DMARCレコードは、テキストレコードとしてDNSに公開され、ドメイン所有者がDMARCポリシーに基づいて認証に失敗した電子メールに対して何をすべきかを電子メール受信者に伝えることを可能にする。そのレコードの一部として、pctタグは、指定されたDMARCポリシーが適用されるメールメッセージの割合を受信サーバーに伝えます。
以下はDMARCレコードの例である。
この例では、DMARCレコードは、DMARC認証に失敗したメールの80%を拒否し、レコード内のmailto:アドレスにそのレポートを送信するよう受信サーバーに指示しています。以下はレコードのタグの説明である。
v – これはバージョン1のDMARCレコードです。バージョンは常にDMARC1でなければなりません。DMARCのバージョンタグが正しくない、または見つからない場合、そのレコードは無視されます。また、DMARCレコードが無効になるため、良いことではありません。避けるべき落とし穴は他にもあります。
p – このタグはDMARCポリシーを示す。値にはp=none、p=quarantine、p=rejectがある。
- 既存のフローに影響を与えることなく、フィードバックを収集し、メールストリームを可視化するために使用されるものはありません。これは重要な第一歩です。
- 隔離は、メール受信者がDMARCチェックで不合格になったメールを不審メールとして扱うことを可能にします。ほとんどの場合、SPAMフォルダに振り分けられます。
- Rejectは、DMARCチェックに失敗したメールを拒否するようメール受信者に要求します。
rua – 受信者がXMLフィードバックを送るためのURIのリスト。DMARCはmailto:address@example.org の形式のURIリストを要求する。
さて、pctタグについてである。pctタグはオプションであり、敬遠されがちですが、ドメイン所有者がDMARCポリシーを緩やかに、そして徐々に制定し、テストするための効果的な方法です。これは、正当なメールストリームが流れていることを確認し、不正なものが流れていないことを確認する手段を提供します。
pctタグの値の範囲は1~100で、DMARCレコードにpctタグが含まれていない場合は100がデフォルトとなります。例えば、p=reject; pct=50のDMARCレコードは、メールの50%を拒否しています。p=reject;pct=30のレコードでは、30%が拒否され、70%が隔離されます。pctタグは、ドメイン上のすべてのメールを監視するために使用する監視ポリシーであるp=noneでは機能しません。
例えば、以下のDMARCレコードは、メールメッセージの30%がSPAMフォルダに隔離されることをサーバーに伝えます。
DMARCレコードにpctタグが含まれていない場合のデフォルトである100%未満でオプションのpctタグを使用することにより、ドメインがなりすましの可能性に開かれていることは注目に値する。最終的な目標は、p=rejectポリシーを100%にすることである。pct=100は、レコードにpctタグがない場合のデフォルトなので、そこまで到達したら、pctタグを完全に削除することができます。理想的なポリシーの状態にある、すっきりとしたDMARCレコードは次のようになります。
DMARCを初めてお使いになる方は、DMARC入門ページをご覧いただき、DMARCレコードウィザードやその他の無料ツールをご活用ください。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
