Dmarcian Alert Centralの説明

BIMI/DMARC導入支援
2023.10.17
この記事は約5分で読めます。

Basic、Plus、Enterpriseの契約者が利用できるAlert Centralは、dmarcianアカウントにログインすることなく、ドメインを監視することができます。新しいDNSレコードや変更されたDNSレコード(例:新しいDMARCレコードを確認)、お客様のドメインのトラフィックのカテゴリ間のボリュームの変動など、ドメインのイベントに基づいてアラートを送信することができます。 アラートのメニューへはダッシュボードへログインし、Dmarc ManagerからAlert Centralのサブメニューをクリックしてください。

設定されたアラートは、DMARCは1時間ごと。SPFとDKIMは1日回チェックを行い、条件に一致すれば通知されます。

アラートとは何ですか?

dmarcianのアラートは、通知を送信するためのトリガーとして機能するイベントに基づいています。イベント例としては、DNSレコードの新規作成・変更(例:DMARCレコードの新規作成)、ドメインのトラフィックのカテゴリごとのボリュームの変動などがあります。通知は、メール、Slack、Webhooksで配信され、近日中にさらに多くのオプションが追加されます。

なぜアラートを設定するのですか?

初期段階では、積極的に行っているすべての変更を追跡したいかもしれませんが、ドメインを確保した後は、記録の破損や潜在的な不正使用を監視することに重点を置くことになるでしょう。アラートの種類に関係なく、アラート通知の重要性は、できるだけ早く是正措置を講じることができることです。

お勧めの設定

1. Invalid DMARC、SPF Warning、 Invalid SPF

Alert Centralにはあらかじめよく利用されると思われるアラート設定がテンプレートとして用意されています。テンプレートを利用することでいくつかの項目を記入するだけで数分の設定だけですぐにアラート設定が完了します。下記はテンプレートを使ったおすすめの設定と手順です。今回はメールで通知するアラートを作成します。

テンプレートの説明

テンプレート名説明
Invalid DMARC無効なDMARCレコードが検出された場合に、受信者に通知するアラートを作成します。
SPF Warningお客様のドメインでSPF警告が検出された場合、受信者に通知するアラートを作成します。警告はレコードを無効にしませんが、機能的な問題を引き起こす可能性があります。たとえば、SPFレコードにallメカニズムの後のメカニズムが含まれている場合、all以降のすべてが無視されます。また、この警告が解除された場合にも、警告が表示されます。
Invalid SPF無効なSPFレコードが検出された場合に、受信者に知らせるアラートを作成します。 また、これが解除された場合にもアラートを送信します。

設定方法

  1. Alert Centralのページから+ Create Alertボタンを押します。 下記のポップアップが表示されます。
  1. Choose example template…の右側に3つテンプレートが表示されています。 Invalid DMARC recordをクリックすると、* の必須項目が自動的に記入されます。確認の上問題なければSave Alertボタンを押します。
  2. アラート一覧画面に戻り設定が追加されていることを確認します。 設定内容は一覧右側の鉛筆マークをクリックすると表示されます。
  1. 同様にSPF warning、SPF Invalidを設定します。 上記3つのアラートはデフォルトのメールアドレスにアラートを送信する以外は設定から変更する必要はありません。

2. SPAMメールのアラート

次にSPAMメールが大量に配信された場合にアラートを送信する設定です。Non DMARC Capable、Forwwarders、Threat/Unknownの各メールソース・カテゴリーに対して設定を行うことで、24時間以内に急激にメール配信数の増加を検知した際にアラートを送信することができます。メールの送信数は前日の送信数と比較され、メール送信数の増減をパーセンテージで指定します。なお、SPAMが送信される場合にはパーセンテージの増加は100%を超えることが多々ありますが、現状では1~100%までの指定となっています。

Non DMARC Capableからのメール送信

DMARCに対応していないメールソースからのメールを検知した場合のアラート。DMARC認証(SFPとDMARCの両方)に対応してないメールサーバーは稀なので、これらのソースからメール配信があるのはSPAMメールである可能性が高いかと思われます(通常は0%)。したがって、低めの数値の10~20%増加を検知した場合にアラートを送信する設定をお勧めします。

項目
NameSpike from Non-DMARC capable
Event typeVolume
Event triggerSpike in Non-DMARC Capable sources
Condition -> Percentagegreater or equal, 10

Forwardersからのメール送信

Forwardersは転送サーバーのメールソース。 正常なメールでも一時的にメールの自動転送が増えることはあるので、若干多めの数値90~100%を設定して様子を見るのが良いかと思われます。

アラート設定項目
項目
NameSpike from Forwarders
Event typeVolume
Event triggerSpike in Forwarders
Condition -> Percentagegreater or equal, 90

Threat/Unknownからのメール送信

Threat/UnknownはDmarcianに認識されていないメールソース。国内の小規模なホスティング会社やメール送信プラットフォームもこのカテゴリーに分類される可能性があります。 従って、パーセンテージの数値を低くしすぎると頻繁にアラートが送信されてしまうので、70~80%を設定して様子を見るのが良いかと思われます。

アラート設定画面
項目
NameSpike from Threat/Unknown
Event typeVolume
Event triggerSpike in Threat/Unknown
Condition -> Percentagegreater or equal, 60

アラートメール

アラートメールは下記のようなメールになります。 Detail ViewerのリンクをクリックするとDmarcianのサイトが開きます。

受信したアラートメール
タイトルとURLをコピーしました