受信メール処理におけるDMARCの導入方法
DMARCの導入が進むにつれ、自社のメールをフィルタリングするためにDMARCを活用しようとする企業が増えています。そこで、本記事では「DMARCインバウンド」の実施方法について解説します。
電子メールの世界は広大であり、DMARCの導入は現在も進められています。DMARCを使用して受信メールのフィルタリングを開始すると、次の2つの重要な事実が明らかになります:
- メールはあらゆる場所から届きます。
- お客様のドメインを使用した正当なメールは、外部から送信される場合があります。
上記の知見を考慮せずに、受信メールにDMARCポリシー(自社ドメインのポリシーも含む!)を適用すると、正当なメールがブロックされてしまうことになります。そうなれば、間違いなく関係者に不満を抱かせることになるでしょう。
さまざまな場所からのメール
メールが「A」から「B」へと流れる場合、フィルタリングは簡単で、すべてが自然とスムーズに機能します。
メールが「B」宛てに送信される途中で「A」から「F」へと流れる場合、インバウンド処理は複雑になります。
受信メールを処理する際、「A」から送信されたと称するメールが届くことがありますが、この「A」はDMARCの拒否ポリシーを設定しています。しかし残念ながら、このメールは「B」であるあなたに届く前に、「F」を経由して送られてくることになります。問題は、「F」の存在によって、DMARCを用いてメールの正当性を判断する機能が妨げられる可能性がある点です。
SPFは機能しません
メールが中継サーバーを経由する場合、SPFがチェックする許可されたサーバーのリストには、その中継サーバーは含まれません。しまった。
DKIMが機能しなくなる
もし「F」がメールの内容を変更してしまうと、DKIMは機能しなくなります。これは、メーリングリストがフッターを追加したり、マシンが「Blahsoftによるウイルススキャン済み!」といった文言を追加したりした場合に起こります。まったくもう。
インターネット上では「F」が起こり得ます。転送、メーリングリスト(別名リストサーブ)、グループメールのエイリアス、スキャンサービス……こうしたことが、今日、あなたのインフラに届くメールに対して行われている可能性が高いのです。
「F」への対処法
- DMARCの確認に支障をきたしている「F」を特定してください。
- 処理に例外を設定し、本来なら「F」のステータスによって処理が妨げられてしまう正当なメールの送信に、DMARCが適用されないようにします。
- 可能であれば、「F」に、メールを転送するもっと良い方法があることを伝えてください。
ドメイン内の正当な外部メール
例外設定を行う機能がある場合、2つ目のポイントへの対応は1つ目と同様です。自社のドメインを使用しているものの、正当な理由があるにもかかわらずコンプライアンスに準拠していないメール送信元を特定し、それらの送信元に対して例外設定を行ってください。
送信元のドメインが自社のものであり、自社ユーザーのみと通信している場合は、自社の受信処理内でその送信元をホワイトリストに登録すれば問題ありません。しかし、送信元が他の組織にもメールを送信している場合は、その送信元がDMARCに準拠するようにする必要があります。たとえ自社のホワイトリストに追加したとしても、他の組織が自社の受信処理内でその送信元を例外として識別してくれることに頼るのは賢明ではありません。
インバウンド導入計画
以上のことを踏まえ、以下にインバウンドの実装計画を示します。
まず、DMARCの結果を確認するように受信処理を設定します。この結果に基づいて何か処理を行う必要はありません。単に確認機能を有効にし、作業を始めるための有用なデータを入手できるようにしてください。
次に、XML形式の集計レポートと個別の障害/フォレンジックレポートの両方を生成するように、受信処理を設定します。ただし、これらのレポートをドメイン所有者に送信しないでください。現時点では、まだ自社データの収集を行っている段階です。
生成したレポートを分析してください。レポートには、処理した受信メールに含まれるすべてのドメイン(自社ドメインも含む)が網羅されています。自社ドメインについては、自社ユーザーにメールを送信するためにそのドメインを使用しているサービスやパートナーを特定してください。その他のドメインについては、DKIM署名を破っている正当なメール送信元を特定してください。
上記の分析に基づき、必要に応じて例外を設定し、自社で管理するメール送信元をDMARCに準拠させてください。可能であれば、例外が適用された場合は、XML形式の集計レポートにその旨を記載してください。これにより、他のドメイン所有者は、自社のメールがどのように処理されているか(「F」評価を受けたメールを含め)を理解しやすくなります。
必要な例外設定がすべて完了し、ドメイン内のすべてのメール送信元がDMARC準拠のメールを送信していることを確認したら:
- DMARCの結果に基づいて処理を行うよう受信処理を設定し、
- ドメイン所有者にXML形式の集計レポートを送信するように、受信処理を設定します。個別の障害レポートやフォレンジックレポートをドメイン所有者に送信するかどうかは、各組織が独自に決定すべき方針です。
上記の実装計画に対応する機能のサポート状況は、メールプロバイダーによって大きく異なります。
上記の情報と記事は、LinkedInにおいて DMARCの受信処理体制を構築したフランク・マーティン 氏の取り組みに触発されて執筆されました。フランク、ありがとう!
