dmarcianはどのようにしてソース、転送、脅威を識別しているのか？

dmarcianは、DMARCデータを4つの大まかなカテゴリに分類（クラス分け）するためのルールを維持管理しています。当社のカテゴリは以下の通りです。

• DMARC Capable（DMARC対応可能）
• Non-compliant Sources（非準拠のソース）
• Forwarders（転送事業者）
• Threat/Unknown（脅威／不明）

ルールを追加するためにデータを調査する際、私たちはメールがどこから送信されているか、そしてそのソースがDMARC準拠（適合）するように設定できるかどうかを識別しようと試みます。私たちは、メールコミュニティの利益のためにdmarcianが運営しているサイト「dmarc.io」にて、クリエイティブ・コモンズ・ライセンスのもとで調査結果を公開しています。

4つのカテゴリの解説は以下の通りです。

DMARC Capable（DMARC対応可能）

DMARC準拠のメールを送信できるメールソースを発見した場合、そのソースがSPFおよび/またはDKIMを通じて準拠を満たしているかどうかを記録します。また、そのソースをDMARC準拠のメールを送信できるように設定する方法も文書化します。dmarcianのツールに表示される際、DMARC Capableのソースには、そのソースに関連するメールの現在のDMARC準拠レベルを示す統計情報が併記されることがよくあります。

Non-compliant Sources（非準拠のソース）

メールの送信元を調査した結果、DMARC準拠のメールを送信できないことが判明した場合、その送信元は「非準拠」として分類されます。 これを行う理由は、1) ユーザーがメール送信元に対してDMARC準拠のメールを送信させるよう説得することに時間を浪費せず、2) DMARC準拠のメール送信方法をまだ把握していない送信元への注意喚起を図るためです。「非準拠の送信元」に表示されるサービスを利用している場合は、そのサービス提供者に「他者の代わりにDMARC準拠のメールを送信する方法」を参照するよう案内してください。

Forwarders（転送事業者）

メールの転送はインターネット上で行われます。通常、転送が行われるのは、[email protected] 宛てにメールを送信した際、その受信者が自分のメールを [email protected] のような別の宛先に転送するように設定している場合です。 昔取得したメールアドレスを持ちながら、ウェブメールプロバイダーへの移行を決めた人々が、このケースに該当することがよくあります。その他の例としては、卒業生用アドレスから別の場所に転送されている場合や、Google グループのようなメーリングリストが挙げられます。いずれの場合も、メールの受信者（DMARC XML レポートを生成している側）の視点から見ると、あなたのメールは、本来あなたとは何の関係もないインフラから送信されているように見えます。

DKIM署名は転送されても維持される（壊れない）ことがあります。お使いのドメインがDKIMで保護されている場合、dmarcianが転送を検知できる可能性が高くなります。一方で、SPFは転送の文脈では機能しません。なぜなら、SPFは単にあなたのドメインに代わって送信することを許可されたサーバーのリストに過ぎないからです。ドメインの所有者が、世の中にある転送事業者のリストをすべて維持管理することは不可能です。

dmarcianは、よく知られている転送事業者を識別するための少数のルールを維持しています。転送事業者の中には、DKIM署名が存在すればそれを維持するものもあれば、常にDKIM署名を破損させてしまうように見えるものもあります。

Threat/Unknown（脅威／不明）

特定のデータを分類するルールがない場合、そのデータは「脅威／不明」カテゴリに分類されます。ユーザーがこのカテゴリに正当な送信元のメールが含まれていることに気付くことがあります。その場合は、その送信元を抽出するためのルールを作成します。

最後に、私たちは特定の「脅威（Threat）」のキャンペーン（攻撃活動）を特定するためのルールも少数ながら維持しています。しかし、犯罪者が偽のメールを送信する、変化し続けるさまざまな手法を強調することが私たちの哲学ではありません。そのため、これらのルールは全体としてあまり有用ではありません。すべてを単にブロックすることが可能なのに、犯罪者が作り出す、絶えず変化するゴミの山をわざわざ分類する必要があるでしょうか？

この件について議論を続けたいですか？ぜひdmarcianのフォーラムへお越しください。