背景
2024年に開催された、とあるDMARCハンズオン勉強会にオンラインで参加し、「質問時間がなかったので、質問があればアンケートに記載を」とのことで、当時のDMARC導入・設定の際の疑問点を質問として書いた。しかしまったく返信がなかったため、後日自分で調査した結果や認識などを、現在のまとめとして記述しておく。
皆様からのご指摘・コメント等、是非お願いいたします。
質問(疑問点)と現在の認識
(引用が質問(疑問点))
受信側として
・DMARCのリポート作成・送信は必須でないと認識しておりますが、あっておりますでしょうか?
RFC7489を読む限りは、レポート送信の義務はないとの認識
送信側として
・DMARC p=quarantine,p=reject を設定し運用開始後に、メールサーバのIP変更を実施したときの影響は、何を想定すれば良いのか指針がありますでしょうか?
新サーバのIPをSPFに追加・十分な期間を置き・旧サーバのIPをSPFから削除 の実施で、DMARCへの影響はないとの認識
・DKIMの鍵ローテーション・DKIMの鍵の長さの2つについて、指針がありますでしょうか?(どうすれば良いかベースとなる考えをしりたかったです。)
DKIMの鍵ローテーション:推奨期間は、6か月~1年
DKIMの鍵の長さ:2048ビットが強く推奨される
・SPFの信頼度(-/~/?) で、DMARCでの扱いの違いはありますでしょうか?(SPFの設定値の検討のため)
+(pass)以外全部fail扱い
・外部サービスを使用すると、SPF のinclude を行いますが、外部サービスでなりすまされることを考える必要はありますでしょうか?
外部サービスの仕様に依存する部分が大きいため、外部サービス依存と認識
・中小企業・新規ドメインの場合、差出人が少人数で送信サーバが明確のため、最初からDMARC p=rejectの設定することについては、ご意見ありますでしょうか?
メーリングリストを含め、送信先で転送された場合の扱いが問題点として存在すると認識。
ただ、DMARC p=reject ならば、届かない場合が、DMARCレポートを見なくても、NDR(Non-Delivery Report/配信不能レポート) で確認しやすい点はあると認識
・SPF,DKIM,DMARCでのドメイン・サブドメインの扱い、アライメント時の扱いが理解できていないので、知りたかったです。
SPF: 対象ドメイン毎の設定(対象ドメインは、EnvFrom と認識)
DKIM: 対象ドメイン毎の設定(対象ドメインは、署名ドメインと認識)
DMARC: 対象ドメインがなければ、親ドメインの設定を参照(対象ドメインは、HeaderFrom と認識)
アライメント
SPF: EnvFrom のドメインと、HeaderFrom のドメインの確認
DKIM: DKIM署名ドメインと、HeaderFrom のドメインの確認
strict: 一致
relaxed: どちらかがどちらかのサブドメインならOKらしい
SPFの場合 HeaderFrom example.com, EnvFrom sub.example.com はOKらしい
逆の場合 HeaderFrom sub.example.com, EnvFrom example.com もOKらしい(不明確)
example.com と sub1.sub2.example.com の場合もOKかは不明確
・DMARCレポートの読み方の、はじめの手がかりとなる情報が欲しかったです。
DMARCレポート可視化ツール利用が前提
OSS dmarc-visualizer を使ってはいるが、動かないパターンや fork が多すぎて、大変
・個人メールの場合、携帯アドレスやGmail への転送・メーリングリストへの参加などが想定されるため、p=quarantine としていますが、これで良いのか?p=rejectにするタイミングや条件などの、指針や皆様の経験を知りたかったです。
(現状調査中)
参考: 弁護士ドットコムクリエイターズブログ「DMARCをなめてました」
以上