“reject”が自社にとって最適とは限らない、レポート分析から着手せよ
DMARC対応で最初にやるべきことは、DMARCレポートを受信し、自社ドメインから送信されているメールの実態を正確に把握することです。
DMARCレポート(集計レポート)には、どのIPアドレスからメールが送信されているのか、それらがSPFおよびDKIM認証に成功しているのか、DMARC認証に合格しているのかといった情報がXML形式で記録されています。このレポートを詳細に分析することで、次のような重要な事実を把握できます。
- 自社ドメインを装ったなりすましメールが送信されていないか
- 正規のメールが確実に認証を通過しているか
- 自社が把握していない外部サービスからメールが送信されていないか
多くの組織では、DMARCレポートを初めて分析することで、想定していなかった送信元の存在や、認証に失敗している正規メールの存在が明らかになります。
このように、DMARCレポートは「何が起こっているのか」を可視化し、次に何をすべきか判断するための重要な情報源となります。大切なのは、この分析結果に基づいて、「自社にとってDMARCポリシーをどうすべきか」判断することです。DMARCポリシーは、直ちに「reject」に移行するべきではなく、また「reject」のみが最終的な到達点になるとは限りません。
たとえば、
- 正規メールの認証成功率が十分に高い場合はrejectを適用する
- 一部に不確実な送信元が存在する場合は、まずquarantineを適用する
- メールの転送がされている場合は、rejectなどでは届かなくなることも想定する
- さらなる検証が必要な場合はモニタリングを継続する
といったように、段階的に強化することが現実的です。特にquarantineは、なりすましメールを受信者の迷惑メールフォルダに隔離できるため、セキュリティを強化しつつ、正規メールの誤遮断リスクを抑える有効な選択肢となります。
このように、DMARCレポートの分析を根拠として、自社のメール運用実態に即した適切なポリシーを選択できる状態を整えることが、DMARC対応において最も重要なポイントです。
DMARCポリシーをnoneから引き上げるには、人手だけによる運用は現実的ではありません。ツールや専用ソリューションの活用が有効です。導入にあたっては、SPF・DKIM設定支援機能、DNS記述の簡易化、レポートの可視化、日本語ダッシュボードなどの機能を確認するとよいでしょう。
まとめ
政府や業界、サプライチェーンからの要請により、DMARCは企業にとって必須の取り組みとなりました。しかし、日本企業の多くは依然としてポリシーがnoneのままです。顧客に対しメールを確実に届け、なりすまし被害を防ぐためにも、quarantineまたはrejectへの移行を検討すべきです。
DMARCは「導入」よりも「運用」に工数がかかります。根拠をともなった判断を継続するためにも、適切なソリューションの導入を前提とした体制整備を進めましょう。
この記事は参考になりましたか?
- この記事の著者
-
伊藤 利昭(イトウ トシアキ)
Hornetsecurity株式会社 カントリーマネージャー2020年1月に、Hornetsecurity株式会社の前身であるVade Japan株式会社のカントリーマネージャーに就任。クラウドベースのセキュリティ、コンプライアンス、バックアップ、セキュリティトレーニングなどを提供するHornets...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
平野 善隆(ヒラノ ヨシタカ)
Hornetsecurity株式会社 プリンシパル メッセージング エンジニアメールセキュリティの専門家として、M3AAWGやJPAAWGなどの業界団体で積極的に活動。講演・セミナーに多数登壇し、最新のAI技術を活用したフィッシング対策や誤送信防止の研究・普及に努める。奈良先端科学技術大学院大学を修...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
