコードに追加します。これにより、メールの受信側サーバーは、メールが正当な送信元から発信されたものであるかどうかを検証できます。SPFの正確な構成は、誤検知を避けるために慎重な設定が必要です。SPFをDMARCと組み合わせて使用することで、より強力なメール認証を実現し、なりすましメールからの保護を向上させることができます。

DKIMを設定する

DMARCレコードを設定する

DMARCの実効性を確保するためには、DMARCレコードの適切な設定が必要です。

DMARCレコードは、DNSに追加され、送信者がDMARCポリシーをどのように適用するかを指定します。レコードは「v=DMARC1」から始まり、ポリシーオプション（none、quarantine、reject）や、レポートの送信先アドレス（rua、ruf）を含みます。例えば、ポリシーが「none」で、レポートが「report@yourdomain.com」に送信される場合、DMARCレコードは次のようになります。

「v=DMARC1; p=none; rua=mailto:report@yourdomain.com」。

DMARCレコードの正確な設定は、セキュリティを確保するために重要であり、SPFやDKIMとの組み合わせも考慮されるべきです。これにより、企業はなりすましメールからの保護を向上させ、メールの信頼性を確立することができます。

DMARC・SPF・DKMの普及状況

メールセキュリティを向上させ、なりすましメールからの保護を強化するDMARC、SPF、DKIMの導入が不可欠です。海外を中心に普及が進んでいる一方、国内でこれらの技術は、まだ導入していない企業も多く、2023年6月時点でメール送信に利用されていると考えられるJPドメイン数約143万件のうち、各設定数は以下の通りです。

・SPF設定数：約115万件（約80.9%）

・DMARC設定数：約9.4万件（約6.6%）

ここ数年で増加しているものの依然として非常に低い水準となっています。本記事では、それぞれの技術の普及の進捗状況やDMARCが普及しない理由について詳しく解説していきます。

DMARCが普及しない理由

DMARCが普及しない理由にはいくつかの要因が挙げられます。

1. 知識不足と技術的な複雑さ:

   DMARCの設定や導入は、DNSレコードの編集やキーの生成など技術的なステップが必要です。これが難しく、また組織や個人がメールセキュリティに関する知識を持たない場合、導入が難しくなります。

2. 既存のメールインフラストラクチャへの適合:

   一部の組織は、既存のメールインフラストラクチャやプロバイダーがDMARCをサポートしていない可能性があります。ただし2022年頃からGmailやYahoo!メール、Microsoftと大手メールサービスプロバイダがDMARCに対応するようになっている状況です。

3. ビジネスプロセスへの影響:

   DMARCの設定が厳格である場合、誤検知によって正当なメールが受信者に届かない可能性があります。ビジネスプロセスへの影響を最小限に抑えつつ、セキュリティを向上させる難しさがあるため、組織は慎重に導入を検討する必要があります。

4. 中小企業の資源制約:

   小規模な組織や中小企業は、セキュリティ対策に割ける予算や人的リソースが限られていることがあります。これがDMARCの導入を妨げる一因となっています。

5. 認知度の不足:

   DMARCの認知度向上は大きな課題となっています。しかし2023年7月に「政府機関等の対策基準策定のためのガイドライン」にメールのなりすまし対策としてDMARCが掲載されたことで、徐々にDMARCの認知は広がりつつあると考えられます。

これらの要因が組み合わさり、DMARCの普及率は低い状況ですが。2019年時点ではDMARCはおよそ1万件で約0.8%だったことからここ数年で大きく採用数が増加している状況であり、セキュリティの向上とメール送信の信頼性確保の観点から、DMARCの普及が進むことが期待されています。

まとめ

DMARCはメール送信者の認証を強化し、なりすましメールからの保護を促進するセキュリティ手法です。DMARCの導入にはSPFやDKIMとの組み合わせが重要であり、これらの技術と連携してメール認証を強化します。

SPFは送信者のIPアドレスを認証し、DKIMはメッセージの改ざんを検証します。DMARCレコードはこれらを統合して送信者がDMARCポリシーを指定する際に使用されます。

ただし、DMARCの導入には技術的な知識が必要であり、管理者には負担がかかる一方で対応しているメールシステムが限られるという課題も存在します。

DMARCの正確な設定はメールの信頼性向上とセキュリティの向上に大きく寄与するため、DMARCは総合的なメールセキュリティ戦略の一環として、組織が検討すべき重要な手段であると言えます。