dmarcianのサービスディレクターであるTomki Campは、20年以上メール認証技術に携わっており、2012年以来DMARCの実装作業をサポートしてきました。この記事では、一部のプロバイダーがDMARCに関するフィードバックを提供する方法の矛盾について、また場合によっては全く提供しないことについて話しています。
受信者から提供される DMARC データは、ドメイン所有者がドメイン認証の問題を理解し、対処す る上で非常に有用である。しかし、プロバイダから送信される「標準化された」データのバリエーションを理解するには、多くの作業と専門家レベルの知識が必要である。
同じようなサービスを提供するプロバイダーは2つとなく、メールやウェブホスティングの環境はそれぞれ、加入者が知っている長所と短所を持つ特異性を持っている。しかし、これらの会社が提供するツールは一般に、その動作や表示を定義するプロトコルに支配されていないため、会社によって大きな違いがある。
対照的に、DMARCの使用目的は、”あるメッセージが認証プロトコルをパスしたかどうかを検証する方法 “から、”DMARC認証に失敗したメッセージをどうすべきか”、”DMARC認証の統計に関する通信をドメイン所有者が指定したアドレスにどのように提示すべきか “まで、かなり明確に定義されている。
残念ながら、一部のプロバイダーが軽視したり、間違ったりしている実装の詳細はまだ数多くある。この記事は、すべての既知の問題の包括的なレビューではなく、ほとんどのエンドユーザー(ドメイン所有者)は、これらの問題のほとんどを認識することはほとんどありません。しかし、dmarcianのような会社が毎日何十万もの顧客のための何十億もの電子メールメッセージに相当する何十万もの個々のXMLデータファイルを受信すると、それらは明らかになります。このような規模になると、問題の傾向が明らかになり、少量の顧客からの苦情でさえ懸念を露呈するようになります。この記事は、dmarcianがドメインをよりよく保護するために人々を支援する旅で遭遇する問題のいくつかを説明するものです。
グーグル
このESPが提供するデータに関する唯一の問題は、実は送信するデータの形式や品質にあるのではなく、誰にデータを送信してはいけないかというDMARC仕様の制限に準拠していないことにある。例えば、私がtomki.comのDMARCレコードを公開し、レポートがsupport@gmail.com、これは悪いことであり、不適切であることに同意できる。
仕様の作成者はこの問題を考慮し、DMARCデータプロバイダ(RUAおよび/またはRUFデータを送信するすべてのエンティティ)は、そのようなレポートに対する肯定的な許容を確認する必要があることを要件とした。DMARCレコードが、自ドメイン内のアドレスにレポートを送信することを指定する場合、それ以上のチェックは必要ない。DMARCレコードがそのドメイン外のドメイン内の受信者を指定する場合、DMARCレポートジェネレータが宛先ドメインの特別なレコードをチェックする必要がある。
Googleがこのチェックを行わないことの問題点は、メールアドレスにレポートが殺到する可能性があるため、サービス拒否攻撃の道具になる可能性があることです。
シスコIronPort ESA
このシステムは、ホストされたソリューション環境(IPHMX)からも、クライアント環境にハードウェアをインストールする側からも、DMARCレポートに関していくつかの深刻な問題を抱えていることで知られている。
1つの問題は、ドメインとサブドメインがレポート用に正しく集計されないことです。ドメインのDMARCレコードは、そのレベルで独自の明示的なDMARCレコードを持たないサブドメインに継承されます。これは、すべてのサブドメイン(独自のDMARCレコードを持たない)の電子メールトランザクションの詳細を示すXMLデータが、トップレベルドメインと同じレポートに含まれるはずであることを意味します。残念ながら、Cisco ESAはこれを行わないため、毎日多くの(潜在的には何千もの)余分なXMLファイルが生成されます。
もう1つの、より複雑な問題は、Cisco Email Security ApplianceのDMARCデータ生成のタイミングとレポートのデータ時間にある。DMARCの仕様では、毎日生成され、レコードアドレスに送信されるデータは、午前0時から午前0時までのUTC時間枠に基づく24時間のウィンドウに従うべきであるとされています。言い換えれば、UTC時間でその日の00:00から23:59:59までです。これにより、世界中の電子メールトラフィックのレポートをドメイン所有者がうまく調整することができます。Cisco ESAの問題は、DMARCレポートをUTC時間に合わせる機能がないことです。すべてのレポートデータは、特定のESAインスタンスに設定された時間に関連するタイムフレームのみです。
もう少し例を挙げて説明しよう:ある詐欺キャンペーンが国際企業のメールドメインを悪用し、米国の環境に500通、EUの環境に200通、さらにインドに300通のメッセージを送信したとする。これらのメッセージはすべて、Cisco ESAがホストする環境において、現地時間の設定で受信されたとします。
- EUで受信された200通のメッセージは、UTC時間に最も近い時刻を報告する。
- アメリカで受信された500通のメッセージは、-5~-8 UTCの時刻で報告される。
- インドで受信された300のメッセージは、+5:30 UTCの時間に報告されます。
その結果、不正メールキャンペーンは10分未満であったにもかかわらず、UTC時間枠要件に準拠していないDMARCレポーターから受領した報告によると、キャンペーンは2日にわたって約24時間に及んだようです。悪用されたドメインの管理者は、不正なキャンペーンが1日に行われたのか、それとも他の日に行われたのか、あるいは実際に全期間にわたって行われたのか、そのドメインについて受け取った報告書から判断するのは難しいでしょう。
誤ったデータを送信する受信機
データ表現が事実と異なっていたり、論理的に間違っていたりする環境からのDMARCレポートを目にすることは、想像以上に多いものです。例えば、SPFの結果が “fail “であるにもかかわらず、DMARC-SPFポリシーの結果が “pass “である場合です。定義上、DMARCポリシーの結果が “pass “となる唯一の方法は、SPFの結果が “pass “である場合です。
上記のようなロジックエラーから、必要なデータのセクションが空白または欠落しているものまで、これらのラインにはさまざまな問題があります。dmarcianは、認証強化の取り組みにおいてユーザーを指導できるようになることを目標に、これらの報告者と協力して実装を改善します。また、問題が解決されない場合、ソースからのデータインポートが完全に停止されることもあります。
データを生成しないレシーバー
レシーバーの最後の欠点は、データやデータ生成の問題ではなく、むしろデータの欠如にある。
DMARCはパブリックスタンダード(RFC 7489)であり、文字通り何百万ものドメイン所有者が、ドメインの電子メールトラフィックの認証を向上させるために利用している。多くの場合、これらのドメイン所有者は、DMARCを利用して、ドメインの不正使用に対するポリシー制限を公開しています。このような努力は、そのドメインからと称する電子メールを受信する環境に多大な利益をもたらします。電子メール認証の実行可能な履歴と、さらに良いことに、公開された実施ポリシーにより、受信者は正当な電子メールトラフィックと詐欺的な電子メールトラフィックをより確実に区別することができます。
ドメイン所有者がメールトラフィックに適用されるメール認証標準(SPF、DKIM、DMARC)の設定や修正にかける労力は、受信環境からのDMARCフィードバックに大きく依存しています。Google、Yahoo、すべてのCisco ESA環境、Rackspace、Comcast、Mail.ruなどからのフィードバックは、これらの取り組みにおいて非常に貴重です。受信者が参加すればするほど、メールは誰にとってもより良いものになる。しかし、これらの認証標準を利用し、エコシステムに貢献することなく、自分たちの環境に認証サービスを提供する者もいる。
この非協力的な行動の最大の例は、Proofpoint、MIMECast、Symantec.cloudである。これらの環境はそれぞれ、その環境にインバウンドで送信されるメッセージに対してDMARC認証サービスを提供するが、その後、ドメイン所有者にDMARCレポートを送信しない。これらの環境で実施されているとされるDMARC認証に関連するDMARCレポートがなければ、ドメイン所有者は、検証または実施アクションを正しく実行しているかどうかを確認することさえできない。
もしあなたがこれらのサービスの顧客であれば、DMARCレポートを要求するドメインに提供するよう、それらのサービスに連絡してください。
dmarcianは、DMARCの知識と認識を広めることで、電子メールをより安全にするよう努めています。DMARCプロジェクトのサポートが必要な場合は、こちらから無条件で無料トライアルにご登録いただけます。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
