DMARCは、電子メールの世界に「識別子の整合」という概念を導入する。SPFとDKIMは、ドメインと電子メールの一部を関連付けることができる独立した技術であるため、この概念は必要である。
受信者がSPFを使用する場合、受信者はRFC5321.MailFromで見つかったドメインを調べ、SPFレコードを探す場所を特定する。RFC5321.MailFromアドレスは、SMTP会話中に 「MAIL FROM」コマンドの一部として渡されるエンティティである。さらに悪いことに、このアドレスは「バウンスアドレス」、「エンベロープアドレス」、「SPFアドレス」、または「ReturnPath」アドレス(メール受信者によってReturnPath:ヘッダーとしてメールメッセージのコンテンツにコピーされるため!)とも呼ばれます。SPFチェックが正常に完了すると、受信者はRFC5321.MailFrom.Authenticated Identifierのドメインを持つことになる。
DKIMも「認証済み識別子」を生成するという点で似ている。しかし、DKIMの識別子は、すべてのDKIM署名の一部である「d=」タグに由来する。
DMARCの世界では、Authenticated Identifierは、DMARCが見ているドメインに関連していなければならない。
したがって、識別子のアライメントとは、SPFおよびDKIMによって認証されるドメインが、電子メールのFrom:ヘッダーで見つかるドメインと関連していることを確認するプロセスである。
DMARCを初めて使う人は、この概念をしばしば混乱させる。
今日、誰でもSPFとDKIMをあらゆる電子メールに導入することができるため、識別子のアライメントが必要です。犯罪者がbank.comになりすまそうとして、criminal.netというドメインを設定し、SPFとDKIMを導入した場合、SPFとDKIMの両方がパスしたからといって、認証がbank.comと関係があるということにはなりません。
同様に、メール受信者は、メールドメインを関連付ける巨大なリストを維持することはできません。ドメイン間の微妙なニュアンスを見極めようとせずに、できるだけ早くメールを処理しなければならないのです。 例えば、メールサービスプロバイダーがbank.comに代わって送信する際、SPFとDKIMの両方で 「banknewsletter.com」を使用している場合、インターネットのメール受信インフラは、banknewsletter.comが正当なものなのか、慎重に作成されたフィッシングサイトなのか、bank.comと同じエンティティによって所有・運営されているのか、全くわかりません。
識別子の整合とは、既存の電子メール認証技術を電子メールのコンテンツに関連付ける方法である。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください