DMARCポリシーモード:隔離と拒否
DNSに公開されるDMARCポリシーにより、ドメイン所有者は自身の電子メールメッセージがSPFおよび/またはDKIMによって保護されていることを示すことができ、このポリシーは、準拠していない電子メールに対してどのような処理を行うかを決定するために使用されます:
- p=none は、既存のフローに影響を与えることなく、フィードバックを収集し、メールの送信状況を把握するために使用されます。これは極めて重要な第一歩です。
- p=quarantine これにより、メールの受信者は、DMARCチェックに失敗したメールを不審なメールとして扱い、スパムフォルダに振り分けることができます。
- p=reject メール受信者に対し、DMARCチェックに失敗したメールを拒否するよう要求します。
よく「DMARCポリシーの『quarantine』と『reject』の違いは何ですか?また、これらのポリシーを公開するとどうなるのですか?」という質問をいただきます。
DMARCの隔離ポリシーと拒否ポリシーが公開された際に何が起こるかを理解することは非常に重要であるため、両者の違いを明確にするために、いくつかの情報をまとめました。
検疫
DMARCポリシーが p=quarantine に設定されたDMARCポリシーは、DMARCチェックに失敗したメールを、受信者がより厳重に扱うよう指示します。メールは依然として受信されますが、どのような 隔離 を意味するかを個別に実装するかは各受信者の裁量に委ねられています。考えられる実装例は以下の通りです:
- スパムフォルダに振り分ける:メール受信者が受信者のメールボックスを管理している場合、受信者は規定に準拠していないメールを受信者のスパムフォルダに振り分けることができる可能性があります。
- 一時的な隔離:メールの受信者は、規定に準拠していないメールを一時的に隔離し、そのメールについて追加の分析を行うことを選択できます。その後、担当者は確認を経て、隔離されたメールを解放することができます。
- スパムフィルタリングの厳格度を上げる: スパムフィルタリングは、可能な限り多くのスパムを識別することと、必要なメールを誤ってスパムとして識別してしまうこととの間のバランスを取るものです。隔離(quarantine)に設定されたDMARCポリシーの対象となるメールは、スパムと判断される可能性が高くなります。
検疫ポリシーの公開に関して知っておくべき重要な点は、ポリシーに準拠していないメールも依然として配信されるということです。スパムをブロックするために導入されているDMARC以外の技術の影響により、メールが最終的な宛先に届くかどうかは定かではありませんが、メールサーバーからのメールの送信は継続されます。
したがって、コンプライアンスに準拠していない正当なメールに対する隔離ポリシーの影響は、そのメールの送信元にはすぐには明らかにならないでしょう。 コンプライアンスに準拠していないものの正当なメールの送信元は、メール通信のパフォーマンス低下を経験することになる。DMARC隔離ポリシーの実装方法は様々であるため、送信元のメールは受信者によってスパムフォルダに振り分けられたり、配信が遅れたり、場合によっては破棄されたりする可能性がある。影響を受けたメールの送信元が自身のパフォーマンスを注意深く監視していない限り、隔離による影響は長期間にわたり気付かれないままになる可能性がある。
拒否する
DMARCポリシーが p=reject に設定されたDMARCポリシーは、DMARCチェックに失敗したメールの受信を拒否するようメール受信者に指示します。既知の実装は2つあります:
- SMTP 段階で、準拠していないメールの受信を拒否します。これは、DMARC 検証を行う受信者への配信を阻止できるため、推奨され、最も広く採用されている実装方法です。送信者には、準拠していないメールが配信されない理由が直ちに通知されます。
- まずSMTP経由でメールを受信し、DMARCに違反したメールの最終的な配信を阻止します。この実装は、SMTP経由でメールの配信責任を負いながら、結局そのメールが配信されないという点で、あまり最適とは言えません。配信に失敗した場合、次の2つのいずれかの事態が発生する可能性があります:
- 配信状況通知(いわゆる「バウンス」メッセージ)が生成されるか、
- 規定に準拠していないメールは、通知なしに破棄されます。
デフォルトでは、DMARCの拒否ポリシーに該当するメールは配信されません。この動作は、不正なメールの送信を防ぐための強力な手段となります。
したがって、正当なメールであってもポリシーに準拠していないものに対する拒否ポリシーの影響は、すぐに明らかになるでしょう。つまり、メールの受信が停止してしまうのです。拒否ポリシーに移行する際、ドメイン所有者は、正当な送信元であっても拒否ポリシーに引っかかる可能性があることに備えておく必要があります。なぜなら、そうした送信元は、DMARCに準拠するために必ず支援を必要とするからです。
政策の影響を最小限に抑える
DMARCは、フィードバックレポートを通じてドメイン所有者にドメインの運用状況を可視化するように設計されています。ドメイン所有者は、この可視化情報を活用し、正当な送信元からのメールがDMARCに準拠するようにする必要があります 前に DMARC 隔離 または 拒否 ポリシー。正しく導入された場合、 隔離 または 拒否ポリシー ポリシーが正当なメールに与える影響は最小限です。
転送に関する注意事項
ドメイン所有者がDMARCを導入するための適切な手順を踏んでおり、すべての正当な送信元がDMARC準拠のメールを送信している場合でも、メールの転送は課題となる可能性があります。メールが転送されると、DMARCがメールの正当性を判断する機能を損なう経路を通じて、受信者にメールが届くことがあります。ドメイン所有者がすべてを正しく行っているにもかかわらず、一部の正当なメールがDMARCの隔離または 拒否ポリシーの影響を受ける可能性があります。 DMARCがドメイン所有者に提供する可視性により、この影響の程度(メールの送信先によってドメインごとに異なります)を把握することができ、隔離または拒否ポリシーへの移行を決定する際には、この情報を考慮に入れる必要があります。
私たちがサポートします
メールセキュリティのエキスパート集団であるdmarcianは、「ドメインセキュリティを通じて、メールとインターネットをより信頼できるものにする」というミッションを掲げ、お客様の組織のドメイン状況を評価し、長期にわたってDMARCの実装と管理をサポートいたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
