概要
Domain-based Message Authentication, Reporting & Conformance (DMARC) とはどのような機能ですか
詳細
Domain-based Message Authentication, Reporting & Conformance(以下、DMARC)は、既存の認証技術である Sender Policy Framework(以下、SPF)や DomainKeys Identified Mail(以下、DKIM)を利用して、受信メールの正当性を確認する技術です。
Hosted Email Security(以下、HES) の DMARC機能では、以下の検証を行い、メールの正当性を判断します。
・SPF検証
・DKIM署名検証
・アライメントチェック
また、送信者ドメインで公開されるDMARC DNSレコードを上記検証方法や処理の判定に使用します。
【DMARC認証の検証基準】
SPF検証、DKIM検証、アライメントチェックを実施し、いずれかの検証に失敗するとポリシーで設定した処理が実施されます。
各検証での成功・失敗の基準は以下のとおりです。
SPF検証
成功: 検証結果が 「Fail」以外の結果(例: Pass, SendFail, Neutral, None, PermError, TempError) の場合
失敗:検証結果が「Fail」の場合
DKIM検証
成功: DKIM署名の検証が成功した場合、および、DKIM署名がメールメッセージに存在しない場合や、有効な形式の署名が存在しない場合
失敗: DKIM署名の検証に失敗した場合
アライメントチェック
DMARC DNSレコードでは、アライメントチェックのrelaxモード、strictモードが指定できます。
HESは送信者ドメインのこのレコードを参照し、アライメントチェックで採用するモードを判断した上でアライメントチェックを実施します。
・SPFアライメントチェック
- relaxモード: エンベロープFROMの送信者ドメインが、メッセージヘッダFROMの送信者ドメインの組織ドメインに一致するかどうか(サブドメインなど含む)
- strictモード: エンベロープFROMの送信者ドメインと、メッセージヘッダFROMの送信者ドメインが完全に一致するかどうか
・DKIMアライメントチェック
- relaxモード:DKIM署名の "d"タグのドメイン名と、メッセージFROMの送信者の組織ドメインに一致するかどうか(サブドメインなど含む)
- strictモード: DKIM署名の "d"タグのドメイン名と、メッセージFROMの送信者ドメイン名が完全に一致するかどうか
設定方法
1. 管理コンソールにログオンし、[受信保護設定] - [ドメインベース認証] - [Domain-based Message Authentication, Reporting & Conformance (DMARC)] をクリックします。
2.「初期設定」は管理されているドメイン全てに対する設定です。全ドメインに対して同じ設定を行いたい場合は「初期設定」リンクをクリックします。
ドメインごとに設定を行いたい場合は「追加」ボタンをクリックし、「DMARC設定を追加」画面を表示します。
※ドメイン毎に行った設定を行った場合、そのドメインには「初期設定」は適用されません。
3. 各項目を設定します。
(1) 「ドメイン名:」で、DMARC認証を実施するドメインを選択します。
(2) 「DMARCを有効にする」を有効にします。
(3) 必要に応じて、 「Xヘッダをメールメッセージに挿入する」を有効にします。
以下は、メッセージに挿入されるヘッダの例です。
X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40)
smtp.mailfrom=test.com; dkim=pass (no processed signatures) header.d=none;
dmarc=fail action=reject header.from=test.com;
(4) 必要に応じて、「日次レポートを送信者に配信」を有効にします。
DMARC認証に失敗した場合、送信者側ドメインのDMARC DNSレコードに公開されているレポート送信先に日時レポートを配信します。
(5) 「インターセプト」セクションでDMARC認証に失敗した場合の処理を選択します。
送信者側ドメインのDMARC DNSレコードには、認証に失敗した場合のポリシー(処理)を記述するタグがあり、通常 None, Quarantine, Reject のいずれかがその値となります。
このDMARCタグに指定されている各処理に対して、HESで実際に行う処理を指定します。
「DMARCレコードがありません:」は、送信者側ドメインが、DMARCレコードをDNS上に公開していない場合の処理を指定します。
(6) 「タグ付けと通知」セクションで、必要に応じタグと通知の設定を行います。
(7) 必要に応じ、「強制ピア」を追加します。
「追加」ボタンをクリックし、送信者ドメインを指定します。
強制ピアに指定された送信者ドメインに対しては、DMARC認証で実施されるSPF検証、DKIM検証について、より厳しい基準が適用されます。
SPF検証
検証結果が Pass の場合のみ検証成功となります。
Pass 以外の他のチェック結果、Fail, SendFail, Neutral, None, PermError, TempError等だった場合は検証失敗となります。
DKIM検証
メールメッセージのDKIM署名が検証に成功した場合のみ検証成功となります。
DKIM署名がメールメッセージに存在しない場合や、有効な形式の署名が存在しない場合は、検証失敗となります。
個別のSPF,DKIM設定
HESでは、DMARCポリシーとは別にSPF、DKIM検証を個別に設定することが可能です。
(設定場所)
SPF: [受信保護設定] - [ドメインベース認証] - [Sender Policy Framework(SPF)]、
DKIM検証: [受信保護設定] - [ドメインベース認証] - [Sender Policy Framework(SPF)
上記各メニューで設定を有効にして検証を実施し、各検証結果が失敗となった場合は、DMARCポリシーで設定した処理ではなく、各設定で指定されている処理が実行されます。
各設定の詳細は以下を参照してください。
【注意】
上記SPF設定で指定できる「除外するピア」は、DMARCの検証では使用されません。
以上で操作は完了です。
