ビジネスサポートポータルアカウントでログイン
Domain-based Message Authentication, Reporting & Conformance(DMARC) 機能  

Domain-based Message Authentication, Reporting & Conformance(DMARC) 機能

    • 更新日:
    • 16 Oct 2017
    • 製品/バージョン:
    • Trend Micro Hosted Email Security 1.All
    • OS:
    • SaaS すべて
概要
Domain-based Message Authentication, Reporting & Conformance (DMARC) とはどのような機能ですか
詳細
Public
Domain-based Message Authentication, Reporting & Conformance(以下、DMARC)は、既存の認証技術である Sender Policy Framework(以下、SPF)や DomainKeys Identified Mail(以下、DKIM)を利用して、受信メールの正当性を確認する技術です。
 
Hosted Email Security(以下、HES) の DMARC機能では、以下の検証を行い、メールの正当性を判断します。
・SPF検証
・DKIM署名検証
・アライメントチェック
また、送信者ドメインで公開されるDMARC DNSレコードを上記検証方法や処理の判定に使用します。
 
【DMARC認証の検証基準】
SPF検証、DKIM検証、アライメントチェックを実施し、いずれかの検証に失敗するとポリシーで設定した処理が実施されます。
各検証での成功・失敗の基準は以下のとおりです。
 
SPF検証
成功: 検証結果が 「Fail」以外の結果(例: Pass, SendFail, Neutral, None, PermError, TempError) の場合
失敗:検証結果が「Fail」の場合
 
DKIM検証
成功: DKIM署名の検証が成功した場合、および、DKIM署名がメールメッセージに存在しない場合や、有効な形式の署名が存在しない場合
失敗: DKIM署名の検証に失敗した場合
 
アライメントチェック
DMARC DNSレコードでは、アライメントチェックのrelaxモード、strictモードが指定できます。
HESは送信者ドメインのこのレコードを参照し、アライメントチェックで採用するモードを判断した上でアライメントチェックを実施します。
 
・SPFアライメントチェック
- relaxモード: エンベロープFROMの送信者ドメインが、メッセージヘッダFROMの送信者ドメインの組織ドメインに一致するかどうか(サブドメインなど含む)
- strictモード: エンベロープFROMの送信者ドメインと、メッセージヘッダFROMの送信者ドメインが完全に一致するかどうか
 
・DKIMアライメントチェック 
- relaxモード:DKIM署名の "d"タグのドメイン名と、メッセージFROMの送信者の組織ドメインに一致するかどうか(サブドメインなど含む)
- strictモード: DKIM署名の "d"タグのドメイン名と、メッセージFROMの送信者ドメイン名が完全に一致するかどうか
 
 

設定方法

1. 管理コンソールにログオンし、[受信保護設定] - [ドメインベース認証] - [Domain-based Message Authentication, Reporting & Conformance (DMARC)] をクリックします。
 
2.「初期設定」は管理されているドメイン全てに対する設定です。全ドメインに対して同じ設定を行いたい場合は「初期設定」リンクをクリックします。
 
ドメインごとに設定を行いたい場合は「追加」ボタンをクリックし、「DMARC設定を追加」画面を表示します。
※ドメイン毎に行った設定を行った場合、そのドメインには「初期設定」は適用されません。
 
3. 各項目を設定します。
 
(1) 「ドメイン名:」で、DMARC認証を実施するドメインを選択します。
 
(2) 「DMARCを有効にする」を有効にします。
 
(3) 必要に応じて、 「Xヘッダをメールメッセージに挿入する」を有効にします。
 
以下は、メッセージに挿入されるヘッダの例です。

X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40)

  smtp.mailfrom=test.com; dkim=pass (no processed signatures) header.d=none;

  dmarc=fail action=reject header.from=test.com;

 (4) 必要に応じて、「日次レポートを送信者に配信」を有効にします。
 
DMARC認証に失敗した場合、送信者側ドメインのDMARC DNSレコードに公開されているレポート送信先に日時レポートを配信します。
 
(5) 「インターセプト」セクションでDMARC認証に失敗した場合の処理を選択します。
 
送信者側ドメインのDMARC DNSレコードには、認証に失敗した場合のポリシー(処理)を記述するタグがあり、通常 None, Quarantine, Reject のいずれかがその値となります。
このDMARCタグに指定されている各処理に対して、HESで実際に行う処理を指定します。
 
「DMARCレコードがありません:」は、送信者側ドメインが、DMARCレコードをDNS上に公開していない場合の処理を指定します。
 
(6) 「タグ付けと通知」セクションで、必要に応じタグと通知の設定を行います。
 
(7) 必要に応じ、「強制ピア」を追加します。
 
「追加」ボタンをクリックし、送信者ドメインを指定します。
 
強制ピアに指定された送信者ドメインに対しては、DMARC認証で実施されるSPF検証、DKIM検証について、より厳しい基準が適用されます。
 
SPF検証
検証結果が Pass の場合のみ検証成功となります。
Pass 以外の他のチェック結果、Fail, SendFail, Neutral, None, PermError, TempError等だった場合は検証失敗となります。
 
DKIM検証
メールメッセージのDKIM署名が検証に成功した場合のみ検証成功となります。 
DKIM署名がメールメッセージに存在しない場合や、有効な形式の署名が存在しない場合は、検証失敗となります。
 
 

個別のSPF,DKIM設定

HESでは、DMARCポリシーとは別にSPF、DKIM検証を個別に設定することが可能です。

 
(設定場所)
SPF: [受信保護設定] - [ドメインベース認証] - [Sender Policy Framework(SPF)]、
DKIM検証: [受信保護設定] - [ドメインベース認証] - [Sender Policy Framework(SPF)

 
上記各メニューで設定を有効にして検証を実施し、各検証結果が失敗となった場合は、DMARCポリシーで設定した処理ではなく、各設定で指定されている処理が実行されます。

 
各設定の詳細は以下を参照してください。
 
【注意】
上記SPF設定で指定できる「除外するピア」は、DMARCの検証では使用されません。
 
 
以上で操作は完了です。
 
 
Premium
Internal
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1118539
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド