DMARCアラインメント

アライメントは、DMARCの導入における重要な概念です。これは、SPFまたはDKIMの検証に合格した結果に使用されたドメインが、電子メール本文のFromヘッダーのドメインと一致していなければならないという要件です。

SPFやDKIMは広く知られた技術ですが、SPFもDKIMも、それ単体では、人間が通常メール上で目にする「差出人アドレス」とは何の関係もないということを理解しておくことが重要です。これが、今日、フィッシング、スプーフィング、シャドーIT、その他のドメインの無制限な利用や悪用が横行している理由です。 悪意のある攻撃者があなたになりすましてメールを送信することを防ぐ手段は、ほとんど存在しません。メールドメインの使用状況を監視・制限するための主要な手段は、DMARCです。

識別子の整合性は、DMARCの中核をなす要素です。これは、SPFおよびDKIMの認証メカニズムと、DMARCレコードで規定された未認証メールに対する適用ポリシーとを結びつける役割を果たします。整合性とは、Fromヘッダーのアドレスに含まれるドメインと、SPFおよびDKIMの認証チェックに関連付けられたドメインとの関係を指します。整合性が保たれるためには、これらのドメインが一致している必要があります。整合性が取れているメールのみがDMARCを通過できます。 ドメインに不一致があると、DMARCは失敗となります。

以下の例は、配置の関係を示しています：

メールの送信元認証を行うことは、特定のベンダーやサーバーが、貴組織に代わってメールを送信することを明示的に許可されていることを外部に証明するものです。大まかに言えば、配信を希望するすべてのメールの送信元認証を完了すれば、承認されていないメールはすべて破棄するよう受信者に指示できるようになります。送信元認証が行われていない場合、受信者がメッセージの発信元や信頼性を確認しようとする際に、不確実性が生じることになります。

DMARCはドメインベースの制御であるため、貴社に代わってメールを送信する各ベンダーを個別に設定する必要があります。そのためには、組織のDNSにアクセスし、ベンダーに連絡して、DMARCに準拠したメールを送信するように設定してもらう必要があります。 各ベンダー（dmarcianでは「ソース」と呼んでいます）によって、アラインメントの設定方法は若干異なります。こうした独自性があるため、ソースを特定・整理する方法を理解し、自社のメールエコシステムにおけるベンダー管理について把握しておくことが重要です。

多くの場合、サードパーティベンダーは、自社ソリューションへの導入障壁を設けたくないため、DMARCプロジェクトの前提条件を満たしていなくてもソリューションの利用を許可しています。その結果、多くのベンダーがメール認証をオプションとして提供していますが、そのほとんどがメール認証に対応しています。私たちは、1,000件以上のサードパーティソースとその機能、および関連設定の構成方法について、一覧化・詳細化しています。

最終的な目標は、各メールプロバイダーとの整合性を可能な限り100%に近づけ、その後、p=reject、より厳格なDMARCポリシーを順次適用することです。整合性の目標を達成した後は、このガイドに従って各ポリシーの詳細を理解し、正当なメールへの影響を最小限に抑えてください。