メール配信の記事
ARTICLE送信ドメイン認証「DMARC」でなりすましメールを受信トレイに入れさせない!vol.3
- メルマガ購読者から、メールが届かないと問い合わせを受けたことはありませんか?
- スパイラルのメール配信設定にて、黄色信号のまま配信していませんか?
- あなたの組織になりすましているメールがどのくらいあるか、知っていますか?
前回までの記事はこちらからご覧いただけます。
第1回 送信ドメイン認証「DMARC」の概要
第2回 送信ドメイン認証「DMARC」の送信側および受信側の導入状況
目次
送ったメールがなりすまし扱いされているかも?!
前回お届けしたように、メール受信側のプロバイダやフリーメールがDMARCに対応しており、今後も対応するサービスは増えていくと思われます。
Yahoo!メール、迷惑メール対策として、 米国などグローバルで活用が進む送信ドメイン認証技術「DMARC」を 3月より順次導入
Gmailでは、メール送信元のドメイン(下記例のxxx.smp.ne.jp)と差出人メールアドレスのドメイン(下記例のexample.com)が一致しない場合、受信者側で気づけるよう、メッセージに「経由」を表示します。
ドメインが一致していないメール
メッセージ画面に「経由」が表示されます。
メッセージのソース画面で、DMARC認証は失敗(fail)しています。
ドメインが一致しているメール
メッセージ画面に「経由」が表示されません。
メッセージのソース画面で、DMARC認証はパス(pass)しています。
現時点ではさり気ない注意喚起ですが、DMARC認証が失敗している場合、今後はもっと目立つ表示に変更され、メールを受信した方に不安を与える可能性があります。こうした事態を回避するため、 今回は、DMARCの導入に必要なこと、導入した後の運用についてお届けします。
スパイラル利用者がDMARC認証をパスするためには
Express2でメールを一斉配信する時、DKIM署名を必ず付与して配信いたしますが、スパイラルのドメイン「smp.ne.jp」で署名したDKIM署名(第三者署名)を使用している場合、DMARCでは送信ドメインの検証が厳格なため、認証結果はパスしません(failになります)
スパイラルの配信設定画面では、メール配信前に、送信元認証に黄信号●を点灯いたします。
第三者があなたの組織ドメインになりすましてメールを配信している場合、受信側から見ると、なりすましメールもDMARCがfail、スパイラルからのメールもDMARCがfailになり、どちらもなりすましに見えてしまいます。
そこで、スパイラルのDKIM署名ドメイン管理にて、スパイラルで使用するドメインと、あなたの組織ドメインで署名したDKIM署名(作成者署名)を紐付ければ、受信側に本物のメールであることを証明でき、DMARCの認証結果はパス(Pass)します。
DKIM署名ドメイン管理の使い方はサポートサイトをご覧ください。
Express2配信設定画面で送信元認証が青信号●になれば成功です。
DMARCが認証失敗(fail)になるメールについて対処する
作成者署名のDKIM署名でメールを配信しても、メールサーバを経由するうちに、DKIM署名が壊れて、DMARCの認証に失敗するケースがあります。
また、そもそも送信ドメインをなりすましているメールは、受信側で迷惑BOXに入れたり、受信拒否して、本物のメールだけを受信トレイに入れるようにすることが望ましいです。
迷惑メール白書2020(発行:迷惑メール対策推進協議会)の「第3章トピックス:送信ドメイン認証技術(SPF・DKIM・DMARCなど)」によれば、DMARCの長所は導入の簡単さであり、導入コストはほぼ皆無とされています。
もし、上記のDKIM署名ドメイン管理を使用する方法が難しく、黄色信号のまま配信するしかない場合でも、DMARCを導入することはできます。
DMARCレコードを設定してみよう!
それでは、ここでDMARCの仕組みをおさらいします。
特徴1.送信ドメインを管理しているDNSサーバに、受信メールの取り扱いポリシーを宣言する。ポリシーは3種類のどれかを選択します。
| 受信メールの取り扱い | DNSに記述するポリシー |
|---|---|
| 何もしない | p=none |
| 隔離する | p=quarantine |
| 受信拒否する | p=reject |
特徴2.受信側が検証した結果をメールで受け取れる。受け取れるメールは2種類です。
| レポート種類 | レポート内容 |
|---|---|
| ruaレポート | 検証結果の統計データ (SPF認証に成功したメールの通数など) |
| rufレポート | 認証に失敗したメール |
当社のドメイン「pi-pe.co.jp」では、DNSサーバに以下のようにDMARCを設定しています。
_dmarc. pi-pe.co.jp . 21058 IN TXT "v= DMARC1 ; p=none ;
rua=mailto: xxxxx@pi-pe.co.jp "
pi-pe.co.jp → 当社からメールを送る時の、差出人メールアドレスのドメインです。
DMARC1 → DMARC用のレコードであることを表しています。
p=none → 受信側に「何もしないこと(=受信すること)」をお願いしています。
xxxxx@pi-pe.co.jp → このメールアドレスで検証結果を受け取っています。
DMARCを導入する手続きは以下のようになります。
1.ポリシーを決める
DMARCの認証でNGとなったメールを、受信側でどのように扱って欲しいのか決めますが、導入当初は様子を見るためにも「p=none」を設定しましょう。
2.メールアドレスを用意する
受信側がDMARCのレポートを受け取るメールアドレスを用意しましょう。
3.DNSサーバのTXTレコードにDMARCレコードを設定する
あなたの組織で使用しているドメインや、スパイラルからのメール配信で使用している送信ドメインを確認して、当該ドメインを管理しているDNSサーバに以下のように設定します。
_dmarc. example.com . 21058 IN TXT "v= DMARC1 ; p=none ;
rua=mailto:xxxxx@example.com "
導入した後はどうすれば良いの?
レポートを分析する
1日ほど経つと、上記で用意したメールアドレス宛にレポートが送られてくると思います。ただし、メールに添付されたXMLファイルはコンピューターが読み取る形式になっていて、大規模にメール配信をしている組織ですと、レポートの量が膨大になり、目視で分析するには難しいものがあります。
そこで、専用の分析ツールを使用する方法があります。
分析ツール「 DMARC/25」(株式会社TwoFive)を使用して、 当社のドメイン「pi-pe.co.jp」を調査してみました。
調査期間:2020年11月25日 – 2020年12月9日
DMARCレポートをベースにした場合、「pi-pe.co.jp」になりすましの疑いがあるメールが55,374通配信された結果になりました。
なりすまし疑い、認証失敗を調べる
メールが送信された送信元ごとに、メール通数や送信ドメイン認証の結果が分かるので、全く知らない送信元、なりすましとは言えない送信元を切り分けます。
ドメイン管理者が把握していないメールが送信される例として、組織のスタッフが業務の一環で、組織のメールサーバではなく、別のメール配信サービスを使って、差出人メールアドレスを組織のものにして、顧客へ送るケースが挙げられます。
この場合、なりすましているわけではないので、当該メール配信サービスのガイドに従って、DMARC認証がパスするよう対応します。
メール配信サービスがスパイラルの場合、本記事内で前述した「 スパイラル利用者がDMARC認証をパスするためには 」をご覧ください。
もし、なりすましメールを確認したら?
組織やサービスのWebサイト上で、「当社ドメインを装った不審なメールにご注意ください」というお知らせを見たことはないでしょうか?
なりすましメールを受け取った受信者が、組織やサービスのWebサイトを確認した場合、注意喚起することができます。
SPIRAL® の送信ドメイン認証技術への対応
スパイラル® では、特電法対応の機能提供やなりすましメール対策技術である送信ドメイン認証SPF、DKIM、DMARCにいちはやく対応し、受信プロバイダに迷惑メールと判定されにくいメール送信の環境提供に日々努めております。
スパイラル®の「DKIM」「DMARC」への対応については こちら もご覧ください。
本日のまとめ
- DMARCの導入は簡単3ステップでできる。
- 導入後のレポート解析を助けてくれる専用ツールがある。
3回にわたって、DMARCの紹介をしてきました。
確かに、DMARCの認証がパスしていても、受信側によるフィルタ設定などにより、メールが受信トレイに入らないことは起こり得ます。
しかし、DMARCを導入することで、あなたの組織になりすましているメールを排除することができますので、導入をご検討いただければ幸いです。
