DMARC(ディーマーク)
掲載:2024年04月23日
用語集
「DMARC」とは、なりすましメールを検知して防止するために送信元のドメインを認証する仕組みです。近年、企業のドメインを偽装したフィッシングメールや詐欺メールはますます増加しています。その対策として、米GoogleがGmailアカウントへ大量にメールを送信する企業などに対して、2024年2月以降はDMARC対応を義務付けるガイドラインを公表して注目を集めている技術です。
DMARCとは
DMARCとは「Domain-based Message Authentication, Reporting and Conformance」の頭文字をとった略称で、「ディーマーク」と読みます。
DMARCは、メールのなりすましや改ざんを検知する従来のドメイン認証(SPFやDKIM)に加えて、認証に失敗した場合の処理ポリシー(隔離や拒否など)の設定や、ドメイン所有者(送信者)への認証結果報告などの機能を備えています。これらの機能により、ドメイン所有者は悪意のあるメールがユーザーに配信されるのを防ぎ、自己のドメインを悪用した犯罪の状況把握と対策が可能です。
DMARCは、フィッシングメールや詐欺メールから、組織や顧客を守るための強力なセキュリティ対策として広く導入されています。
DMARCの流れ
DMARCによる認証の基本的な流れは以下のとおりです。
1.送信側ドメインがDMARCレコードを公開
メールの送信側のドメイン所有者が、DNS(Domain Name System)サーバにDMARCレコードを公開します。DMARCレコードには、以下の情報を含みます。
DMARCポリシー | 受信側が認証結果に基づいてメールをどのように処理するか |
---|---|
レポート送信先 | 認証結果のレポートを送信するメールアドレス |
2.メール送信
送信側がメールを送信します。
3.受信側によるSPFとDKIMの認証
受信側メールサーバは、受け取ったメールに対してSPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の一方もしくは両方によるドメイン認証を行います。
SPF | 送信元IPアドレスが送信側ドメインに紐づくSPFレコードにリスト されているIPアドレスからのものであるかを認証する技術 |
---|---|
DKIM | メールが改ざんされずに送信されたことを、デジタル署名を用いて 認証する技術 |
4.DMARCポリシーの取得とアクション
受信側メールサーバは、送信側ドメインのDMARCレコードからDMARCポリシーを取得します。SPFまたはDKIM認証に成功したメールはそのまま配信し、失敗したメールはDMARCポリシーに設定された指示に従って処理します。ポリシーは、以下の3種類です。
None(なし) | そのまま配信される |
---|---|
Quarantine(隔離) | 迷惑メールフォルダなどに入れる |
Reject(拒否) | 配信しない |
5.レポートの送信
受信側は、DMARCレコードに記述されたレポート送信先に、認証結果や処理結果、送信元IPアドレスなどを含むレポートを送信します。レポートを受け取ったドメイン所有者は、自己のドメインの不正利用を検知し、必要に応じて対策を講じることが可能です。
DMARCは以上のような流れで、配信されるメールの信頼性の向上や、送信者による脅威の状況把握を実現しています。
DMARCの効果と注意点
DMARCは、なりすましメール対策として効果が高い一方で、導入には注意点もあります。
DMARCの効果
DMARCは、SPFとDKIMの2つの認証技術を用いて送信ドメインの正当性を認証し、なりすましメールを効果的に防止することが可能です。
企業が自社のドメインを悪用したメールの配信を防ぐことは、受信者からの信頼を高め、ブランドイメージを守ることにつながります。迷惑メールの配信抑止により、正規のメールの到達率向上も期待できるでしょう。
また、DMARCの報告機能により不正なメールの送信活動を監視・分析して、適切なセキュリティ対策をとることも可能です。
DMARCの注意点
DMARCの効果を最大限に引き出すためには、正確な設定が必要です。最初から厳格なポリシーを設定すると、誤っていた場合に正当なメールまでブロックされる可能性があるため、段階的に導入すると良いでしょう。 また、送信側に届く、認証結果を知らせるDMARCレポートの管理も大量のメールを配信する組織にとっては負担が大きくなります。
DMARCは多くのなりすまし攻撃を防いでくれますが、すべてのセキュリティ脅威から保護される訳ではありません。他のセキュリティ対策と組み合わせて導入することで、メールに対するセキュリティ強化を図ることが重要です。