dmarcianはDMARCデータを4つの高度なカテゴリに分類するルールを保持しています。カテゴリーは以下の通りです。
- DMARC対応
- 非準拠ソース
- フォワーダー
- 脅威/不明
ルールを追加するためにデータを調査する際には、メールの送信元を特定し、その送信元がDMARCに準拠するように設定できるかどうかを確認するようにしています。調査結果はクリエイティブ・コモンズ・ライセンスのもと、dmarc.io(dmarcianがメールコミュニティのために運営しているサイト)で公開しています。
以下、4つのカテゴリーについて説明する。
DMARC対応
DMARCに準拠したメールを送信できるメールの送信元を発見した場合、その送信元がSPFおよび/またはDKIMを介してコンプライアンスを満たしているかどうかを記録します。また、DMARCに準拠したメールを送信するために、送信元をどのように設定できるかを文書化します。dmarcianツールに表示されるDMARC対応ソースには、ソースに関連する電子メールのDMARCコンプライアンスの現在のレベルを示す統計情報が添付されることがよくあります。
非準拠ソース
メール送信元を調査した結果、DMARCに準拠したメールを送信できないことが判明した場合、そのメール送信元は「非準拠」に分類されます。これは、1)DMARCに準拠したメールを送信するためにメール送信元を探す時間を節約するため、2)DMARCに準拠したメールを送信する方法をまだ見つけていないメール送信元の認識を高めるためです。非準拠の送信元」に表示されるサービスを使用していることに気づいたら、DMARC準拠のメールを代理送信する方法を参照してください。
フォワーダー
電子メールの転送はインターネット上で起こる。転送は通常、someone@EXAMPLE.ORG にメールを送信し、その誰かが自分のメールを someone@SAMPLE.NET のような他の場所に転送するように設定した場合に起こります。昔からのメールアドレスを持っていて、ウェブメール・プロバイダーへの移行を決めた人が、このカテゴリーに入ることが多い。他の例としては、他の場所に転送される卒業生アドレスを持っている人や、Googleグループのようなメーリングリストがある。どのような場合でも、メール受信者(DMARC XMLレポートを生成している側)から見ると、あなたのメールはあなたとは関係のないインフラから出ているように見えます。
DKIM署名は転送に耐えることができます。 あなたのドメインがDKIMでカバーされていれば、dmarcianの転送を検出する能力は高まります。SPFは単にあなたのドメインに代わって送信することを許可されたサーバーのリストなので、SPFは転送の文脈では機能しません。 ドメイン所有者がフォワーダーのリストを管理することは不可能です。
dmarcianは、よく知られたフォワーダーを識別するための小さなルールセットを維持しています。DKIMが存在すればそれを保持するフォワーダーもあれば、常にDKIMシグネチャを破るフォワーダーもあるようだ。
脅威/不明
データを分類するルールがない場合、そのデータは「脅威/不明」カテゴリーに分類されます。 ユーザはこのカテゴリーに正当なメール・ソースを見つけることがあります。そのような場合は、そのソースを除外するルールを作成します。
最後に、私たちは 「Threat」の特定のキャンペーンを呼び出す少数のルールを維持しています。しかし、私たちの哲学は、犯罪者が偽メールを送ることができるさまざまに変化する方法を強調することではないので、これらのルールは一般的にあまり役に立ちません。単純にすべてをブロックすることが可能なのに、なぜ犯罪者が作り出す常に変化する糞の山を分類するのでしょうか?
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください