DMARCについて調べたよ
はじめに
- GmailでSPF、DKIMが登録されていないアドレスからの受信は5000件、併せてDMARCの設定がされていない場合は10000件までの制限がかかる
- 設定は誰かの手順を参考にしたらきっとできるだろう。でも、どの設定がどんな役割をしているのか。把握するため調べたことをまとめる
- spf,dkimについて調べた記事は以下のURLから
DMARCとは
- DMARCはSPF,DKIMの認証を補強する仕組みとして作られた。
- SPF,DKIMでは、認証で失敗したとしてもメールをどのように扱うか(迷惑メールに入れたり、削除したり…)は受信者によって委ねられる
- つまり、認証したとしても受信ボックスに入ってしまい受信者が開いてしまう場合があり得るということ
- DMARCでは受信者に対して認証に失敗した場合にどのような処理をしたらよいかDNS上で公開してお願いをすることができる。
- 受信者は認証に失敗した時にDNSを参照して処理の決定を行うことができる。
- SPFやDKIMでは出来なかった認証に失敗した場合に送信者側が知る術がなかったが、DMARCでは受信者が送信者に対して通知するレポートを送ることができる。
- メリット:メールアドレスが正しく運用されているか、迷惑メールへの対策を進めることができる
DMARCってどんな仕組み?
※イメージ図
- SPFやDKIMの判定がFAILだった場合にポリシーチェックを行う
- 受信者側のメーラーがポリシーをチェックを行い、対応をうかがう
- ポリシーを元にメールを振り分ける(ことができる)
- ポリシーを参考にするかどうかはメーラーの設定による
設定値を確認してみよう
| タグ | タグの意味 | 説明 |
|---|---|---|
| v | バージョン | 現在は「DMARC1」のみ使用できる |
| p | ポリシー | 「none」アクションなし、「quarantine」隔離、「reject」拒否 の3種類。 どれかを指定すること |
| sp | サブドメインポリシー | サブドメインに適用するポリシーを指定 メインドメインとは異なるレベルのセキュリティ要件を持つ場合にspタグを使ってポリシーを定義することができる |
| rua | 集約レポートURI | DMARCの集約レポートを受信するアドレスを指定できる |
| ruf | 失敗レポートURI | 個々のメールがDMARCレポートを受信するアドレスを指定できる |
| pct | 適用率 | DMARCポリシーを適用するメールの割合を指定できる 値は0~100で指定する。 デフォルトは100 |
まとめ
- DMARCって、SPFやDKIMと組み合わせた時に本領発揮するんだよね。これらと組んで、メールセキュリティをグッと高めてくれるんだ
- SPFやDKIMが送り手の確認をしてくれるのに対して、DMARCはその結果を使って「これどうする?」って具体的な指示をくれる感じ
- DMARCのおかげで、セキュリティ対策が受け手だけじゃなくて、こっちからもできるようになったんだ。これって、双方にとって良いことだよね
- こちらから先手を打つことで、勘違いや詐欺を防げるから、お互いに安心できるね
- DMARCの設定って、SPFやDKIMに比べるとちょっと複雑。サブドメインのこととか、どれくらい厳しくするかとか、考えることがいっぱいあるね
- 細かい設定は面倒かもしれないけど、ちゃんとやればメールのセキュリティがぐんと上がる。たまにチェックして、調整するのが大事だね!