1.DMARCの基本と導入の必要性
近年増加しているフィッシング詐欺やなりすましメールを防ぐため、DMARCは重要な役割を果たします。DMARCとは、SPF(送信元IPアドレスの確認)とDKIM(電子署名による改ざん検知)を補完し、送信元ドメインの正当性を認証する技術です。
SPFは、メール受信側がメール送信元のIPアドレスとDNSに登録されたIPアドレスが一致することを確認します。
DKIMは、メール受信側がメール送信元の付与した電子署名を公開鍵で検証して、改ざんがないことを確認します。
DMARCは、SPFとDKIMの認証結果を統合して、メールヘッダのFromドメインとの整合性(アライメント)を検証します。アライメント検証が失敗した場合、設定されたDMARCポリシ(none, quarantine, reject)に基づいて、メールを受信、隔離または拒否します。
この仕組みにより、なりすましメールを排除し、サイバー攻撃の被害を未然に防ぐとともに、正規のメール送信者の信頼性を向上させることができます。
2.DMARCの導入ステップ
日本プルーフポイント株式会社の調査によると、日経225企業の約8割がDMARCを導入しています(※1)。ただし、その半数以上がDMARCポリシを「none(監視のみ)」に設定しています。この設定では、DMARCによるなりすましメールのブロックが行われず、フィッシング被害のリスクが残ります。
多くの組織がDMARCポリシを「quarantine(隔離)」や「reject(拒否)」へ設定することを躊躇する理由は、主に二点あります。一つはDMARCの誤処理で正規メールが宛先へ届かなくなる影響です。もう一つはDMARCの誤処理が発生しないように全組織でメール送信元の設定を適切に調整する必要があり、その作業が複雑で負担が大きいためです。
以下に、段階的にDMARCポリシを移行して、DMARCの誤処理による影響を最小限に抑える方法を説明します。
図1:効果的なDMARC導入ステップ
2-1.DMARC導入とDMARCポリシのnone設定
まずメールの送信元組織は、DMARCを導入してDMARCポリシへnoneを設定します。このnone設定では、DMARC検証に失敗した正規メールも不審メールも受信者に届きます。そして、正規メールや不審メールがDMARC検証で失敗した原因や送信元の情報をDMARCレポートへ記録します。メールの送信元組織は、DMARCレポートからDMARC検証に失敗したメールの情報を収集して分析します。
次に、メールの送信元組織は、分析結果から検証失敗の原因を特定して解消します。検証失敗の原因として、SPFやDKIMに対応できているものの、送信元ドメインとSPF/DKIM認証ドメインが一致せずDMARC検証に失敗してしまうケースが多く見られます。この原因は、以下のいずれかの方法で解決します。
| 説明 | 詳細 |
| 1.ドメイン不一致問題の解決 | |
| ドメインを一致させる | メールのEnvelope From(Return-Path)とヘッダFromドメインを一致させる。第三者のメールサービス利用時は、SPFレコードに送信元メールサーバのIPアドレスを記入する。 |
| DKIM再署名 | メーリングリストなどのサードパーティツールがメールの件名や本文を変更することでDKIM署名が無効化される場合、変更後のメールを送信前に自ドメインで再署名を行う。 |
| 2.ドメインの一致が困難なシステムへの対応 | |
| サブドメイン分割 | 専用サブドメインを作成し、DMARCポリシを適用するドメインと分離する。一致が困難なシステムをサブドメインに分離し、DMARCポリシを noneに設定する。メインのドメインはDMARCポリシを quarantine/reject に設定する。 |
| DKIMの活用 | DKIM署名のd=タグとヘッダFromを一致させる。DMARCアライメントの判定設定に「Relaxed」を適用して、SPFアライメント要件を迂回してDMARC認証を実現する。 |
| 3. 根本的解決策 | |
| メールサーバ移行/統合 | 複数のメールサーバから送信するメールをSMTPゲートウェイで集約して、一元的にDKIM署名する。 |
| ARC(AUTHENTICATED RECEIVED CHAIN)導入 | ARCは、メールへ3種類のARCヘッダ(検証結果、メッセージ署名、ARCヘッダ署名)を順次追加して認証の「管理チェーン」を構築する。最終的な受信メールサーバは、転送によって通常の認証(SPF/DKIM)が失敗した場合でも、ARCヘッダを参照して正当な送信元からのメールであることを確認する。 |
| 代替手段(TEAMS等)の利用 | メーリングリストを利用している場合は、別なコミュニケーションツールへの移行も検討する。 |
また、DMARCポリシ移行後のメール配送トラブルを想定して、事前に問い合わせ窓口を設置して、組織内へ周知しておきます。メール配送トラブルを解決するためのインシデント対応フローも整備しておきましょう。
2-2.DMARCポリシをQuarantineへ移行
DMARCレポートを分析して、DMARC検証に失敗するメールが少ないことを確認した後、DMARCポリシをquarantineに設定します。quarantine設定では、DMARC検証に失敗したメールを受信者の迷惑メールフォルダへ振り分けます。受信者は、DMARCが誤処理した正規メールも確認できます。
もしDMARC検証に失敗する正規メールが発生する場合は、送信側のメールサーバやDNSの設定を確認して修正します。quarantineポリシを一定期間維持することで、検証失敗の原因を分析・特定して解決する時間を確保できます。
2-3.DMARCポリシをRejectへの移行
quarantine設定で一定期間運用して正規メールの誤検知を解消し、業務影響を軽減できたら、DMARCポリシをrejectへ設定します。reject設定では、DMARC検証に失敗したメールは受信を拒否します。受信者が、不審な送信元からのフィッシングやなりすましたメールを開いて被害が発生することを未然に防ぎます。
ただし、reject設定は万能ではありません。攻撃者が乗っ取った他人のメールアカウントやDMARCに対応したメールサーバから正しく送信した攻撃メールは、受信します。メール本文のURLや文面は、評価できません。そのため、メールの文面を機械学習で分析するスパムフィルターなどのセキュリティ対策と併用すべきです。
2-4.継続的なDMARC運用
DMARCはreject設定後も、DMARCレポートを活用した運用が不可欠です。DMARC運用により、以下のような継続的なセキュリティ改善が可能です。
| 送信元が不審なメールの遮断 | 自社ドメインを騙る不審メールが顧客に届くことを防ぎ、顧客が不審メールに騙される被害を未然に防ぐ |
| 正規メールの不達を防ぐ | 設定ミスによる正規メールの受信拒否を減らして、顧客へメールが確実に届くようにして、ビジネス機会の逸失を防ぐ |
DMARC運用の目的は、DMARCレポートの分析結果を活用して設定ミスを修正するだけではありません。メール送信先の組織におけるメールセキュリティにも貢献します。
3.まとめ
DMARCの導入や設定強化に慎重な組織も、本記事を参考にして、段階的にDMARCポリシを移行すれば、悪影響を最小限に抑えてDMARCを本格的に稼働できます。自組織でDMARCが稼働すれば、顧客や取引先などのメールの送信先組織を、悪質なフィッシング詐欺やなりすましのリスクから守ることができます。その結果、顧客の信頼の獲得や自組織のブランドイメージを守ることにも繋がります。
DMARCの導入と運用は、組織全体の信頼性を守るための包括的な取り組みで、顧客からの信頼を得るための戦略的な投資となるでしょう。本記事が、読者の皆様のDMARC導入と運用を検討する際の一助となり、組織全体のセキュリティ強化につながれば幸いです。
サイバーセキュリティについてはこちら:
https://www.nttdata.com/jp/ja/services/security/
あわせて読みたい: