DMARCの失敗
DMARCが失敗する原因を特定するのは複雑です。典型的な理由とその要因について説明し、より迅速に問題を解決できるようにします。
DMARCアライメントの失敗
DMARCは、ドメインアライメントを使用してメールを認証します。つまり、DMARCは、Fromアドレス(可視ヘッダー)に記載されているドメインが本物かどうかを、非表示のReturn-pathヘッダー(SPFの場合)およびDKIM署名ヘッダー(DKIMの場合)に記載されているドメインと照合することで検証します。どちらかが一致すれば、メールはDMARCを通過し、一致しなければDMARCは失敗します。
したがって、DMARCに失敗している場合、ドメインがずれている可能性があります。つまり、SPFやDKIMの識別子が一致しておらず、メールが不正な送信元から送信されているように見えるのです。しかし、これはDMARCが失敗する理由の一つに過ぎません。
DMARCアライメントモード
プロトコルのアライメントモードもDMARCの合否に大きく影響します。
SPF認証は、以下のアライメント・モードから選択できます。
- Relaxed: Return-pathヘッダーのドメインとFromヘッダーのドメインが単に組織的に一致するだけでも、SPFがパスすることを意味します。
- Strict: Return-pathヘッダーのドメインとFromヘッダーのドメインが完全に一致する場合にのみ、SPFが通過することを意味します。
DKIM認証は、以下のアライメント・モードから選択できます。
- Relaxed: DKIM署名のドメインとFromヘッダーのドメインが単に組織的に一致する場合であっても、DKIMがパスすることを意味します。
- Strict: DKIM署名のドメインとFromヘッダーのドメインが完全に一致する場合にのみ、DKIMがパスすることを意味します。
電子メールがDMARC認証を通過するためには、SPFまたはDKIMのいずれかが一致する必要があることに注意してください。
DKIMシグネチャを設定しない
DMARCが失敗する可能性のある非常に一般的なケースは、ドメインのDKIM署名を指定していないことです。このような場合、メール交換サービスプロバイダは、Fromヘッダのドメインと一致しない送信メールにデフォルトのDKIM署名を割り当てます。受信側のMTAは2つのドメインの整合に失敗するため、DKIMとDMARCはメッセージに対して失敗します(メッセージがSPFとDKIMの両方に対して整合されている場合)。
DNSに送信元を追加しない
ドメインにDMARCを設定すると、受信側のMTAはDNSクエリを実行して送信元を認証することに注意することが重要です。つまり、ドメインのDNSに認証された送信元をすべてリストアップしていない限り、リストアップされていない送信元については、受信者がDNSでその送信元を見つけることができないため、メールはDMARCに失敗することになります。したがって、正規のメールが常に配信されるようにするには、ドメインの代わりにメールを送信することを許可されているサードパーティのメールベンダーをすべてDNSに登録する必要があります。
メール転送の場合
メール転送の際、メールは最終的に受信サーバに配信される前に中間サーバを通過します。メールの転送中、中間サーバのIPアドレスが送信サーバのIPアドレスと一致しないため、SPFチェックは失敗し、この新しいIPアドレスは通常、元のサーバーのSPFレコードに含まれません。逆に、仲介サーバまたは転送エンティティがメッセージのコンテンツに特定の変更を加えない限り、メールの転送は通常DKIMメール認証に影響を与えません。
もし送信元がDKIMに依存せず、SPFのみで認証している場合、転送されたメールはDMARC認証の際に不正とみなされます。この問題を解決するには、DMARC認証に合格するためには、メールがSPFまたはDKIM認証とアライメントに合格する必要があるため、SPFとDKIMの両方に対してすべての送信メッセージをアライメントおよび認証することによって、組織でDMARCコンプライアンスを完全に選択する必要があります。
あなたのドメインがなりすまされている
DMARC、SPF、DKIMプロトコルがドメインに対して適切に設定され、ポリシーが実施され、有効なエラーフリーレコードがあり、問題が上記のケースのいずれでもない場合、DMARCが失敗する最も可能性の高い理由は、ドメインがなりすまされているか、偽造されていることです。これは、なりすましや脅威行為者が、悪意のあるIPアドレスを使用して、あなたのドメインから送信されているように見えるメールを送信しようとすることです。
DMARCが拒否ポリシーで実装されている場合、DMARCは失敗し、なりすましメールは受信者の受信箱に届きません。したがって、ドメインスプーフィングは、ほとんどの場合DMARCが失敗する理由の答えとなります。
サードパーティのメールボックス・プロバイダでDMARCが失敗する理由 (Gmail, Mailchimp, Sendgrid, etc)
外部のメールボックス・プロバイダにメール送信を代行してもらう場合は、DMARC、SPF、DKIMのいずれかを有効にする必要があります。DMARC、SPF、DKIMを有効にするには、プロバイダに連絡して実装を代行してもらうか、お客様自身で手動でプロトコルを有効にする必要があります。これを行うには、それぞれのプラットフォームでホストされているアカウントポータルに(管理者として)アクセスする必要があります。
GmailのメッセージがDMARCに失敗している場合は、ドメインのSPFレコードにカーソルを合わせて、_spf.google.comが含まれているか確認してください。そうでない場合、受信サーバーがGmailを送信元として認識できない原因になっている可能性があります。MailchimpやSendgridなどから送信されたメールも同様です。
DMARCの失敗を修正するには
#ステップ 1: ポリシーがない場合、DMARC (RUA) アグリゲートレポートでドメインを監視し、受信メールと送信メールに目を光らせることから始めることができます。
#ステップ 2: その後、最終的にドメインのなりすましやフィッシング攻撃に対する耐性を獲得するための、強制的なポリシーへの移行をサポートします。
#ステップ 3: PowerDMARCの脅威インテリジェンスエンジンの助けを借りて、悪意のあるIPアドレスをテイクダウンし、PowerDMARCプラットフォームから直接報告することで、将来のなりすまし攻撃を回避することができます。
#ステップ 4: DMARC (RUF)フォレンジックレポートを有効にすることで、DMARCに失敗したメールに関する詳細な情報を得ることができ、問題の根本的な解決と迅速な解決が可能になります。