DMARC Alignment(アライメント)とは何ですか? なぜ重要なのですか?
Alignment(アライメント)とは、DMARCの導入における重要な概念であり、SPFまたはDKIMの合格結果に使用されるドメインが、メールメッセージ本文のFromヘッダーのドメインと一致しなければならないという要件です。
SPFとDKIMはよく知られた技術ですが、SPFもDKIMも、それ自体は差出人アドレスとは何の関係もないことを理解することが重要です。差出人アドレスは、人間が電子メールで通常目にするものです。 このため、フィッシングやなりすまし、シャドーITなど、チェックされていないドメインの悪用が横行しているのが現状です。悪意のある人物があなたになりすまして電子メールを送信することを禁止する制御方法はほとんどありません。電子メール ドメインの使用を監視および制限するための主要な制御は DMARCです。
DMARCの核となるのは、識別子の整合性です。SPFとDKIMの認証メカニズムと、DMARCレコードで規定されている認証されていないメールの強制ポリシーとの間の接続を行うものです。アライメントとは、Fromヘッダーアドレスのドメインと、SPFおよびDKIMの認証チェックに関連するドメインとの関係のことです。アライメントでは、これらのドメインが一致する必要があり、アライメント=調整されたメールのみがDMARCを通過できます。ドメインが不一致の場合、DMARCは失敗となります。
次の例は、配置関係を示しています。
SPFとDKIMの識別子は揃っていますか?
電子メールのアライメントを行うことで、特定のベンダーやサーバーがあなたの組織に代わってメール送信することを明示的に許可されていることを外部に証明することができます。また、配信を希望するメールをすべて揃えることで、承認されていないメールを破棄するようメール受信者に指示することができます。アライメントを行わない場合、メール受信者がメッセージの発信元や信頼性を確認する際に、ある程度の不確実性が生じます。
DMARCはドメインベースの制御であるため、お客様に代わって電子メールを送信する各ベンダーを個別に構成する必要があります。これを行うには、組織のDNSにアクセスし、ベンダーに連絡して、調整された電子メールを送信するように設定する必要があります。各ベンダー(dmarcianではソースと呼んでいます)は、アライメントの設定方法に若干の違いがあります。このような特殊性があるため、ソースの特定と整理方法を理解し、メールエコシステムと関連するベンダー管理について理解することが重要です。
多くの場合、サードパーティ・ベンダーは、自社のソリューションに参入障壁を設けたくないため、DMARCプロジェクトの前提条件なしで自社のソリューションを搭載することを許可します。そのため、多くのベンダーが電子メール認証をオプションとしていますが、ほぼすべてのベンダーが電子メール認証をサポートしています。dmarcianは1,000を超えるサードパーティ ソースとその機能、および関連する設定の方法をカタログ化して詳しく説明しています。
最終的な目標は、各メールベンダーとできるだけ100%に近い連携を取り、p=quarantineとp=rejectという制限の強いDMARCポリシーを発行することです。整合性の目標を達成した後は、このガイドに従って各ポリシーの詳細を理解し、正規のメールへの影響を最小限に抑えることができます。
最終的な目標は、各電子メール ベンダーとできるだけ 100% 一致するようにし、p=quarantine および p=reject のますます制限的な DMARC ポリシーを公開することです。 アライメントの目標を達成したら、このガイドに従って各ポリシーについて詳しく理解し、正規のメールへの影響を最小限に抑えてください。
出典元
DMARC Alignment
