DMARCとは? 仕組みや導入メリット・デメリットを解説|サイバーセキュリティ.com

DMARCとは? 仕組みや導入メリット・デメリットを解説



近年、実在の企業や組織を騙る「なりすましメール」の被害が増えています。なりすましメールの標的は、個人から企業までさまざまです。万一、自社のふりをしたなりすましメールによって関係者が被害を受けると、自社の信用低下にも繋がりかねません。

メールの受信者である取引先など、自社の関係者を能動的に保護する仕組みとして「DMARC」があります。DMARCは、メールの受信側・送信側の双方のセキュリティを強化できる技術です。この記事では、DMARCの仕組みやメリット・デメリットについて詳しく解説します。

DMARCとは

DMARC (Domain-based Message Authentication Reporting and Conformance:ディーマーク) とは、電子メールの送信ドメインを認証する技術です。フィッシングやスパムなどの迷惑メール対策に用います。

受信メールに表示される送信者名は、「Header From」によって送信者が自由に設定可能です。ゆえに、攻撃者はフィッシングメールを送る際、実在の企業などの名称にHeader Fromを変更してなりすまします。DMARCはこうした「メール送信元の偽装」のほか、「内容の改ざん」も防げるため、なりすましメール対策として効果的です。

SPFとDKIM

DMARCは、「SPF(Sender Policy Framework)」と「DKIM (DomainKeys Identified Mail)」を組み合わせ、補強する仕組みです。SPFとは、送信元のIPアドレスを検証し、正規の送信者であることを認証する技術です。一方のDKIMは、電子署名を利用して送信ドメインを検証し、メール内容と送信元の改ざんを検知します。どちらもDMARCと同じく、送信ドメインを認証するシステムです。

DMARCの仕組み

SPFやDKIMの認証に失敗したメールの扱いは、受信側が決定します。つまり、受信側が「認証失敗メールも受信する」と設定していると、なりすましメールが届いてしまうわけです。なりすまされた正規の送信側からすると、自社のなりすましメールは受信拒否してほしいところです。

そこで、正規の送信側のために開発された仕組みがDMARCです。DMARCを導入することで、正規の送信側は以下3つの能動的な対策を行えます。

  1. 認証失敗メールの処理方法の指定
  2. メールの認証結果の通知
  3. 第三者署名の拒否

順番に説明します。

1.認証失敗メールの処理方法の指定

DMARCを利用すると、メール送信側は認証失敗メールの処理方法を指定可能です。自社になりすましたメールが送信されると、受信者に向けて次のいずれかの方法を宣言できます。

  • none:そのまま受信させる
  • quarantine:隔離させる
  • reject:受信を拒否する

SPFとDKIMでは受信者に委ねられていた処理方法を、DMARCでは正規の送信側が指定できるわけです。

2.メールの認証結果の通知

DMARCにより、メールの送信側はSPFとDKIMによる認証結果を把握できます。リアルタイムかつ詳細なレポートが届くため、自社の正規メールが認証失敗した際は迅速に対応可能です。また、自社になりすましたメールの存在もわかります。取引先や顧客に向けてすばやく注意喚起することで、関係者のフィッシング被害を予防できるでしょう。

3.第三者署名の拒否

DMARCは、第三者署名の拒否も可能です。通常、メール配信サービス​​のドメインを利用している場合でも、DKIMは第三者署名によって利用可能です。対するDMARCは、第三者署名を拒否します。自社が送るすべてのメールは自社ドメインとなるため、厳格な認証を実現できます。

ただし、DMARCを導入したからといって、必ずしもメール配信サービスのドメインを利用できなくなるわけではありません。メール配信サービスの送信元の設定を自社ドメインにすれば、引き続き利用できます。

DMARCのメリット・デメリット

DMARC導入による具体的なメリット・デメリットを紹介します。

メリット

DMARCは、自社の関係者のメールセキュリティを強化できます。受信側の認証設定にかかわらず、自社のなりすましメールをブロックできるためです。関係者を保護できる上、なりすましによる自社の信用低下も予防できるでしょう。また、受信側の認証結果はレポートで届きます。認証エラーやなりすましメールの割合を把握できるため、スピーディな対応が可能です。

デメリット

DMARCを導入すると、管理者の負担が増える可能性があります。認証のたびに通知が届くため、メールのやり取りが多いほど通知の量も増えます。管理状況に合わせて、適切な通知頻度への設定変更が必要です。加えて、全てのメールサービスがDMARCに対応しているわけではありません。お使いのサービスによっては、そもそも導入できない可能性があります。

DMARCの設定方法

DMARCの設定は、以下の流れで行います。

  1. DMARCを適用するドメインの利用範囲を洗い出す
  2. 適用するドメインのSPFとDKIMを設定
  3. DMARCレポートの通知頻度や受信用メールボックスを設定
  4. DMARCポリシー(「none」「quarantine」「reject」)の設定
  5. DMARCのテスト運用・修正
  6. DMARCの適用

DMARCレコードなどの設定方法は、メールサービスによって異なります。導入する際は、お使いのメールサービスに問い合わせましょう。また、DMARCはSPFとDKIMの設定も必要です。SPFとDKIMの利用状況がわからない場合、DMARCの設定と合わせてお使いのメールサービスへご確認ください。

DMARC導入の注意点

DMARCを導入する際は、以下2点に注意しましょう。

  1. 必ず動作確認する
  2. なりすましメールを全て検知できるわけではない

それぞれの必要性を解説します。

1.受信側もDMARCへの対応が必要

DMARCを機能させるためには、送信側だけでなく受信側のメールサービスもDMARCに対応している必要があります。デメリットとしてもお伝えした通り、DMARCを利用できないメールサービスも存在します。受信側がDMARC未対応のメールサービスを使っている場合、DMARCの機能は動作しません。

2.基本的ななりすまし対策を徹底する

DMARCの導入後も、受信者側としての基本的ななりすまし対策を継続しましょう。DMARCは、なりすましメールを全て検知できるわけではありません。SPFやDKIMが誤判定をしてしまったり、認証設定が弱すぎたりするとなりすましメールが届いてしまいます。DMARCを導入したからといって油断せず、以下のような基本的な対策が大切です。

  • 正しいメールアドレスやURLか確認する
  • 添付ファイルやURLをむやみに開かない
  • 送金や個人情報の受け渡しなど、メールによる重要な指示は本人に別途確認する

こうした対策を徹底し、ヒューマンエラーによる被害を防ぎましょう。

まとめ

DMARCとは、SPFとDKIMを補強し、電子メールの送信ドメインを認証します。なりすましメールによるフィッシング対策として有効な手段です。

従来のSPFとDKIMも送信ドメインを認証しますが、メールの正規送信側の能動的な対策には向いていませんでした。DMARCを導入すれば、メールの正規送信側から「認証失敗メールの受信拒否」が可能になります。他にも、「メールの認証結果の通知」「第三者署名の拒否」といった機能により、強固なメールセキュリティを実現できます。

DMARCは受信側と送信側のどちらにもメリットがある仕組みですので、導入を検討してみてはいかがでしょうか。


SNSでもご購読できます。