DMARC(Domain-based Message Authentication, Reporting, and Conformance)プロトコルは、最初の発表以来、大幅な更新が行われている。DMARCbisとして知られるこの再定義された仕様は、まだ草案であり、電子メール認証における長年の課題に対処することを目的としています。DMARCbisはまだ草案ですが、メール認証における長年の課題に対処することを目的としています。
現在の状況: Internet Draft
段階: Last Call
発行予定日: 指定なし
廃止: RFC 7489 & 9091 (承認された場合)
出典: DMARCbis Draft
主なポイント
- DMARCbisは、オリジナルのDMARCプロトコルの後継として更新されたもので、明確性と整合性の向上を目指している。
- これは、組織ドメインを識別するために、より信頼性の高いDNSツリーウォークでパブリックサフィックスリスト(PSL)を再定義するものである。
- pct、rf、riのようなタグは、実装を簡素化し混乱を減らすために非推奨となっている。
- psd、np、tといった新しいタグがいくつか導入され、パブリック・サフィックス・ドメインを明確に定義し、ポリシーの継承を管理するのに役立っている。
- 後方互換性のため、DMARCレコードバージョンはそのままです(v=DMARC1)。
- 有効なベースドメインレコードを持つ既存のDMARC設定は、直ちに変更することなく機能し続ける。
- PowerDMARCは、レコード管理を自動化し、専門家によるガイダンスを提供し、すべてのドメインにわたって可視性を提供することにより、移行を簡素化することができます。
DMARCbisとは何ですか?
DMARCbisは、IETF(Internet Engineering Task Force)によって開発されたオリジナルのDMARC仕様の更新版である。 RFC 7489 と RFC 9091 の基礎の上に構築され、承認されれば、プロトコルの曖昧さを明確にする改訂を導入し、それらを廃止する。DMARCbisの前身はInformational RFCであったが、DMARCbisはProposed Standardとして発行される予定であり、より広いコンセンサスと業界の準備が整ったことを示すものである。
DMARCbisは主に、明確性、セキュリティ、より良いドメインアライメントに焦点を当てる。再定義されたにもかかわらず、v=DMARC1タグは後方互換性を保つために変更されてはいない。
DMARCbisの主な変更点
| 特徴 | オリジナルのDMARC | DMARCbis (新しい変更) |
|---|---|---|
| ドメイン検索方法 | パブリック接尾辞リスト(PSL)を使用 | DNSツリーウォークで再定義(ドメイン階層を縦断し、psd=yまたはpsd=nで停止)。最大8レベル。 |
| タグ | PCT、RF、RIをサポート | pct、ri、rfを削除(プロトコルを簡素化)。 |
| 新しいタグ | なし | psd(パブリック・サフィックス・ドメインを明示的にマーク)、np、tタグを追加。 |
| 政策の明確化 | 政策継承に関するガイダンスなし | ドメイン所有者がpsdを介して継承を制御するための明確なルール。 |
| 仕様 | 複雑、構造化されていない | 簡素化されたドキュメント、より良い例、用語。 |
| 互換性 | v=DMARC1レコード | 変更はない。 |
1.DNSツリーウォーク、公開サフィックスリストを再定義
パブリックサフィックスリスト(PSL)は、DNSネイティブのツリーウォーク方式で再定義され、組織ドメインを決定する。
DNSツリーウォークアルゴリズムは、ドメイン階層を横断して有効なDMARCレコードを見つけます。これにより、ドメインの境界がDNSでネイティブに定義され、サードパーティのサフィックスリストが不要になります。psd=y(パブリックサフィックスドメイン)またはpsd=n(組織ドメイン)タグを含む有効なDMARCポリシーレコードを見つけると、ウォークは停止します。これは、組織ドメインがどこにあるかをシステムに伝えます。
そのようなポリシーが見つからなければ、検索は最大8レベルまで続けられる。
2.非推奨タグ
以下のタグは、プロトコルを合理化するために削除されます:
- pct (パーセンテージベースのポリシー適用)
- rf (レポート形式)
- ri (報告間隔)
3.新しいタグと更新されたタグ
- 新しい psd タグはパブリック・サフィックス・ドメインをより明確に定義し、ドメイン所有者がツリーウォークでポリシーの継承を制御するのに役立ちます。
- t タグは、ドメイン所有者がテスト段階にあり、ポリシー(p, sp, np)の完全な実施を望まない可能性があることを、受信者(バリデータ)に知らせるシグナルである。このタグはDMARCレポートの生成方法を変更するものではなく、すでにnoneに設定されているポリシーには影響を与えない。
- 新しい npタグ(存在しないポリシー)は、存在しないサブドメイン(解決しないドメインやアクティブゾーンとして登録されていないドメイン)に適用するDMARCポリシーを指定します。
4.「完全参加」要件
新しいガイドラインは、ドメイン所有者と受信者がDMARCを完全にサポートすることの意味を定義し、より明確な期待を設定し、相互運用性を向上させる。
5.仕様書フォーマットの改善
この文書は、より良い例、明確化された用語、すっきりとしたレイアウトで再構成され、すべての関係者にとって導入が容易になっている。
何が変わらないのか?
- 既存のDMARCレコード v=DMARC1を使用した既存のDMARCレコードは有効です。
- SPF、DKIM、およびアライメントに関する中核的なDMARCメカニズムは、依然として適用される。
- ポリシータグ(p、sp、rua、ruf)はDMARC機能の中心であり続ける。
既存のDMARC導入への影響
DMARCbisのアップデートは後方互換性があり、既存のRFC 7489互換のデプロイメントには影響しません。新しいタグはオプションであるため、現在の設定は影響を受けません。DMARCが正しく設定されている場合、認証を効率化するためにレコードの監査を行うことを推奨しますが、直ちに対応する必要はありません。
DMARCbisの準備方法
この変更は破壊的なものではありませんが、企業は将来の電子メールセキュリティ体制を強化するための準備を始める必要があります。その方法は以下の通りです:
- DMARCレコードを見直す:現在のレコードを監査し、pctやrfのようなまもなく廃止されるタグが削除されていることを確認する。ベース(組織)ドメインが有効なDMARCポリシーを持っていることを確認する。
- ツリーウォークモデルを理解する: 新しい階層ベースのメカニズムのもとで、サブドメインが期待どおりにポリシーを継承することを確認します。複雑なセットアップの場合は、DNS Tree Walkロジックをシミュレートして動作を確認してください。
- psdタグについて考えてみましょう:psd=nまたはpsd=yをよく理解し、ドメイン構造上必要であれば、ドメイン境界を明示的に定義する。
- セキュリティチームの教育:Eメールチームとセキュリティチームに今後の変更点を認識させ、認証と配信可能性への影響を理解させましょう。
PowerDMARCはどのように役立つか
PowerDMARCは、自動化、可視化、専門家によるガイダンスの組み合わせにより、企業がDMARCbisにシームレスに移行できるよう支援します。
- メール認証ダッシュボードによるDMARC、SPF、DKIMのセットアップと管理の自動化
- Eメールチャネルを完全に可視化する簡素化されたレポート
- シームレスなポリシーのアップグレードと記録の最適化を実現するホスト型ソリューション
- 専任の専門家チームが、問題や変更をリアルタイムでナビゲートします。
最終的な感想
DMARCbisは、特にサブドメインのDMARCポリシーを個別に管理したい場合に、より柔軟で明確、かつコントロールしやすいです。緊急に対応する必要はありませんが、より良いドメイン認証管理のために必要な準備をすることができます。
BrandKeeperはPowerDMARCの代理店です。弊社サポートによって、より簡単にPowerDMARCの利用を開始することができます。
DMARCを簡素化する準備はできましたか? 当社までお問い合わせください!
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください
