dmarcianは、送信元・転送・脅威をどのように識別するのですか？

dmarcianは、DMARCデータを4つの大分類に分類するためのルールを管理しています。当社の分類は以下の通りです：

• DMARC対応
• 基準を満たさない情報源
• フォワーダー
• 脅威／不明

ルールを追加するためにデータを調査する際、私たちはメールの送信元を特定し、その送信元がDMARC準拠の設定が可能かどうかを確認します。調査結果は、dmarcianがメールコミュニティの利益のために運営しているサイト「dmarc.io」にて、クリエイティブ・コモンズ・ライセンスの下で公開しています。

以下に、4つのカテゴリーについて説明します。

DMARC対応

DMARC準拠のメールを送信可能な送信元が確認された場合、その送信元がSPFおよび／またはDKIMを通じて準拠要件を満たしているかどうかを記録します。また、その送信元がDMARC準拠のメールを送信できるよう設定する方法についても文書化します。dmarcianツール上で表示される際、DMARC対応の送信元には、その送信元に関連するメールの現在のDMARC準拠レベルを示す統計情報が付随することがよくあります。

基準を満たさない情報源

メールの送信元を調査した結果、DMARC準拠のメールを送信できないことが判明した場合、その送信元は「非準拠」として分類されます。 これを行う理由は、1) ユーザーがメール送信元に対してDMARC準拠のメールを送信させるよう説得することに時間を浪費せず、2) DMARC準拠のメール送信方法をまだ把握していない送信元への注意喚起を図るためです。「非準拠の送信元」に表示されるサービスを利用している場合は、そのサービス提供者に「他者の代わりにDMARC準拠のメールを送信する方法」を参照するよう案内してください。

フォワーダー

メールの転送はインターネット上で行われます。通常、転送が行われるのは、[email protected] 宛てにメールを送信した際、その受信者が自分のメールを [email protected] のような別の宛先に転送するように設定している場合です。 昔取得したメールアドレスを持ちながら、ウェブメールプロバイダーへの移行を決めた人々が、このケースに該当することがよくあります。その他の例としては、卒業生用アドレスから別の場所に転送されている場合や、Google グループのようなメーリングリストが挙げられます。いずれの場合も、メールの受信者（DMARC XML レポートを生成している側）の視点から見ると、あなたのメールは、本来あなたとは何の関係もないインフラから送信されているように見えます。

DKIM署名は転送後も有効です。ドメインにDKIMが適用されていれば、dmarcianによる転送の検知精度が向上します。一方、SPFは単にドメインに代わって送信を許可されたサーバーのリストに過ぎないため、転送の場面では機能しません。ドメイン所有者が転送先のリストを管理することは不可能です。

dmarcianは、よく知られた転送業者を特定するための少数のルールを維持しています。転送業者によっては、DKIMが存在する場合にそれを保持するものもあれば、常にDKIM署名を破損させるものもあるようです。

脅威／不明

特定のデータを分類するルールがない場合、そのデータは「脅威／不明」カテゴリに分類されます。ユーザーがこのカテゴリに正当な送信元のメールが含まれていることに気付くことがあります。その場合は、その送信元を抽出するためのルールを作成します。

最後に、特定の「脅威」キャンペーンを特定するルールを少数維持しています。しかし、私たちの考え方は、犯罪者が偽のメールを送信する多様な手法やその変化に重点を置くことではありません。そのため、これらのルールは一般的にあまり有用ではありません。犯罪者が作り出す、絶えず変化する「糞の山」を分類する必要があるでしょうか。単にすべてをブロックすれば済む話ではないでしょうか？

この会話を続けたいですか？dmarcianフォーラムへどうぞ。