HDE DMARC Monitor

なりすましメールとは？

ショッピングサイトや予約サイト、SNSなど様々なウェブサービスが、お客様とコミュニケーションをとる手段として、現在でも電子メールは重要な役割を持ちます。

しかし一方で、IDやパスワードなどの個人情報を搾取するサイトへ誘導するフィッシングメールや、ウイルスの実行を試みる迷惑メールなどが世界中に送信されています。これらは、メール送信者を示す Fromアドレスを特定の企業やブランドのドメインに「なりすます」ことで、メール受信者を信用させようとします。

なりすまされた企業やブランドは、このような不審メールの問い合わせへの対応などの被害が想定されます。では、どのようにして「なりすまし」メールから企業やブランドを守れば良いのでしょうか？

DMARCで「なりすまし」を防ぐ

電子メールの仕組みでは、メール送信者を示す Fromアドレスを自由に設定することができます。このため、「なりすまし」は容易に行うことができますが、送信ドメイン認証技術である DKIM、SPF の普及により、Fromアドレスのドメインを所有する送信者が送信したメールであるか否かを、ISPなどのメール受信サーバーが判断できるようになりました。

DMARCは、この送信ドメイン認証（DKIMとSPF）を利用して、メール送信者にポリシーと、レポートの仕組みを提供します。

ポリシー

メール送信者が、送信ドメイン認証に失敗したメールどのように取り扱うべきかを、3つのポリシーのいずれかで宣言することができます。

ISPなどDMARCに対応したメール受信者は、メール送信者が宣言したポリシーに従って、認証に失敗したメールを処理します。

none : 何もしない。
quarantine : 隔離する（迷惑メールフォルダに入れる）。
reject : 受信しない（SMTPエラーとする）。

レポート

メール送信者は、メール受信者から2種類のレポートを受信することができます。

Aggregate Reports : 送信ドメイン、送信IP ごとに受信したメール数と認証結果のサマリーをレポートします。
Failure Reports : 認証が失敗した場合、送信メールごとにリアルタイムにレポートが発生します。

このレポートには送信IPや送信ドメイン、件名、メッセージIDなど認証に失敗したメールを調査するために必要な情報が含まれます。

DMARCは、ポリシーに「quarantine」または「reject」を宣言することで、送信ドメイン認証に失敗したメール、つまり、「なりすまし」メールがメールボックスに届かなくなるという強制力のある仕組みを提供します。

しかし、自身が送信するメール自体が送信ドメイン認証に失敗した場合も、なりすましメールと同様に処理されてしまいます。したがって、自身が送信するメールの送信ドメイン認証をモニタリングすることが重要です。

DMARCを始めよう

HDE DMARC Monitor は、ISPからDMARCレポートを受信し、可視化するサービスです。

企業ドメインでは複数のシステムからメールを送信していることが考えられ、送信ドメイン認証に未対応のシステムがあったり、DKIMやSPFが適切に公開されていないなどを理由とした認証エラーが発生するリスクがあります。

HDE DMARC Monitor では可視化したレポートから、DMARCの送信ドメイン認証に対応できていないメールサーバーを容易に検知することができ、ポリシーに「quarantine」または「reject」を宣言できるかを判断することができます。

また、自身の送信ドメインになりすましたメールを送信している不正なサーバーのIPアドレスや、WHOISの情報を簡単に参照することができるため、なりすましメールの発生を検知し、対処することができます。