はじめに
DMARCポリシーをp=rejectに変更しました。DMARCに取り組もうとしたきっかけや、取組の経緯は、以下のブログに書いてます。
DMARCとは
そもそもDMARCとはって話はいろいろな人がいろいろな記事をあげてくれているので割愛します。このへんの記事や、Youtubeがわかりやすいです。
DMARC「p=reject」設定後の変化
DMARCは認証されていないor認証が不十分なメールを受信側のメールサーバーで検疫or削除してもらうことができる設定です。ポリシーをquarantine (検疫)以上にしておけば、非正規なメールが送信先ユーザーのメールボックスに届きにくくなります。
弊テナントではDMARCポリシーを設定する前は、弊社ドメインになりすましたと思われるメールが 1日10,000通前後 送信されていることが観測されていました。
それが、DMARCポリシーをp=quarantine以上に設定1週間ほど経つと、なんと、なりすましメールそのものが劇的になくなったのです。(図を参照)
この図でいうと、8/8以降ですね。不審なメール送信そのものがすくなく、棒グラフがほとんどなくなっていることがわかります。
DMARCのポリシーが設定されているため、不審なメールが送信されたとしても、ユーザーに届きにくくなっているのですが、DNSレコードにDMARCポリシーが入っていることを確認した攻撃者が、おそらくIPレピュテーションの低下を恐れて、弊社ドメインをなりすましメールに使うことをやめてくれたようで、1日に100通もないくらいまで減りました。
メールは攻撃の起点になっている
インシデントの多くがメール起点とよく耳にします。DMARCを設定するだけで、自社ドメインになりすましたメール送信がこんなにも減るならば、社会貢献という意味でも、必須の取り組みだなと感じます。
目に見える取り組みだから楽しいよ😇
DMARCは解析ツールを導入していれば、常に可視化レポートを見ながら、正規なメールなのに認証がされていないと思われるメールを探し、業務部門と連携しSPFやDKIMを設定していく。数日後にレポートを見ると、不審なメールが少し減ってる。その繰り返しです。情シスのお仕事で、目に見えて成果が出ていく仕事って少ない気がしており、振り返ってみれば楽しい仕事でした。
まとめ
まだ、DMARCに取り組めていない人、ポリシーをnoneにしたけどその先何もしていない組織は、ぜひ前向きに取り組んでほしーな!