近年、実在の企業や組織を騙る「なりすましメール」の被害が増えています。なりすましメールの標的は、個人から企業までさまざまです。万一、自社のふりをしたなりすましメールによって関係者が被害を受けると、自社の信用低下にも繋がりかねません。
メールの受信者である取引先など、自社の関係者を能動的に保護する仕組みとして「DMARC」があります。DMARCは、メールの受信側・送信側の双方のセキュリティを強化できる技術です。この記事では、DMARCの仕組みやメリット・デメリットについて詳しく解説します。
DMARCとは
DMARC (Domain-based Message Authentication Reporting and Conformance:ディーマーク) とは、電子メールの送信ドメインを認証する技術です。フィッシングやスパムなどの迷惑メール対策に用います。
受信メールに表示される送信者名は、「Header From」によって送信者が自由に設定可能です。ゆえに、攻撃者はフィッシングメールを送る際、実在の企業などの名称にHeader Fromを変更してなりすまします。DMARCはこうした「メール送信元の偽装」のほか、「内容の改ざん」も防げるため、なりすましメール対策として効果的です。
SPFとDKIM
DMARCは、「SPF(Sender Policy Framework)」と「DKIM (DomainKeys Identified Mail)」を組み合わせ、補強する仕組みです。SPFとは、送信元のIPアドレスを検証し、正規の送信者であることを認証する技術です。一方のDKIMは、電子署名を利用して送信ドメインを検証し、メール内容と送信元の改ざんを検知します。どちらもDMARCと同じく、送信ドメインを認証するシステムです。
DMARCの仕組み
SPFやDKIMの認証に失敗したメールの扱いは、受信側が決定します。つまり、受信側が「認証失敗メールも受信する」と設定していると、なりすましメールが届いてしまうわけです。なりすまされた正規の送信側からすると、自社のなりすましメールは受信拒否してほしいところです。
そこで、正規の送信側のために開発された仕組みがDMARCです。DMARCを導入することで、正規の送信側は以下3つの能動的な対策を行えます。
- 認証失敗メールの処理方法の指定
- メールの認証結果の通知
- 第三者署名の拒否
順番に説明します。
1.認証失敗メールの処理方法の指定
DMARCを利用すると、メール送信側は認証失敗メールの処理方法を指定可能です。自社になりすましたメールが送信されると、受信者に向けて次のいずれかの方法を宣言できます。
- none:そのまま受信させる
- quarantine:隔離させる
- reject:受信を拒否する
SPFとDKIMでは受信者に委ねられていた処理方法を、DMARCでは正規の送信側が指定できるわけです。
2.メールの認証結果の通知
DMARCにより、メールの送信側はSPFとDKIMによる認証結果を把握できます。リアルタイムかつ詳細なレポートが届くため、自社の正規メールが認証失敗した際は迅速に対応可能です。また、自社になりすましたメールの存在もわかります。取引先や顧客に向けてすばやく注意喚起することで、関係者のフィッシング被害を予防できるでしょう。
3.第三者署名の拒否
DMARCは、第三者署名の拒否も可能です。通常、メール配信サービスのドメインを利用している場合でも、DKIMは第三者署名によって利用可能です。対するDMARCは、第三者署名を拒否します。自社が送るすべてのメールは自社ドメインとなるため、厳格な認証を実現できます。
ただし、DMARCを導入したからといって、必ずしもメール配信サービスのドメインを利用できなくなるわけではありません。メール配信サービスの送信元の設定を自社ドメインにすれば、引き続き利用できます。
DMARCのメリット・デメリット
DMARC導入による具体的なメリット・デメリットを紹介します。
メリット
DMARCは、自社の関係者のメールセキュリティを強化できます。受信側の認証設定にかかわらず、自社のなりすましメールをブロックできるためです。関係者を保護できる上、なりすましによる自社の信用低下も予防できるでしょう。また、受信側の認証結果はレポートで届きます。認証エラーやなりすましメールの割合を把握できるため、スピーディな対応が可能です。
デメリット
DMARCを導入すると、管理者の負担が増える可能性があります。認証のたびに通知が届くため、メールのやり取りが多いほど通知の量も増えます。管理状況に合わせて、適切な通知頻度への設定変更が必要です。加えて、全てのメールサービスがDMARCに対応しているわけではありません。お使いのサービスによっては、そもそも導入できない可能性があります。
DMARCの設定方法
DMARCの設定は、以下の流れで行います。
- DMARCを適用するドメインの利用範囲を洗い出す
- 適用するドメインのSPFとDKIMを設定
- DMARCレポートの通知頻度や受信用メールボックスを設定
- DMARCポリシー(「none」「quarantine」「reject」)の設定
- DMARCのテスト運用・修正
- DMARCの適用
DMARCレコードなどの設定方法は、メールサービスによって異なります。導入する際は、お使いのメールサービスに問い合わせましょう。また、DMARCはSPFとDKIMの設定も必要です。SPFとDKIMの利用状況がわからない場合、DMARCの設定と合わせてお使いのメールサービスへご確認ください。
DMARC導入の注意点
DMARCを導入する際は、以下2点に注意しましょう。
- 必ず動作確認する
- なりすましメールを全て検知できるわけではない
それぞれの必要性を解説します。
1.受信側もDMARCへの対応が必要
DMARCを機能させるためには、送信側だけでなく受信側のメールサービスもDMARCに対応している必要があります。デメリットとしてもお伝えした通り、DMARCを利用できないメールサービスも存在します。受信側がDMARC未対応のメールサービスを使っている場合、DMARCの機能は動作しません。
2.基本的ななりすまし対策を徹底する
DMARCの導入後も、受信者側としての基本的ななりすまし対策を継続しましょう。DMARCは、なりすましメールを全て検知できるわけではありません。SPFやDKIMが誤判定をしてしまったり、認証設定が弱すぎたりするとなりすましメールが届いてしまいます。DMARCを導入したからといって油断せず、以下のような基本的な対策が大切です。
- 正しいメールアドレスやURLか確認する
- 添付ファイルやURLをむやみに開かない
- 送金や個人情報の受け渡しなど、メールによる重要な指示は本人に別途確認する
こうした対策を徹底し、ヒューマンエラーによる被害を防ぎましょう。
まとめ
DMARCとは、SPFとDKIMを補強し、電子メールの送信ドメインを認証します。なりすましメールによるフィッシング対策として有効な手段です。
従来のSPFとDKIMも送信ドメインを認証しますが、メールの正規送信側の能動的な対策には向いていませんでした。DMARCを導入すれば、メールの正規送信側から「認証失敗メールの受信拒否」が可能になります。他にも、「メールの認証結果の通知」「第三者署名の拒否」といった機能により、強固なメールセキュリティを実現できます。
DMARCは受信側と送信側のどちらにもメリットがある仕組みですので、導入を検討してみてはいかがでしょうか。