インバウンド処理にDMARCを導入する方法

DMARC
この記事は約4分で読めます。

DMARCの導入が進むにつれ、DMARCを使用して自分自身のメールをフィルタリングすることを検討する人が増えています。この記事では、「DMARCインバウンド 」の方法をご紹介します。

電子メールは膨大であり、DMARCはまだ採用されていません。DMARCを使用して受信メールのフィルタリングを開始すると、次の2つの重要な洞察が得られます。

  1. メールは様々な場所からやってきます。
  2. あなたのドメインを使用した合法的なメールは、外部からやってくる可能性があります。

上記のことを考慮せずにDMARCポリシー(独自ドメインのポリシーも含む!)をインバウンドメールに適用すると、正当なメールがブロックされることになります。これは実在の人々を不幸にすること請け合いです。

異なる場所からの電子メール

電子メールが「A」から「B」に流れるとき、フィルタリングは簡単で、すべてがなんとなくうまくいく。

「A 」から 「F 」へ、そして 「B 」へとメールが流れていくとき、インバウンド処理が厄介になる。

インバウンドメールを処理する際、「A 」からのメールを装い、「A 」にはDMARC拒否ポリシーが設定されています。残念なことに、このメールはあなた(「B」)に届く前に「F」から届きます。「F 」は、あなたがDMARCを使ってメールの正当性を判断する能力を壊してしまうかもしれないのです。

SPFは機能しない

電子メールが中間ステップを経由する場合、SPFがチェックする認証済みサーバーのリストには中間ステップは含まれない。Dang。

DKIMが壊れる

もし 「F」がメールの内容を変更してしまったら、DKIMは壊れてしまいます。これは、メーリングリストがフッターを追加したり、マシンが 「Scanned by Blahsoft for Viruses!」のようなものを追加したときに起こります。Dang x2。

インターネットでは 「F 」が起こる。転送、電子メールリスト(別名リストサーブ)、グループメールのエイリアス、スキャンサービス……これらのことは、今日、あなたのインフラに流れ込む電子メールに起こっている可能性が高い。

「F」 に対処するために

  1. どの 「F 」がDMARCのチェックに影響を及ぼしているかを特定する。
  2. 処理に例外を設け、「F」によって混乱させられている正当なメールストリームにDMARCが適用されないようにする。
  3. 可能であれば、「F 」にメールを転送するもっと良い方法があることを知らせる。

あなたのドメインの合法的な外部メール

例外を作成する能力がある場合、2つ目の洞察に対処する方法は1つ目と同様です。自社のドメインを使用している正当な、しかしコンプライアンスに反するメール送信元を特定し、それらのメール送信元に対して例外を設定します。

メールの送信元が自社のドメインを使用し、自社のユーザーだけに送信している場合は、自社の受信処理内でホワイトリストに登録して完了です。送信元が他の組織に送信している場合は、この送信元をDMARCに準拠させる必要があります。たとえホワイトリストに追加したとしても、インバウンドプロセスの中で他のユーザーがこのソースを例外として識別することに頼るのは賢明ではありません。

インバウンド実施計画

以上のことを踏まえて、インバウンドの実施プランを紹介しよう。

まず、DMARCの結果をチェックするようにインバウンド処理を設定します。この結果に対して何もしないで、単にチェックを有効にして、開始するための有用なデータを手に入れましょう。

次に、XMLベースの集計レポートと個別の障害/フォレンジックレポートの両方を生成するよう、インバウンド処理を構成する。ただし、これらをドメイン所有者には送信しないでください。この時点では、まだ独自のデータを収集していることになります。

作成したレポートを分析します。レポートは、お客様のドメインを含む、処理したインバウンドメールに含まれるすべてのドメインを対象とします。自社のドメインについては、自社のドメインを使用して自社のユーザーにメールを送信しているサービスやパートナーを特定します。その他のドメインについては、DKIM署名を破っている正当なメール送信元を特定します。

上記の分析に基づき、必要に応じて例外を作成し、自社のメールソースをDMARCに準拠させる。可能であれば、例外が適用された場合、XMLベースの集計レポートに含めます。これにより、他のドメイン所有者が、「F」を通過しているメールを含め、自社のメールをどのように扱っているかを理解することができます。

必要な例外がすべて配置され、ドメインのすべてのメール送信元がDMARCに準拠したメールを送信していると確信できる場合。

  1. DMARCの結果に対応するインバウンド処理を設定する。
  2. ドメイン所有者にXMLベースの集計レポートを送信するように受信処理を構成する。個々の障害/フォレンジックレポートをドメイン所有者に送信するかどうかは、各組織がポリシーとして決定します。

上記のような導入計画を可能にする機能のサポートは、メールベンダーによって大きく異なる。

上記の情報と記事は、Franck Martin彼のLinkedInでのインバウンドDMARC処理を導入するための仕事に触発されました。ありがとう、Franck!

私たちがお手伝いします

Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。

お気軽にご連絡ください

無料相談開催中!

出典元

How to deploy DMARC for inbound processing

タイトルとURLをコピーしました