DMARCポリシーがサブドメインにどのように適用されるのか、またサブドメインポリシーをどのように確立するのかについて、よく質問を受けます。ここでは、これらの質問を明確にし、回答するための情報を提供します。
サブドメインは親ドメイン、別名トップレベルまたはルートドメインと同じように悪用される可能性があるため、DMARCコントロールの聡明な作者はサブドメインポリシーに特定の条件を書きました。親DMARCレコードのsp=タグを使用してサブドメインポリシーを示すか、サブドメイン上でp=タグを発行しない限り、サブドメインは親ドメインのDMARCポリシーを継承します。
サイバー犯罪者が無防備なサブドメインをフィッシング詐欺に利用していることを念頭に置き、親ドメインのDMARCポリシーを継承するか、sp=タグを発行してサブドメインをルール化するか、サブドメインにp=タグを指定するかにかかわらず、作成するサブドメインごとにDMARC導入計画を立てることが重要です。
DMARCポリシーの定義とアクションは、親ドメインのポリシーと同様にサブドメインのポリシーにも適用されます。ここでは、DMARCポリシーの仕組みと、DMARCポリシーの運用を開始する際のベストプラクティスについて説明します。
サブドメインに継承されたDMARCポリシーの公開
親ドメインとそのサブドメインに同じDMARCポリシーを発行したい場合は、親ドメインのp=タグを使用します。以下の例では、example.comのDMARCレコードをp=rejectの実施ポリシーで発行しています。sp=タグがない場合、p=rejectポリシーは、親ドメインと、明示的なDMARCポリシータグを持たないそのサブドメインをカバーします。
v=DMARC1; p=reject; rua=mailto:example@example.com
親ドメインとサブドメインで異なるポリシーを発行する
親ドメインのサブドメインポリシーを公開するには、相対する親ドメインのサブドメインのDMARCポリシーを指定するsp=タグを含むDMARCレコードを作成します。以下は、親ドメインをp=quarantine、そのサブドメインをp=rejectでカバーするexample.com用に公開されたDMARCレコードです。
v=DMARC1; p=quarantine; sp=reject; rua=mailto:example@example.com
明示的なサブドメインポリシーの発行
1つのサブドメインに対してサブドメインポリシーを発行するには、p=タグを含むサブドメイン用のDMARCレコードを作成し、DMARCポリシーを指定します。このポリシーは、親ドメインで公開されるp=タグとsp=タグに優先します。以下は、サブドメインwelcome.example.comのp=rejectの例です。
v=DMARC1; p=reject; rua=mailto:example@example.com
DMARCによるサブドメインの管理
セキュリティ、運用、配信の観点から、dmarcianはSPF管理のためのセグメンテーション戦略を提唱しています。可能な限り、異なるメールストリーム(トラフィックの種類)を分離することをお勧めします。バルクマーケティング、トランザクション、課金、特定のサードパーティベンダー、運用エンティティなど、タイプごとにストリームを分けることです。
これを実現するには、メールトラフィックをストリーム専用のサブドメインに分けることもベストプラクティスです。そうすることで、各ストリームの可視性が高まり、特定のシステムやベンダーの使用を切り分けることができます。SPF認証が必要な場合は、単一ドメインの負担を軽減し、SPFの肥大化を避けることで、セキュリティと運用の簡素化を実現します。各セグメントが独自のレピュテーションを成長させることが重要であり、それには一貫したトラフィック量が必要である。サブドメインの使用量にばらつきや経過があると、レピュテーションや配信性に影響を与える可能性があります。
サブドメインを慎重に管理し、すべての正当なメールトラフィックが明示的なDMARCポリシーでカバーされていることを確認する必要があります。サブドメインを使用しない場合でも、p=noneを使用して親ドメインのデータのみを収集する一方で、sp=rejectポリシーを直ちに公開することは賢明です。このアプローチでは、DMARCの導入とポリシーの高度化を自分のペースで進めながら、犯罪者によるフィッシング詐欺でのサブドメインの利用を防ぐことができます。
送信ドメインは、メール送信設定の最も重要な側面の1つであり、メッセージの配信率と受信者によるメッセージの認識の両方に大きく影響します。この文書から得られる最も重要なポイントは、送信ドメインを選択する場合、ほとんどすべてのケースで送信者の組織ドメインのサブドメインを選択すべきであるということです。
M3AAWGの送信ドメイン・ベスト・コモン・プラクティス
サブドメインDMARCポリシーの管理方法についてご不明な点がございましたら、お知らせください。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください