DMARCのサブドメインポリシー(sp)タグ
サブドメインへのDMARCポリシーの適用方法や、サブドメインのポリシーを設定する方法について、よくお問い合わせをいただきます。ここでは、それらの疑問を解消し、明確にするための情報をご紹介します。
サブドメインは、親ドメイン(トップレベルドメインやルートドメインとも呼ばれる)と同様に悪用されるリスクがあるため、DMARC仕様の策定者は、サブドメインのポリシーに関する具体的な条件を定めています。具体的には、親ドメインのDMARCレコード内で`sp=`タグを使用してサブドメインのポリシーを指定するか、サブドメイン自体に`p=`タグを設定しない限り、サブドメインは親ドメインのDMARCポリシーを継承します。
サイバー犯罪者が保護されていないサブドメインをフィッシング攻撃に悪用していることを踏まえると、親ドメインのDMARCポリシーを継承する場合、サブドメインを管理するためにsp=タグを公開する場合、あるいはサブドメインに対してp=タグを指定する場合のいずれであっても、作成するすべてのサブドメインに対してDMARC導入計画を策定することが重要です。
DMARCポリシーの定義とアクションは、親ドメインのポリシーと同様にサブドメインのポリシーにも適用されます。ここでは、それらの仕組みの概要と、DMARCポリシーの運用を開始する際に従うべきベストプラクティスについて 解説します。
サブドメインに継承されるDMARCポリシーの公開
親ドメインとそのサブドメインに対して同じDMARCポリシーを公開したい場合は、親ドメインにp=タグを設定するだけで済みます。以下の例は、enforcementポリシーを p=reject; として設定された例です。sp=タグがない場合、 p=reject ポリシーは、親ドメインおよび明示的なDMARCポリシータグを持たないそのサブドメインをカバーします:
v=DMARC1;p=reject; rua=mailto:[email protected]
親ドメインとサブドメインで異なるポリシーを適用する
親ドメインでサブドメインのポリシーを公開するには、sp=タグを含むDMARCレコードを作成し、その親ドメインのサブドメインに対するDMARCポリシーを指定します。以下は、親ドメイン p=quarantine およびそのサブドメイン p=rejectでカバーするDMARCレコードの例です:
v=DMARC1;p=quarantine; sp=reject; rua=mailto:[email protected]
明示的なサブドメインポリシーの公開
単一のサブドメインに対してサブドメインポリシーを公開するには、そのサブドメイン用のDMARCレコードを作成し、DMARCポリシーを指定するp=タグを含めます。このポリシーは、親ドメインで公開されている可能性のあるp=タグ やsp=タグよりも優先されます。以下は、サブドメイン welcome.example.com に対する例です。 p=rejectとする場合、以下に例を示します:
v=DMARC1;p=reject; rua=mailto:[email protected]
DMARC を使用したサブドメインの管理
セキュリティ、運用、配信可能性の観点から、dmarcianはSPF管理におけるセグメンテーション戦略を推奨しています。可能な限り、異なるメールストリーム(トラフィックの種類)を分離することをお勧めします。具体的には、一括マーケティング、トランザクションメール、請求メール、特定のサードパーティベンダー、運用部門など、種類ごとにストリームを分離するという考え方です。
これを実現するためには、メールトラフィックを各ストリーム専用のサブドメインに分割することもベストプラクティスです。これにより、各ストリームの可視性が高まり、特定のシステムやベンダーの利用状況を分離することができます。SPF認証が必要な場合、単一ドメインアプローチの負担を軽減し、SPFの肥大化を回避することで、セキュリティの強化と運用の簡素化も図れます。各セグメントが独自のレピュテーションを築く必要があるため、一貫したトラフィック量を維持することが重要である点に留意してください。 サブドメインでの利用状況に変動や中断が生じると、レピュテーションや配信率に影響を及ぼす可能性があります。
サブドメインは慎重に管理し、正当なメールトラフィックがすべて明示的なDMARCポリシーでカバーされるようにする必要があります。サブドメインを使用していない場合でも、親ドメインについては p=noneを使用して親ドメインのデータのみを収集しつつ、sp=rejectポリシーを直ちに公開しておくことは賢明な選択です。このアプローチにより、DMARCの導入やポリシーの改善を自身のペースで進めつつ、フィッシング攻撃における犯罪者によるサブドメインの利用を阻止することができます。
送信ドメインは、メール送信設定において最も重要な要素の一つであり、メッセージの配信率や受信者によるメッセージの印象に大きな影響を与える可能性があります。本ドキュメントで最も重要なポイントは、送信ドメインを選択する際には、ほぼすべてのケースにおいて、送信者の組織ドメインのサブドメインを選択すべきであるということです。
M3AAWGの送信ドメインに関するベストプラクティス
サブドメインのDMARCポリシーの管理方法についてご質問がございましたら、お気軽にお問い合わせください。
私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
