2024年01月12日
自社が配信する正当なメールが迷惑メール扱いにならないために、認証技術のSPFとDKIMを設定する必要があります。
しかし、この2つの認証技術は正当なメールであることは証明できますが、なりすましメールの被害を防ぐことができません。
そこで有効なのが、なりすましメール防止策の認証技術としてのDMARCを設定することです。
簡単に説明すると、悪質な業者はヘッダFromに記載するドメイン(実在する企業などのドメイン)とは別のドメイン情報などをSPFとDKIMに合格(PASS)させて、なりすましメールを送り付けます。
この偽装行為はSPFとDKIMでは見破れないため、DMARCの設定が必要になります。
そこで今回は『DMARCとは何か?仕組みやメリットの解説&設定方法について紹介』と題して、DMARC関連の情報をできるだけわかりやすく解説します。
目次
DMARCとは、配信するメールのドメイン認証技術のひとつで、以下のような役割があります。
DMARCの役割
DMARCは、別の認証技術の一種であるSPFとDKIMのどちらかを導入しているかが前提となっており、SPFとDKIMのどちらかの認証が不一致だった際どのように処理するかを、配信側で決定することができます。
要するに、DMARCはSPFとDKIMの欠点を補強するための認証技術といえます。
DMARCを設定することで、できることは上記でも少し触れていますが、改めてまとめると以下のとおりとなります。
では、ひとつずつ見てみましょう。
DMARCは、配信したメールのヘッダFromに記載されているドメインと、SPFやDKIMに認証されているドメインが同じものかをチェックすることができます。
この認証技術により、悪意のある者のなりすましメールを防止できます。
SPFやDKIMの場合、配信されたメールの認証失敗が発生すると処理を受信側にゆだねる状態になってしまいます。
DMARCの場合、配信されたメールが認証失敗すると、
のどれかの処理を行うことができます。
そのため、ドメインの信用度を守るだけでなく、受信側への被害も減らすことができます。
DMARCでは、DMARCレポートという形で認証の成功、失敗を確認できます。
この効果によって、正当なメールがどれだけ認証されているか、なりすましメールの状況確認などを、把握することができます。
DMARCの仕組みや役割を解説する前に、まずはSPFとDKIMの仕様について簡単に紹介します。
SPFとは、配信された正当なメールが迷惑メールと誤認されるのを、防ぐための認証技術です。
SPF認証の主な流れ
このような過程を経て、メール配信元のメールサーバにあるIPアドレスと同じかをチェックすることで、配信者から送られてきたメールが、正当か非正当かを判断します。
SPFの欠点としては以下のようなものがあります。
SPFの欠点
DKIMとは、電子署名を使った認証技術です。
DKIMにより受信したメールが、正当な配信者から送られてきたものかどうかをチェックすることができます。
DKIM認証の主な流れ
この過程を通過すると、メールが受信されます。
DKIMの欠点としては以下のようなものがあります。
DKIMの欠点
認証技術だけでなく、迷惑メールにならない方法などについてはこちら
まず、細かな解説をする前に、DMARCの流れがどんなものかについて簡単に説明します。
DMARC認証の主な流れ
DMARCの認証技術はやや複雑なため、上記の流れを念頭に入れつつ、以下の各項目の解説を見ると、わかりやすいかと思います。
DMARCは、DMARCレコードをDNSサーバに登録するところから開始します。
DMARCレコードは指示が2つあり、「DMARCポリシー」と「DMARCレポート」です。
ドメインがヘッダFromに記載されているもので、SPFまたはDKIMの認証失敗があった際、そのメールを「隔離」「ブロック」「何もしない」のどれで処理するかを配信側で指示できます。
この3つの処理方法がDMARCポリシーとなります。
DMARC指示が可能な3つ
初期設定として、まず「none」からはじめるとよいとされています。
メール配信に影響がでないだけでなく、なりすましメールを送る悪意のある者はIPアドレスなどの報告を嫌うので、効果を発揮します。
DMARCレポートとは?
DMARCレポートとは、認証の成功・失敗といった結果を受信サーバで生成して、配信側にデータとして送るものです。DMARCレポートにより、認証状況の確認などだけでなく、潜在的な迷惑メールを特定することも可能となります。
DMARCを設定するには、基本的に自社で契約しているドメイン登録サービス会社やレンタルサーバ会社などの、管理画面で行うことができます。
DMARCを設定する場合、SPFとDKIMが設定されていることが前提となります(*SPFとDKIMの設定は後で解説)。
以下がDMARCの設定方法です。
DMARCポリシーはDNSサーバではTXTレコードとして公開されるのですが、
_dmarc.〇〇▲▲××.com. IN TXT "v=DMARC1; p=none; rua=mailto:report@example.com"
コード内には以下のような項目を入力していきます。
以上の設定が完了すると、DMARC認証を実施することができます。
DMARCを設定するうえでは、SPFとDKIMが設定されていることが前提です。
簡単ですが、SPFとDKIMの設定方法を紹介します。
SPF設定を行う場合、現在、利用しているメール配信システム会社へ「SPF設定のためのレコード情報」を教えてもらいます。
取得したSPFレコードを、ドメインを管理しているドメイン登録サービス会社やレンタルサーバ会社などの管理画面内に記載すれば完了です。
SPFのレコードを簡単に説明
SPFの形式としては基本形でいうと主に2つあり、メールを配信するサーバのIPアドレスかドメインで設定することができます。
IPアドレスの場合は「v=spf1 ip4:(IPアドレス)~all」
ドメイン名の場合は「v=spf1 include:_spf.example.com ~all」
となります。
を選択することで可能となります。
基本的にSPFを設定する場合「~all」からはじめることが多いです。
理由としては「-all」は強固なセキュリティのため、SPFの認証に失敗した不正なメールを完全にブロックできる反面、正当なメールも誤って拒否(何かしらの原因により認証が失敗するケース)される可能性があります。
そのため、まず「~all」からスタートして、正当なメールも誤って拒否される原因を解明し、問題なければ「-all」へ移行した方がよいとされています。
DKIMを設定する場合、第三者署名と作成者署名の2種類があるのですが、DMARCの認証を合格するためには、作成者署名が必要となります。
理由は、後述する『DMARC設定後に起こるメリット・デメリット』で解説します。
DKIMの認証を作成者署名にする場合、多くのメール配信システムが、オプション機能として提供しています。
作成者署名ができたら、あとはドメインを管理しているドメイン登録サービス会社やレンタルサーバ会社などの管理画面に入り記載すれば完了です。
DKIMの設定の主な流れ
DKIMの設定の主な流れを詳細に解説すると、公開鍵と秘密鍵のペアであるDKIMキーを生成し、公開鍵をDNSサーバへ追加、秘密鍵をメールサーバに保存し、メールサーバの設定を更新して配信される全メールにDKIM署名を追加することで完了します。
設定したDMARC、SPF、DKIMが正常に動作しているかを確認する方法としては、自社宛にメールを配信後、受信されたメールから確認することができます。
クリック時に出てきたメニューの中から「<>メッセージのソースを表示」へ移ることで、DMARCの認証状況をチェックすることができます。
DMARCを設定することで、得られるメリットとデメリットがあります。
まずは、DMARCを設定することで得られるメリットについて解説します。
DMARCを設定することで、自社のドメインを悪用したなりすましメールを、DMARCポリシーに準じて拒否や隔離などが行えるため、なりすましの攻撃を減らすことができます。
また、SPFやDKIMだけでは、配信したメールの認証が成功したか失敗したかの状況把握ができないので、認証失敗を放置し続けるとメールの評価が下がってしまい、届きにくくなってしまいます。
そこでDMARCレポートを活用し、問題なくメール配信の運用ができているか、自社のドメインを悪用したなりすましメールが送られていないかを把握することで、原因を回避できます。
DMARCにより、自社が送ったメールが正当なものであることを、受信側に証明できます。
この効果により、配信したメールが届きやすくなるだけでなく、なりすましメールを減らすこともできるため、自社のドメインへの信頼度が高まります。
また、信頼度が高まることで、受信側と安全なコミュニケーションを提供できるので、ブランド力(自社のドメイン)を向上させることもできます
認証技術を導入することで、配信したメールが迷惑メールフォルダなどに振り分けられることを軽減できるため、到達率を高められる可能性がアップします。
次は、デメリットの部分を解説します。
DMARCを設定すると、認証が実施されたメールサーバすべてからDMARCレポートとして、配信側に送られてきます。
配信規模によってさまざまですが、メールの配信規模が大きければ大きいほど、1日何百件というDMARCレポートが送られてくるため、内容チェックの負担も比例して大きくなります。
また、DMARCポリシーにおいても継続的な監視と調整が必要です。
DMARCレポートを定期的に確認し、設定の最適化を行わなければいけません。
DMARCは比較的新しい認証技術なので、対応済みのメールシステムが少ないのが現状です。
ただ、これはDMARCが浸透すれば解決することなので、いずれ増える可能性があります。
現に、国外においてはGoogle、Yahoo!などには導入されています。
DMARCの設定は、SPF、DKIMの設定が完了しているのが前提となっているため、各認証技術を熟知していないといけません。
DNSサーバにDMARCレコードを指定するため、ある程度の専門知識がないとうまく実装されないので、認証技術を扱ったことのある方でないと、設定は難しいです。
専門知識が薄い状態でDMARC設定を行うと、DMARCポリシーを誤って設定してしまうこともあり、この場合、正当なメールが拒否されたり、迷惑メールとみなされる可能性が高まります。
これはデメリットでありメリットでもあるのですが、DMARCではDKIMは第三者署名ではなく、作成者署名(自社のドメイン)での署名が必要となります。
理由としては、ヘッダFromとDKIMに署名されたドメインが同じかが求められるため、自社のドメインを署名した作成者署名が必要となります。
裏を返せば、第三者署名でDKIMの認証を合格させて、署名とは別のドメインをヘッダFromに記載しているメールがあれば、それはなりすましメールであることがわかり処理できる、というメリットがあります。
DMARCレポートはxmlファイルとして送られてきます。
内容がコードになっているため、専門知識がないと解読ができません。
そのため、分析ツールを導入して解読する必要があります。
当社提供のメール配信システムであるCombz Mail PLUS(コンビーズメールプラス)は、メルマガの一斉配信やセグメント配信など、さまざまなメールマーケティングが行えます。
「メルマガをはじめたいけど、まず使用感を試してから」
という方には、30日間無料で使える「無料トライアル」を用意しています。
また、コンビーズメールプラスでは顧客ニーズにマッチするよう、あらゆる料金プランを用意しています。
当社は「業界最安値で配信数無制限」で、「アドレス件数1,000件、月額4,000円」からはじめることができます。
今回の記事はいかがでしたでしょうか?
SPFとDKIMは配信したメールが正当であることは証明できますが、この2つの認証技術だけでは、改ざんされたヘッダFromかどうかの検証が行えません。
そのためDMARCの設定が必要となり、SPFやDKIMに登録したドメイン情報とヘッダFromにあるドメインが一致するかの検証を行い、なりすましメールの対策を行うわけです。
自社のドメインの信頼度を下げないためにも、DMARCの設定をするのを強くおすすめします。
以上、『DMARCとは何か?仕組みやメリットの解説&設定方法について紹介』でした。
料金プランや運用のご相談まで、あなたの専属コンサルタントがサポートします
コンビーズのサービスをご紹介していただくと、あなたも紹介者さんもおトク
お客様が安心してご利用いただけるようセキュリティ対策もバッチリ。第三者認証であるISMS(ISO27001)を取得済み。