DNSに公開されるDMARCポリシーは、ドメイン所有者が電子メールメッセージがSPFおよび/またはDKIMによって保護されていることを示すことを可能にし、非準拠の電子メールに何が行われるかを決定するために使用されます。
- p=noneは、既存のフローに影響を与えることなく、フィードバックを収集し、メールストリームを可視化するために使用されます。これは重要な第一歩です。
- p=quarantineは、メール受信者がDMARCチェックで不合格となったメールを疑わしいものとして扱い、SPAMフォルダにファイルすることを可能にします。
- p=rejectは、メール受信者がDMARCチェックに失敗したメールを拒否するよう要求します。
DMARCポリシーのquarantineとrejectの違いは何ですか?」「これらのポリシーを公開するとどうなりますか?
DMARCの隔離または拒否ポリシーが公開されたときに何が起こるかを理解することは非常に重要です。
検疫
p=quarantineに設定されたDMARCポリシーは、DMARCチェックに不合格となったメールを、より慎重に扱うようメール受信者に指示します。メールはまだ受け入れられ、隔離が何を意味するかは個々の受信者次第です。以下のような実装が考えられます。
- 迷惑メールフォルダへの配信:メール受信者が受信者のメールボックスをホストしている場合、受信者は非準拠のメールを受信者の迷惑メールフォルダに配信できる可能性があります。
- 一時的な隔離:電子メール受信者は、電子メールの追加分析を実行できるように、非準拠の電子メールを一時的に隔離することを選択できます。その後、オペレータはレビュー後に隔離を解除することができます。
- アンチスパムフィルタリングの攻撃性を高める:アンチスパムフィルタリングは、可能な限り多くのスパムを特定することと、希望するメールを誤ってスパムとして特定することのトレードオフです。隔離に設定されたDMARCポリシーに該当するメールは、スパムと判定される可能性が高くなります。
隔離ポリシーの公開について知っておくべき重要なことは、非準拠の電子メールは依然として配信されるということです。スパムをブロックするDMARC以外の技術が存在する可能性があるため、電子メールは最終的な宛先に到着する場合もあれば、到着しない場合もありますが、電子メールは電子メールサーバーから流れ続けます。
そのため、非準拠の正当な電子メールに対する検疫ポリシーの影響は、そのような電子 メールの送信元にはすぐにはわかりません。正当であるが非準拠の電子メールの送信元では、電子メール通信のパフォーマンスが低下します。DMARC隔離ポリシーの実装方法が異なるため、送信元のメールはスパムフォルダされ、遅延し、場合によってはメール受信者によって破棄されます。影響を受けるメールの送信元が自社のパフォーマンスに細心の注意を払っていない限り、検疫の影響は長期間気付かれない可能性があります。
却下
p=rejectに設定されたDMARCポリシーは、DMARCチェックに不合格となったメールの受信を拒否するようメール受信者に指示します。以下の2つの実装が知られている。
- SMTP時に非準拠メールの受け入れを拒否する。これは、DMARC検証受信者への配信が阻止されるため、好まれ、最も広く採用されている実装です。送信者は、なぜ非準拠の電子メールが届かないのかを即座に知ることができます。
- 最初にSMTP経由で電子メールを受け入れ、DMARCに失敗した電子メールの最終的な配信を防止する。この実装は、電子メールの配信に対する責任がSMTP経由で仮定されているにもかかわらず、最終的に電子メールが配信されないという点で、最適とは言えません。配信に失敗すると、次の2つのうちの1つが起こります。
- 配送状況通知(別名「バウンス」メッセージ)が生成される。
- 非準拠の電子メールは静かにドロップされます。
デフォルトでは、DMARC拒否ポリシーに該当するメールは配信されません。この動作は、不正なメールの送信を防ぐための優れたコントロールです。
従って、正当であるが非準拠のメールに対する拒否ポリシーの影響はすぐに明らかになります。拒否ポリシーに移行する場合、ドメイン所有者は、拒否ベースのポリシーにぶつかる可能性のある正当なメール送信元に対処する準備を整える必要があります。
政策への影響を最小限に抑える
DMARCは、ドメインがどのように機能しているか、フィードバックレポートを通じてドメイン所有者に可視性を提供するように設計されています。ドメイン所有者は、DMARCの隔離または拒否ポリシーを導入する前に、この可視性を利用して正当なメール送信元をDMARCに準拠させることになっています。正しく導入されていれば、隔離または拒否ポリシーが正当な電子メールに与える影響は最小限です。
フォワーディングについて
ドメイン所有者がDMARCを導入するための適切な手順を踏み、すべての正当なメール送信元がDMARCに準拠したメールを送信している場合でも、メールの転送が問題になることがあります。転送が発生すると、メールが認可されているかどうかを判断するDMARCの機能を破壊する経路を経由してメールが受信者に流れる可能性があります。ドメイン所有者がすべて正しく行っていても、正当なメールがDMARCポリシーの隔離や拒否の影響を受ける可能性があります。DMARCがドメイン所有者に提供する可視性は、この影響の程度を説明することができ(それはメールが送信される場所に応じてドメインによって異なります)、隔離または拒否ポリシーのいずれかに移行する決定に組み込まれるべきです。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください