DMARCでなりすましメールとフィッシング攻撃を阻止する方法
なりすましメールやフィッシング攻撃を防ぎ、ドメインレピュテーションを保護し、通信を安全にするために、DMARCをステップバイステップで実装する方法をご紹介します。
Eメールはビジネスコミュニケーションにおいて最も重要なツールの1つですが、同時に最も悪用されやすいツールの1つでもあります。攻撃者は、なりすましやフィッシング・キャンペーンを利用して、信頼できる送信者になりすまし、認証情報を盗み、マルウェアを配布します。
なりすましメールは本物と見分けがつかず、金銭的損失や風評被害につながることもあります。朗報がある。DMARCを利用すれば、こうした攻撃を未然に防ぐことができます。
なりすましメールとは?
なりすましメールとは、メールの「差出人」アドレスを偽造し、他人(多くの場合、正規の企業や同僚)から送信されたように見せかける行為です。なりすましは、どのような業界の企業にも起こり得ます。
攻撃者はこのような行為を行います:
- ユーザーを騙して機密データ(認証情報、支払い情報など)を共有させる。
- 悪意のある添付ファイルやリンクの配信
- ビジネスメール詐欺(BEC)の実行
適切な認証が行われないと、メールサーバーは「差出人」アドレスが本物であるか偽造されたものであるかを知ることができません。
DMARCとは?
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、不正な送信者によるドメインの使用を防止するためのオープンスタンダードです。
DMARCは、既存の2つの認証方法をベースにしています:
- SPF (Sender Policy Framework)- 送信者のIPがあなたのドメインを代表して送信することを許可されていることを確認します。
- DKIM(DomainKeys Identified Mail)- 暗号署名を使用して、メッセージの完全性と真正性を確認します。
DMARCはこれらの仕組みの上にポリシーレイヤーとして機能する。DMARCは、メールがSPFやDKIMのチェックに失敗した場合にどうすべきかを受信サーバーに指示し、誰があなたのドメインを使ってメールを送信しているかを確認できるようにレポートを提供します。
DMARCの仕組み(ステップバイステップ)
- SPFとDKIMの検証
メールが到着すると、受信者のメールサーバーは、送信者のIPがドメインのSPFレコードにリストされているかどうか、DKIM署名がDNSで公開されている有効なキーと一致するかどうかをチェックします。 - アライメントチェック
DMARCは、メールのFrom:ヘッダー内のドメインが、SPFまたはDKIMによって認証されたドメインと一致する(または整合する)ことを意味する「整合性」を検証する。これは、攻撃者が無関係なドメインを使用してSPFまたはDKIMを通過させることを阻止するものである。 - ポリシーの適用
DMARCのポリシー(p=none、p=quarantine、p=reject)に基づいて、受信サーバーはメールを配信するか、スパムフォルダに入れるか、拒否するかを決定します。 - レポートと可視性
DMARCは2種類のレポートを提供します:
-
- RUA(集計レポート):RUA(集計レポート):どのIPがお客様のドメインにメールを送信しているかを示す日次レポートです。
- RUF(フォレンジックレポート):より詳細な調査のための個々の失敗したメッセージの詳細なコピー。
これらのレポートは、DMARCレコードで指定したアドレスに送信され、視覚化ツールで分析できます。
SPFとDKIMだけでは不十分な理由
SPFとDKIMは不可欠ですが、それだけでは直接的なドメイン偽装を防ぐことはできません。
例えば
- SPFはエンベロープの送信者(Return-Path:)のみをチェックし、目に見えるFrom:ヘッダーはチェックしない。
- DKIMはメッセージの内容を認証できるが、攻撃者は "From "フィールドに別のドメインを使うことができる。
DMARCは、 ドメインアライメントを強制することで、このギャップを埋め、顧客が目にするドメインがSPFまたはDKIMによって認証されたものと同じであることを保証します。
DMARCの実装方法(ステップバイステップガイド)
DMARCの実装には、新しいハードウェアやソフトウェアは必要なく、DNSアクセス、計画、数週間の観察が必要です。以下は、具体的で信頼できるロードマップです。
ステップ1:すべての正当なメールソースをインベントリ化する
何かを公開する前に、あなたのドメインを使用してメールを送信するすべてのサービスの完全なリストを作成します。これには通常以下が含まれます:
- プライマリメールサーバー(Microsoft 365、Google Workspaceなど)
- トランザクション送信者(SendGrid、Amazon SESなど)
- マーケティングプラットフォーム(例:HubSpot、Mailchimp)
- ヘルプデスク/チケットシステム(例:Zendesk)
- 請求書を送信する請求ツールまたはERPツール
ヒント:ログやDMARCレポートを検索して、ドメイン下の「From」アドレスを検索し、隠れた送信元や忘れられた送信元を見つけよう。
ステップ2:各送信者のSPFとDKIMを設定する
DMARCは、SPFとDKIMが適切に設定されていることに依存しています。
SPFの場合
各プロバイダーが推奨するインクルードステートメントを収集する。例えば- Googleワークスペース: include:_spf.google.com
- マイクロソフト365:include:spf.protection.outlook.com
- メールチンプ: include:servers.mcsv.net
可能であれば)1つのSPFレコードにまとめる:
v=spf1 include:_spf.google.com include:servers.mcsv.net -all
このレコードをルートドメインのDNSにTXTエントリとして公開する。DKIMの場合
お使いのEメールプラットフォームでDKIM署名を有効にします(ほとんどの場合、キーは自動的に生成されます)。DKIM公開鍵をDNSで公開します。通常、以下のようなサブドメインになります:
google._domainkey.yourdomain.comのようなサブドメインになります。
ステップ3:基本的なDMARCレコードを発行する
SPFとDKIMが機能したら、最初のDMARCレコードを追加します:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com; fo=1
このレコード
- モニター」モードでDMARCをアクティブにする(まだ実施しない)
- リストされたアドレスに集約(RUA)およびフォレンジック(RUF)レポートを送信する。
- fo=1を使用して、あらゆる障害に対するフォレンジックレポートを要求する。
これをTXTレコードとして次の場所に公開する:
_dmarc.yourdomain.com。
ステップ4:レポートの監視と分析
今後数週間で、世界中のメールサーバーからXMLベースのDMARCレポートを受け取るようになります。
レポートには以下のものが含まれます:
- 送信元IPアドレス
- 送信ドメイン
- SPFとDKIMの合否結果
- 送信者ごとのメッセージ数
これらのレポートを手動で処理することも、送信者、ボリューム、認証結果を可視化するDMARCレポートツールを使って(より現実的に)処理することもできます。
目標:すべての正当な送信元を特定し、設定ミスを修正し、不明な送信者(なりすましや設定ミスの可能性が高いベンダー)にフラグを立てる。
ステップ5:ポリシーを徐々に強化する
すべての正当なメールフローが認証され、整合性が取れていることが確認できたら、段階的にポリシーを強化していきます:
隔離する
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@yourdomain.com
- 失敗したメッセージの25%を隔離 (スパムメールに送信)
- 安全に影響を監視できる
- 安定したら徐々に100%にする
拒否する
v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com
- 認証されていないメールを完全にブロック
- なりすましに対する最大限の保護を提供
ステップ6:維持と拡大
DMARCは "セット・アンド・フェザー "ではありません。以下のことが必要です:
- 定期的にレポートを見直し、新しい不正な送信元を検出する。
- インフラの進化に合わせて、SPF/DKIMに新しいベンダーを追加する。
- サブドメインもメールを送信する場合は、DMARCを適用する(admissions.yourdomain.com、news.yourdomain.comなど)。
- 受信トレイにブランドロゴを表示するためにBIMIレコードを追加することを検討する。
DMARC実装のタイムラインの例を以下に示します。
| 週 | アクション |
| 1 | 送信者のインベントリ、SPF/DKIMの設定 |
| 2-3 | p=noneでDMARCを発行する |
| 4-6 | レポートの分析、問題の修正 |
| 7-8 | p=quarantineに移行(部分的、その後完全) |
| 9+ | p=不合格に移行し、維持する |
トラブルシューティングのヒント
- 問題:正規のメールがスパムになってしまう
→ その送信者のDKIMアライメントとSPFインクルードをチェックする。 - 問題:SPFレコードが長すぎる(255文字以上)
→ サブドメインやサードパーティのフラットニングツールを使用する。 - 問題:DMARCレポートが見つからない
→ruaのメールボックスがXMLの添付ファイルを受信できることを確認する。
DMARCによるフィッシング対策
フィッシングは信頼に依存しています。攻撃者は既知のブランドや同僚になりすまし、被害者を騙して悪意のあるリンクをクリックさせたり、情報を共有させたりします。
DMARCは、認証されていないメールが受信トレイに到達するのを防ぐことで、この信頼に基づく攻撃を弱体化させます。サイバー犯罪者が「support@yourdomain.com」からメールを送信しようとしても、認証されていない場合、そのメールは見られる前に拒否されます。
顧客、パートナー、従業員にとって、これは合法的なコミュニケーションと詐欺の間に可視的なラインを作成します。
DMARCを超えて:メールセキュリティ体制を強化する
DMARCは大きな一歩ですが、完全なソリューションではありません。包括的な保護を構築するには
- BIMIBIMI:DMARCに続く電子メール・セキュリティの次の:使用して、検証済みのブランドロゴを受信トレイに表示する。
- DMARCとDNSSECを組み合わせて、改ざん防止DNS認証を行う。
- ソーシャル・エンジニアリングとフィッシングの認識についてスタッフを教育する。
これらを組み合わせることで、技術的なセキュリティ対策と人的なセキュリティ対策を融合させた重層的な防御が可能になる。
DMARCeyeがDMARCの実装と監視を簡素化する方法
DMARCを手動で実装することは可能ですが、データを解釈し、複数のサービス間で記録を整合させ、インフラストラクチャの進化に合わせて実装を維持することは、すぐに複雑になります。
DMARCeyeは、DMARCの管理をシンプルで透明性が高く、実行可能なものにするために設計された、AIを活用した可視化およびレポート作成プラットフォームです。DMARCeyeは、未加工のXMLレポートを人間が読める明確なダッシュボードに変換し、以下のことを可能にします:
- どの送信者が認証され、どの送信者が認証されていないかを即座に確認できます。
- 全ドメインのSPF、DKIM、DMARCのアライメント状況を追跡
- なりすましの試みをリアルタイムで特定し、ブロックする
- 監視から完全な実施に自信を持って移行
- ブランドの評判を保護しながら配信可能性を維持
DMARCeyeは、設定、自動分析、継続的な監視を行うことで、DNSの専門知識がなくても、あらゆる規模の企業がなりすましメールやフィッシングの脅威からドメインを保護するために必要なコントロールと明確性を提供します。
今すぐDMARCeyeの無料トライアルを開始し、メールドメインの保護を開始しましょう。