ドメインにDMARC を設定し VMC の資格を取得する方法

前回の記事では、ブランドロゴをBIMI/VMCの正しいフォーマットにする方法をご紹介しました。この記事では、次のステップであるDMARC(英語リンク)を組織に設定する方法を紹介します。

DMARCとは?

DMARC (Domain-based Message Authentication, Reporting & Conformance) は、Eメールに対する認証、ポリシー、報告プロトコルで、組織はなりすましやフィッシングなどの不正使用からドメインを保護することができます。VMCの資格を得る前に、まず、組織がDMARCに準拠していることを確認する必要があります。

先延ばしにしない

このプロセスは、組織の規模にもよりますが、数週間から数ヶ月かかることもあります(大きい=長く掛かる)。だから、すぐにでも始めた方がいいと言えます。

このブログでは、基本的なプロセスを少しでも理解していただくために、概要のご紹介をさせていただいています。より詳細なステップバイステップのチュートリアルをご希望の方は、DMARCとBIMIの包括的なガイドをダウンロードしてください。

何をしなくてはいけないか

始める前に確認しておきましょう。

  1. .txtエディタ(例:Notepad++、Vim、Nanoなど)
  2. ドメインの DNS レコードへのアクセス権

DNSを管理していない場合は、サーバー管理者に連絡してください。

ステップ1: SPF用のIPアドレスの取りまとめ

DMARC準拠になるための最初のステップは、送信者ポリシーフレームワーク(SPFと呼ばれます)をセットアップすることです。これにより、不正な IPアドレスからドメインに紐づくメールが送信されるのを防ぎます。

しかし、まずはすべての認可された IPアドレスを指定ください。

それには以下が含まれます。

  • ウェブサーバ
  • 社内メールサーバ
  • ISPのメールサーバ
  • 外注サービスのメールサーバ

もしすべてのIPアドレスが見つからなかったとしてもご安心ください。DMARCモニタリング(ステップ4)で、それらもきちんとケアします。しかし、この時点で出来るだけ多く集めて時間を節約するのが良いでしょう。

ステップ2: ドメインのSPFレコードを作成する

次に、使い慣れたテキストエディタを開き、各ドメインのSPFレコードを作成します。

例 1: v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x.x -all

例 2: v=spf1 ip4:1.2.3.3.4 ip4:2.3.4.5 include:thirdparty.com -all

終わったら、ファイルを保存してDNSに公開します。

SPFツール(弊社パートナーのValimailが提供するような:英語リンク)を使って、すべてが正しく入力されていることを確認してください。

ステップ3:DKIMを設定する

DKIM(英語リンク)は、公開鍵/秘密鍵暗号を使用してEメールメッセージに署名するEメール認証規格です。通信中のメッセージの改ざんを防ぐことができます。

  1. まず、DKIMセレクターを選択します。
    例:”standard._domain.example.com” = ホスト名
  2. 次に、ドメインの公開/秘密鍵ペアを生成します。
    Windows: PUTTYGenを使用
    Linux/Mac: ssh-keygen を使う
  3. DNS管理コンソールを通じて、新しい.TXTレコードを作成して公開します。
    v=DKIM1; p=YourPublicKey のようになります。

ステップ4:観察、伝達、繰り返し

いよいよ重要なステップに入ります。また、一番時間がかかる部分であるとも言えます。DMARCを設定したことで、現在のメールトラフィックの監視が開始され、何が承認されているか(そして最終的にDMARCによって隔離されたり拒否されたりするもの)の見極める確固たるベースラインを得ることができるようになりました。

注:DMARC設定完了に一足飛びに進めたくなるかもしれませんが、ここでしっかり観察する時間を取ることで、DMARCが完全に有効になった際に重要なメッセージが失われたり、永久に削除されたりするのを防ぐことができます。

DMARCを使ってトラフィックの監視を始める方法をご紹介します。

  1. SPFとDKIMが正しく設定されていることを確認してください。
  2. DNSレコードを作成します。
    「txt」 DMARCレコードは、”_dmarc.your_domain.com”のような名前にする必要があります。
    ドメインのDNSを管理する場合は、SPFやDKIMレコードと同様に「p=none」(監視モード)のDMARCレコードを作成します。
    DNSを管理していない場合は、DNSプロバイダーに依頼してDMARCレコードを作成してもらいましょう。
  3. DMARCチェックツール(英語リンク)でDMARCレコードをテストします。

注: レプリケーションには通常24~48時間の待ち時間が必要です。

DMARCは、SPFとDKIMによってフラグが立てられたメッセージを含む、ドメインを介して送信されたメールの多くの可視性を提供するレポートの生成を開始します。

重要: ここでは、以前に取りまとめたSPFレコードから漏れている正当な送信者がレポートに表示されていないか確認します(ステップ1)。漏れがあった場合は、それに応じてSPFレコードを更新してください。

問題は?これらのレポートは、残念ながら読みやすいXMLファイルではありません。また、データの解析にかなりの時間を費やすことになるので、DMARCレポート・プロセッサ(Valimailが提供するようなもの:英語リンク)を使用して、解析をより簡単にすることを強くお勧めします。

ステップ5:DMARCの実施を強化していく

メールを十分に観察し、許可されていないものとしてフラグが立てられている正規のメッセージがなくなったと確認できたら、DMARCの実行を強化する時期です。

DMARCには”quarantine”と”reject”の2つの施行レベルがあります。”reject”の方が明らかに安全性が高いので、弊社では最終的には”reject”を推奨していますが、どちらのレベルでもドメインはVMCの資格を得ることができます。

しかし、拒否(reject)のステータスに進む前に、最も確実なステップは、検疫(quarantine)でしばらく時間を掛けることです。これがその方法です。

  1. DNSサーバーにログインし、DMARCレコードを検索します。
  2. 指定したドメインのDMARCレコードを開き、ポリシーを”p=none”から”p=quarantine”に更新します。
    例:”v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@your_domain.com”
  3. 「pct」フラグ(フィルタリングの対象となるメッセージの割合)を追加します。10%から始めて、100%になるまでゆっくりと割合を増やしていくことをお勧めします。

フィルタリングが100%になったら、正式にVMCの資格を取得し、リジェクトを開始する準備が整ったことになります。

ありがたいことに、これが一番簡単なステップです。

  1. DMARCレコードを開き、”p=quarantine”を”p=reject”に変更します。

おめでとうございます!所有するドメインから送信されるメッセージの可視性を高め、ユーザーのセキュリティを向上させ、多数のフィッシング攻撃から身を守り、(正式にサービスの提供が始まった際には)認証マーク証明書を取得する準備ができました。

組織のEメールアクセスの安全性に関する詳細については、安全なリモートEメールアクセス(英語リンク)に関するブログをご覧ください。

Posted in DMARC, VMC, 認証マーク証明書