DMARCフォレンジックレポートの読み方
DMARCフォレンジック(RUF)レポートを有効にして理解し、スプーフィング、認証失敗、設定ミスを特定する方法を学びます。
DMARCフォレンジック・レポート(障害レポートまたはRUFレポートとも呼ばれる)は、個々のメッセージがDMARC認証に失敗した場合にメールボックス・プロバイダが送信する詳細な通知である。
フォレンジックレポートは、1日あたり数千のメッセージを要約するアグリゲートレポートとは異なり、単一のメッセージに焦点を当て、以下を含みます:
- 送信者のIPアドレスとenvelope-fromドメイン
- そのメッセージのDKIMとSPFの結果
- DMARCのアライメント結果
- オリジナルメッセージヘッダーの一部(時には件名も)
DMARCフォレンジックレポートは、特定の問題に焦点を当てたリアルタイムの通知であり、DMARCアグリゲートレポートとは異なります。アグリゲートレポートの詳細については、DMARCアグリゲートレポートの読み方ガイドをご覧ください。
フォレンジックレポートは、DMARCレコードのrufタグで指定されたメールアドレスにリアルタイムで送信されます:
uf=mailto:dmarc-forensic@yourdomain.comフォレンジックレポートには機密性の高いメッセージデータが含まれる可能性があるため、すべてのプロバイダーが送信するわけではありませんが、送信するプロバイダーは、何か問題が発生したときに貴重な手がかりを提供します。
フォレンジック・レポートと集計レポートの違い
フォレンジック・レポートと集計(RUA)レポートとの比較は以下の通りです:
| 範囲 | 要約、ドメインレベル | 単一メッセージ、詳細 |
| 形式 | XMLファイル | プレーンテキストまたはAFRFフォーマット |
| 頻度 | 毎日 | リアルタイム(障害発生毎) |
| 目的 | トレンド監視 | インシデント調査 |
ドメインのメール認証の健全性を完全に把握するには、両方のタイプのレポートが必要です。
フォレンジックレポートが有用な理由
フォレンジックレポートは早期警告システムです。フォレンジックレポートは次のような場合に役立ちます:
- 未承認のサーバーがお客様のドメインを使用しようとしたときに、なりすましの試みを素早く発見する。
- DKIMキーが揃わない、SPFエントリが見つからないなど、設定の問題を診断します。
- どのメッセージが拒否または隔離されたかを確認することで、DMARCの実施を検証します。
- フィッシングやなりすましを報告する必要が生じた場合に、不正使用の証拠を文書化する。
DMARCを導入している企業にとって、これらのレポートは、正当なメッセージがブロックされ始める前に、見過ごされていた送信者や認証に失敗したシステムを明らかにすることがよくあります。
DMARCのセットアップと実装の完全な概要とロードマップについては、 DMARCモニタリングとコンプライアンスガイドをご覧ください 。
DMARCフォレンジックレポートを有効にする方法
フォレンジックレポートの受信を開始したい場合は、DMARCレコードにrufタグを追加する必要があります。
例
v=DMARC1; p=quarantine; rua=mailto:dmarc-aggregate@yourdomain.com;ruf=mailto:dmarc-forensic@yourdomain.com; fo=1;
これを分解してみよう:
ruf=- フォレンジック報告を送信するアドレス。fo=- 障害報告オプション。一般的な値は以下のとおり:fo=0- SPFとDKIMの両方に失敗した場合に報告する(デフォルト)。fo=1- SPFまたはDKIMのどちらかが失敗した場合に報告します。fo=d- DKIM失敗のみを報告します。fo=s- SPF失敗のみを報告します。
セットアップをテストしている場合は、fo=1から始めるのがよいでしょう。
ヒント フォレンジック・レポートは常に専用のメールボックスを使用してください。フォレンジック・レポートは大量に届く可能性があり、中には機密データを含むものもあります。
DMARCフォレンジックレポートの読み方
ほとんどのフォレンジックレポートは、Abuse Feedback Reporting Format (AFRF)のプレーンテキストの添付ファイルとして送信されます。以下はその見方です。
1.認証結果
一番上のセクションには通常、SPF、DKIM、DMARCの結果が表示されます。例
Authentication-Results: spf=fail smtp.mailfrom=spammer.com; dkim=none;
dmarc=fail (p=reject)
これでわかる:
- メッセージはあなたの正当な送信者ではなく、
spammer.comから来た。 - DKIMは署名されていません。
- DMARCは失敗し、ポリシーは拒否を指示した。
2.送信元IPと送信元ドメイン
次に、メッセージがどこから来たのか、そしてどのドメインを代表しているのかを特定します:
送信元IP: 192.0.2.45報告されたドメイン:yourdomain.com
IPが正規のサービスやベンダーのものでない場合、なりすましの可能性があります。
3.メッセージ識別子
メッセージID、envelope-from、header-fromフィールドを探す。これらは送信元や設定ミスを追跡するのに役立つ:
Original-Mail-From: user@yourdomain.comHeader-From: yourdomain.com
DKIM-Domain: なし
これは、SPFとDKIMのアライメントが失敗したことを示している。これは、サードパーティのツールがあなたの代わりにメールを送信する場合によくある問題です。
4.サンプルメッセージデータ
フォレンジックレポートの中には、分析用に元のメッセージやヘッダーの断片が含まれているものがあります。調査には便利ですが、個人を特定できる情報が含まれている可能性があるため、注意が必要です。
フォレンジック・レポートの処理と分析
レポートを受け取り始めると、2つの方法でそれらを扱うことができる:
手動レビュー
- 電子メールクライアントまたはテキストエディターでレポートを開く。
- 繰り返されるIPまたは認証に失敗するドメインを検索する。
- 既知のメールシステムと照合する。
自動分析
- DMARCeyeのようなDMARCモニタリングツールを使用して、フォレンジックデータを自動的に収集し、可視化します。
- フォレンジックの失敗を集計レポートと関連付け、長期的なパターンを確認します。
少量であれば手動レビューでも問題ありませんが、複数ドメインや大量のトラフィックに達すると、自動化が不可欠になります。
プライバシーと制限
一部のメールボックスプロバイダーは、プライバシーの問題からフォレンジックレポートをまったく送信しません。例えば、Gmailはもはや提供していない。
利用可能な場合でも、すべての失敗メッセージについてレポートが保証されるわけではありません。
とはいえ、DMARCeyeのレポートを受け取った場合、アクティブななりすましや設定ミスを特定するための最も実用的なシグナルとなります。
DMARCeyeがフォレンジックレポート監視を簡素化する方法
フォレンジックレポートは、数十のプロバイダから様々な形式で届く可能性があり、手動で管理するとすぐに面倒なことになります。
DMARCeyeは、 全ドメインの集計レポートとフォレンジックレポートを自動的に収集・整理することで、これを簡素化します。
DMARCeyeを使用すると、以下のことが可能になります:
- 1つの統合ダッシュボードで、すべての失敗したメッセージソースを表示します。
- 繰り返し発生する不正なIPやなりすましを特定します。
- 認証に失敗し、設定の修正が必要な正当な送信者を確認します。
- 全体的な認証の健全性をリアルタイムで追跡します。
未加工のXMLファイルやテキストファイルを整理する代わりに、ドメインで何が起きているかを明確かつ実用的なビューで把握できるため、迅速かつ自信を持って対応できます。
今すぐDMARCeyeの無料トライアルを入手して、メールドメインの保護を開始しましょう。