所有している複数のドメイン宛のメールを、Google WorkspaceやMicrosoft 365で送受信して、それぞれSPF/DKIM/DMARCの設定をしています。こうすると、各ドメインのDMARCレポートをメールで頻繁に受け取ることになりますが、添付されてくるXMLファイルをいちいち開封して中身を見るのが苦痛になってきました。
そこで、DMARCレポートを無視せずに確認作業の省力化を図るために、DMARCレポートの可視化ツールを使って、週一程度の頻度でその情報を見る運用とすることにしました。
クラウドベースの可視化ツールは、ネットの情報を確認すると、定番と言えそうなものがいくつかでてきたようです。その中からPOWERDMARCとValimail Monitorを選んで試してみました。
DMARCレポート可視化ツールの仕組み
今回試した2種類のDMARCレポート可視化ツールの仕組みは単純です。DMARCレポートを受信するメールアドレスに各ツールが用意したメールアドレスを追加することで、DMARCレポートを当該可視化ツールの環境にも飛ばして、それを解析してもらいます。
DMARCレポートには「rua(集約、集計)レポート」と「ruf(失敗、フォレンジック)レポート」の2種類がありますが、POWERDMARCではrua/rufの両方、Valimail Monitorではruaのみを受け取る仕様でした。
実際に可視化ツールにDMARCレポートを送信するには、DNSサーバにて各ドメインの情報を変更します。具体的には「_dmarc.ドメイン名」のTXTレコード値を変更して、rua 及び ruf に可視化ツールのメールアドレスを追加するだけです。
POWERDMARCは日本語対応で見やすいが、複数ドメインを管理するには有償版が必要
使い勝手や素人でも見やすい・使いやすいという観点では、POWERDMARCの方が良いと思いました。ただし、無償で使えるのは1ドメインのみでデータ保存期間も短いので、ちゃんと運用するには有償版が必須となります。
また、有償版でもすぐに使い始められる「ベーシック」は月額8ドルで5ドメインまでしか対応できず、それ以上は個別見積りが必要な「エンタープライズ」になってしまいます。より多くのドメインを管理できる安価な契約プランが望まれます。
とりあえずは、主に使っているドメインを5つ以内に絞って、ベーシック版で使ってみることにしました。
Valimail Monitorは無償版でも多数のドメインが管理できる
一方、Valimail Monitorは、英語版の画面しかなく、素っ気ない見た目でとっつきにくい感じがしますが、無償版でもドメイン数の制限がないため、多数のドメインを管理したいというニーズには合っていると思いました。有償版にすると、分析機能などが使えるようになるので、それらの必要性を感じるようになったら、有償版に切り換えようかと考えています。
DMARC可視化ツールを使うと、DMARC設定の間違いに気づける
今回、DMARC可視化ツールを使い始めたところ、DMARC設定がいくつか間違えていたことにも気づけました。DMARCの設定を数年前に始めたころには、Google Admin ToolboxのCheck MXを使って設定の確認をしていたのですが、最近は正しくDMARCの設定をしていてもエラーだと判定されるようになって、ツールとして使い物にならない状況でした。
一方、POWERDMARCやValimail Monitorでは、可視化対象のドメインを設定すると、そのドメインのSPF/DKIM/DMARCの設定が正しくできているかをチェックしてくれて便利でした。
特に、DKIMの設定については、DKIMで使う鍵長が長くなると、AWSのRoute53 でDKIMのレコードを設定する際に、失敗しやすい(公開鍵が途中で途切れてしまう)ので注意が必要です。
また、DMARCの設定も、p(ポリシー)パラメータをnoneのままにしていたり、pct(ポリシーを適用する割合)パラメータを50(%)のまま運用を続けていたケースが見つけられました。
この辺りを可視化ツールで警告してもらえると、忘れずにp=quarantine(隔離)/p=reject(拒否)やpct=100(すべてのメールに適用)まで設定できるようになりました。
DMARCレポート可視化ツールはまだ黎明期
電子メールにDMARCが必須となる中、適切な運用を行うにはDMARCレポート可視化ツールも管理者側では必須となっていくことでしょう。今回使った2種類のツールも、まだ改善の余地はあるので、今後の成熟化とコスト低減が望まれます。
特に、メールサービスを提供している大手クラウド事業者(GoogleやMicrosoftを含む)は、自らのメールサービスの付加機能として、DMARC可視化ツールを提供すべきではないでしょうか。