DMARC ポリシーを検査・評価
DNS とレコード
DNS ルックアップ あらゆるドメインのすべての DNS レコード A レコードルックアップ ドメインの IPv4 アドレス AAAA レコードルックアップ ドメインの IPv6 アドレス MX ルックアップ ドメインのメールサーバー NS ルックアップ 権威ネームサーバー TXT ルックアップ TXT レコード、SPF、検証 CNAME ルックアップ 正規名(エイリアス)レコード SOA ルックアップ Start of Authority レコード SRV ルックアップ サービスロケーションレコード CAA ルックアップ どの CA が証明書を発行できるか 逆引き DNS(PTR) IP アドレスからホスト名へ DNSSEC チェック ドメインは署名され検証されているか? DNS ヘルスチェック 委任と DNS の総合診断レポートメール到達性
SPF チェック Sender Policy Framework レコードを検証 DMARC チェック DMARC ポリシーを検査・評価 DKIM チェック DKIM 公開鍵を検索・検証 ブラックリストチェック IP をメールブロックリスト(DNSBL)と照合 SMTP テスト メールサーバーに接続し STARTTLS をチェック MTA-STS チェック 受信メールに対する強制 TLS ポリシー BIMI チェック メール用のブランドロゴレコード TLS-RPT チェック SMTP TLS レポートポリシーネットワークとウェブ
SSL 証明書チェック サイトの TLS 証明書と有効期限を検査 HTTP ヘッダーチェック レスポンスヘッダー、リダイレクト、セキュリティを検査 Ping(TCP) TCP 経由での到達性と遅延 ポートチェック どの一般的なポートが開いているかドメイン
WHOIS ルックアップ ドメイン、IP、ASN の登録データDMARCはSPFとDKIMの上に構築され、認証に失敗したメールをどう扱うか、そしてレポートをどこへ送るかを受信側に伝えます。'p=none'のポリシーは監視のみですが、'quarantine'や'reject'はドメインをなりすましから実際に保護します。IPeekは_dmarc.your-domainのレコードを読み取り、各タグを解析して、ポリシーの強度を評価します。
DMARCはv=DMARC1で始まる_dmarc.your-domainのTXTレコードです。メッセージがSPFまたはDKIMを通過し、その認証済みドメインが表示上のFromドメインとアライメント(整合)したときに合格します。鍵となるのがアライメントです。なりすまし業者は自分のドメインで素のSPFやDKIMを通過させることはできても、あなたのドメインと整合させることはできません。v=DMARC1; p=reject; rua=mailto:reports@your-domain; adkim=s; aspf=s というレコードは、拒否を強制し、DKIMとSPFの両方に厳格なアライメントを要求します。
pタグはポリシーを設定します。p=noneは監視のみで、メールは流れ続けますが、誰があなたを名乗って送信しているかを把握するためのレポートを収集します。p=quarantineは失敗したメールを迷惑メールへ振り分け、p=rejectは完全にブロックするため、なりすましに対する最も強力な保護となります。pctタグで強制を段階的に引き上げることができ(例:pct=25)、spでサブドメインに別のポリシーを設定できます。まずnoneでデータを収集し、正規の送信者が合格することを確認してから、quarantine、rejectへと締めていきます。IPeekは現在のポリシーの強度を評価します。
DMARCを実用的にするのがレポート機能です。ruaタグは、自社ドメインを名乗ってメールを送った送信元と、それらがSPF、DKIM、アライメントを通過したかどうかを要約した日次の集約XMLレポートを受け取るメールボックスを指定します。ポリシーを締める前に、これらのレポートを使って認可し忘れた正規送信者を見つけてください。オプションのrufタグはフォレンジック(失敗ごと)レポートを要求しますが、プライバシー上の理由から、ほとんどの受信側はもはや送信していません。ruaがなければ、手探りでポリシーを強制することになります。
p=noneは監視のみのポリシーです。DMARCに失敗したメールに対して特別な処置を取らないよう受信側に指示するため、メッセージは通常どおり配信されますが、誰が自社ドメインを名乗ってメールを送っているかを示す集約レポートは引き続き受け取れます。p=noneでデータを収集して正規送信者を特定し、その後、本格的ななりすまし対策のためにquarantineまたはrejectへ移行してください。
どちらもポリシーを強制しますが、方法が異なります。p=quarantineは失敗したメールを迷惑メールフォルダへ配信するよう受信側に指示し、p=rejectは完全にブロックして受信者へ届かないようにします。rejectはなりすましに対する最も強力な保護です。quarantineは、完全な拒否へ踏み切る前の中間段階としてよく用いられます。
アライメントとは、SPFまたはDKIMで認証されたドメインが、表示上のFromヘッダーのドメインと一致していることを要求するものです。DMARCは、少なくとも一方が整合したときにのみ合格します。緩和アライメント(既定)ではサブドメインが組織ドメインと一致すれば許容され、厳格アライメント(adkim=s、aspf=s)では完全一致が必要です。アライメントこそが、攻撃者が自分のドメインで認証を通過させるのを防ぐ仕組みです。
DMARCレコードは、ドメインの_dmarcサブドメインに公開するTXTレコードです(例:_dmarc.example.com)。v=DMARC1で始まり、組織ドメインごとに1つ公開します。受信側はこの正確な場所を照会してポリシーを取得します。IPeekは_dmarc.your-domainのレコードを自動で読み取り、含まれる各タグを解析します。
いいえ。DMARCはSPFまたはDKIMのいずれかが合格し、Fromドメインと整合すれば合格するため、厳密には両方は必要ありません。ただし、両方を設定することを強く推奨します。冗長性が増し、SPFは転送で壊れがちなのに対し、DKIMはメール転送を生き延びます。両方の認証方式を整合させておくことで、最も信頼できるDMARC結果が得られます。