DMARCとは? 仕組みや導入メリット・デメリットを解説|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. DMARCとは? 仕組みや導入メリット・デメリットを解説
             

DMARCとは? 仕組みや導入メリット・デメリットを解説



近年、実在の企業や組織を騙る「なりすましメール」の被害が増えています。なりすましメールの標的は、個人から企業までさまざまです。万一、自社のふりをしたなりすましメールによって関係者が被害を受けると、自社の信用低下にも繋がりかねません。

メールの受信者である取引先など、自社の関係者を能動的に保護する仕組みとして「DMARC」があります。DMARCは、メールの受信側・送信側の双方のセキュリティを強化できる技術です。この記事では、DMARCの仕組みやメリット・デメリットについて詳しく解説します。

DMARCとは

DMARC (Domain-based Message Authentication Reporting and Conformance:ディーマーク) とは、電子メールの送信ドメインを認証する技術です。フィッシングやスパムなどの迷惑メール対策に用います。

受信メールに表示される送信者名は、「Header From」によって送信者が自由に設定可能です。ゆえに、攻撃者はフィッシングメールを送る際、実在の企業などの名称にHeader Fromを変更してなりすまします。DMARCはこうした「メール送信元の偽装」のほか、「内容の改ざん」も防げるため、なりすましメール対策として効果的です。

フィッシング詐欺の手口と被害を避けるための対策
2019.2.4
インターネットやスマートフォンの普及に伴い、オンラインでの詐欺被害が増加しています。中でも深刻なのが、金融機関やショッピングサイトなどを装って個人情報や金銭を不正に取得する「フィッシング詐欺」です。この記事では、巧妙化するフィッシング

SPFとDKIM

DMARCは、「SPF(Sender Policy Framework)」と「DKIM (DomainKeys Identified Mail)」を組み合わせ、補強する仕組みです。SPFとは、送信元のIPアドレスを検証し、正規の送信者であることを認証する技術です。一方のDKIMは、電子署名を利用して送信ドメインを検証し、メール内容と送信元の改ざんを検知します。どちらもDMARCと同じく、送信ドメインを認証するシステムです。

DMARCの仕組み

SPFやDKIMの認証に失敗したメールの扱いは、受信側が決定します。つまり、受信側が「認証失敗メールも受信する」と設定していると、なりすましメールが届いてしまうわけです。なりすまされた正規の送信側からすると、自社のなりすましメールは受信拒否してほしいところです。

そこで、正規の送信側のために開発された仕組みがDMARCです。DMARCを導入することで、正規の送信側は以下3つの能動的な対策を行えます。

  1. 認証失敗メールの処理方法の指定
  2. メールの認証結果の通知
  3. 第三者署名の拒否

順番に説明します。

1.認証失敗メールの処理方法の指定

DMARCを利用すると、メール送信側は認証失敗メールの処理方法を指定可能です。自社になりすましたメールが送信されると、受信者に向けて次のいずれかの方法を宣言できます。

  • none:そのまま受信させる
  • quarantine:隔離させる
  • reject:受信を拒否する

SPFとDKIMでは受信者に委ねられていた処理方法を、DMARCでは正規の送信側が指定できるわけです。

2.メールの認証結果の通知

DMARCにより、メールの送信側はSPFとDKIMによる認証結果を把握できます。リアルタイムかつ詳細なレポートが届くため、自社の正規メールが認証失敗した際は迅速に対応可能です。また、自社になりすましたメールの存在もわかります。取引先や顧客に向けてすばやく注意喚起することで、関係者のフィッシング被害を予防できるでしょう。

3.第三者署名の拒否

DMARCは、第三者署名の拒否も可能です。通常、メール配信サービス​​のドメインを利用している場合でも、DKIMは第三者署名によって利用可能です。対するDMARCは、第三者署名を拒否します。自社が送るすべてのメールは自社ドメインとなるため、厳格な認証を実現できます。

ただし、DMARCを導入したからといって、必ずしもメール配信サービスのドメインを利用できなくなるわけではありません。メール配信サービスの送信元の設定を自社ドメインにすれば、引き続き利用できます。

DMARCのメリット・デメリット

DMARC導入による具体的なメリット・デメリットを紹介します。

メリット

DMARCは、自社の関係者のメールセキュリティを強化できます。受信側の認証設定にかかわらず、自社のなりすましメールをブロックできるためです。関係者を保護できる上、なりすましによる自社の信用低下も予防できるでしょう。また、受信側の認証結果はレポートで届きます。認証エラーやなりすましメールの割合を把握できるため、スピーディな対応が可能です。

デメリット

DMARCを導入すると、管理者の負担が増える可能性があります。認証のたびに通知が届くため、メールのやり取りが多いほど通知の量も増えます。管理状況に合わせて、適切な通知頻度への設定変更が必要です。加えて、全てのメールサービスがDMARCに対応しているわけではありません。お使いのサービスによっては、そもそも導入できない可能性があります。

DMARCの設定方法

DMARCの設定は、以下の流れで行います。

  1. DMARCを適用するドメインの利用範囲を洗い出す
  2. 適用するドメインのSPFとDKIMを設定
  3. DMARCレポートの通知頻度や受信用メールボックスを設定
  4. DMARCポリシー(「none」「quarantine」「reject」)の設定
  5. DMARCのテスト運用・修正
  6. DMARCの適用

DMARCレコードなどの設定方法は、メールサービスによって異なります。導入する際は、お使いのメールサービスに問い合わせましょう。また、DMARCはSPFとDKIMの設定も必要です。SPFとDKIMの利用状況がわからない場合、DMARCの設定と合わせてお使いのメールサービスへご確認ください。

DMARC導入の注意点

DMARCを導入する際は、以下2点に注意しましょう。

  1. 必ず動作確認する
  2. なりすましメールを全て検知できるわけではない

それぞれの必要性を解説します。

1.受信側もDMARCへの対応が必要

DMARCを機能させるためには、送信側だけでなく受信側のメールサービスもDMARCに対応している必要があります。デメリットとしてもお伝えした通り、DMARCを利用できないメールサービスも存在します。受信側がDMARC未対応のメールサービスを使っている場合、DMARCの機能は動作しません。

2.基本的ななりすまし対策を徹底する

DMARCの導入後も、受信者側としての基本的ななりすまし対策を継続しましょう。DMARCは、なりすましメールを全て検知できるわけではありません。SPFやDKIMが誤判定をしてしまったり、認証設定が弱すぎたりするとなりすましメールが届いてしまいます。DMARCを導入したからといって油断せず、以下のような基本的な対策が大切です。

  • 正しいメールアドレスやURLか確認する
  • 添付ファイルやURLをむやみに開かない
  • 送金や個人情報の受け渡しなど、メールによる重要な指示は本人に別途確認する

こうした対策を徹底し、ヒューマンエラーによる被害を防ぎましょう。

まとめ

DMARCとは、SPFとDKIMを補強し、電子メールの送信ドメインを認証します。なりすましメールによるフィッシング対策として有効な手段です。

従来のSPFとDKIMも送信ドメインを認証しますが、メールの正規送信側の能動的な対策には向いていませんでした。DMARCを導入すれば、メールの正規送信側から「認証失敗メールの受信拒否」が可能になります。他にも、「メールの認証結果の通知」「第三者署名の拒否」といった機能により、強固なメールセキュリティを実現できます。

DMARCは受信側と送信側のどちらにもメリットがある仕組みですので、導入を検討してみてはいかがでしょうか。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。