DMARCの仕様は2012年に初めて公開されましたが、インターネット・エンジニアリング・タスク・フォース(IETF)は、DMARCbis(更新版の作業タイトル)でDNSベースの制御の変更を提案しています。IETFのDMARCワーキンググループは、DMARC仕様をより柔軟で理解しやすく、展開しやすくするためのアップデートについて議論してきました。
提案されたDMARCbisの更新内容
この更新は根本的なものではなく、ドメイン所有者が機能を維持するためにDMARCレコードを更新する必要はありません。この変更は、コントロールの明確さ、セキュリティ、相互運用性を向上させるための試みです。
IETF DMARCワーキンググループによって提案された変更の概要は次のとおりです。
- DMARCの仕様は、理解しやすく、従いやすいように、改良された例で再配置および書き直されています。
- ベストプラクティスを定義するために、「Conformance Requirements for Full Participation DMARC(完全参加のためのDMARC準拠要件)」セクションが追加され、DMARCメカニズムについて説明し、「ドメイン所有者またはメール受信者によるDMARCへの完全参加の要件」を要約しました。
廃止されるDMARCタグ:
- pct タグは、DMARC ポリシーが受信メールの特定の割合にのみ適用されることを示すために使用されます。IETFは、「運用経験から、指定された値が0または100(デフォルト)でない限り、pctタグは通常正確に適用されず、他の値との不正確さは実装ごとに大きく異なることが示されました」と書いています。
すべての利害関係者がこの動きに同意するわけではありませんが、pct タグは t (テスト モード) タグに置き換えられ、すべて (100%) またはなし (0%) のシナリオが作成されています。p=検疫およびp=拒否の施行ポリシーの測定された進歩におけるpctタグの有用性を高く評価する人もいます。また、PCTタグは一貫して計算されておらず、より正確なタグが運用上の明確さを提供すると認識している人もいました。 - RF(Aggregate Report Format)とRI(Interval Between Aggregate Reports)タグは、DMARC導入プロセスを簡素化・合理化するために削除されています。ここで注意すべきは、電子メール受信者は引き続き集計レポートを生成し、RUA タグで指定された電子メール アドレスに配信することに注意してください。
追加されるDMARCタグ:
NP (存在しないサブドメインポリシー) – P タグと SP タグと同じポリシー値を持つ提案された NP タグを使用すると、ドメイン所有者は存在しないサブドメインにポリシーを適用できます。なぜドメイン所有者は存在しないサブドメインのポリシーを設定するのかと疑問に思うかもしれません。DMARCのコントロールを覆すために、サイバー犯罪者は既存のドメインの存在しないサブドメインを使って怪しげなメールを送信しようとします。強制値が隔離または拒否の np タグは、偽のサブドメインから送信される詐欺メールを阻止するために必要な保護を提供できます。
PSD (パブリック サフィックス ドメイン) – ドメインがレジストリによって運用されるパブリック サフィックス ドメイン (PSD) であることを示すために使用されます。このタグは、From ドメインのルートドメインを定義するために使用され、次の値を持ちます。
- y – PSO (パブリック サフィックス演算子) には、ドメインが PSD であることを示すために、このタグの値が y が含まれます。ポリシー検出中に、値が y のこのタグを含むレコードが見つかった場合、この情報を使用して、問題のメッセージに適用できる組織ドメインと DMARC ポリシー ドメインが決定されます。
- n – DMARC ポリシーレコードが PSD ではないドメインに対して公開されているが、それ自体とそのサブドメインの組織ドメインであることを示します。
- u – DMARC ポリシーレコードが PSD ではないドメインに対して公開され、それ自体とそのサブドメインの組織ドメインである場合とそうでない場合があることを示すデフォルト値。この場合、DNS ツリー ウォーク プロセスによって組織ドメインが決定されます。DNS ツリー ウォークは、ドメイン ネーム システムをナビゲートしてドメイン名を IP アドレスに関連付けるプロセスです。
t (テストモード) – pct タグを置き換え、次のバイナリ値を持ちます。
- y – p、sp、および/またはnpタグで公開されたDMARCポリシーを適用すべきではなく、pct=0値のように動作することを示します。
- n – 公開された DMARC ポリシーを適用するデフォルト値で、pct=100 の値に相当します。
その他の技術アップデート
- パブリック サフィックス リスト メカニズムは、パブリック サフィックス ドメイン (PSD) のサポートを強化するために、DNS ツリー ウォーク アルゴリズムに置き換えられます。
- メールの転送やメーリングリストはメールの認証に干渉する可能性があるため、DMARCbisはメーリングリストではp=rejectポリシーを使用しないことを推奨しています。
PCTタグと同様に、すべての対象分野の専門家がIETFの評価に同意しているわけではなく、当社のプロフェッショナルサービス担当ディレクターであるAsh Morin氏も含めています:「DMARCデータを注意深くレビューし、ユーザーが関与しているメーリングリストを特定することで、安全にp=rejectに進むことは絶対に可能です。MailmanやLSoft LISTSERVのような最新のリストソフトウェアには、すでにDMARCの緩和策が組み込まれており、「p=rejectを公開しない」ことをベストプラクティスとして扱うことに注意を促します。
DMARCbisの準備方法
既存のv=DMARC1レコードは引き続き有効であり、変更が公開されても標準であり続けます。とはいえ、DMARCbisが公開されたら、ドメイン所有者はDMARCレコードを確認し、更新し、変更を活用する必要があります。
DMARCbisの更新が公開されたら、DMARCレコードを調べて、修正されたDMARC仕様に沿っていることを確認できます。
- 廃止された pct (パーセンテージ)、rf (レポート形式)、および ri (レポート間隔) タグを削除します。
- 上記の新しいnp(存在しないポリシー)、psd(パブリックサフィックスドメイン)、およびt(テストモード)タグを追加します。
現在のDMARCレコードはまだ有効ですか?
はい!既存のDMARCレコードは廃止されることはなく、DMARCbisが公開されても機能し続けます。しかし、DMARCbisのアップデートを組み込むことで、DMARCレコードを業界標準の最新バージョンに合わせることができます。
DMARCbisはいつ公開されますか?
この記事の執筆時点では、DMARCbisは現在「IETFラストコール」段階にあり、2025年に公開される予定です。
メールセキュリティの専門家チームと、ドメインセキュリティを通じてメールとインターネットの信頼性を高めるという使命を持つdmarcianは、今後のDMARCアップデートに照らして組織のドメインカタログを評価するお手伝いをします。DMARCの長期的な導入と管理をお手伝いします。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
