Skip to content

本機能のご利用について

本機能は有償プランとなります。ご契約や費用のお見積等につきましては、管理コンソール内のお問い合わせフォームよりご連絡ください。

CMC Domain Protection

CMC Domain Protection でDMARCを始めよう

CMC Domain Protection は、ISPなどのメール受信側から送られてくるDMARCレポートを受信し、その内容を見える化するサービスです。

企業では多くのシステムからメールが送信されており、送信ドメイン認証(SPFやDKIM)に対応していない場合や、設定が不適切なために認証エラーが発生する可能性があります。

CMC Domain Protection を利用することで、これらの認証エラーとなっているメールサーバーを簡単に把握し、DMARCのポリシーを適切に設定、運用することで、なりすましメール対策を講じることができます。

DMARCをはじめる

  1. 管理コンソールにログインし、画面左上の「Customers Mail Cloud▼」をクリックして「CMC Domain Protection」の画面に切り替えます。または、CMC Domain Protection管理コンソールにアクセスします。

  2. CMCで設定したログインID/パスワードを用いて CMC Domain Protection にログインします。Customers Mail Cloudで設定されているアカウントの権限、二要素認証設定を継承します。(CMC Domain Protectionは全てのユーザ権限にてご利用いただけますが、レポート閲覧者/経理担当者はDMARC設定の登録・編集・削除操作は行うことができません。)

  3. 「DMARC設定」タブを開き、送信ドメイン(※)を登録して、DMARCレコードを生成します。

  4. 生成したDMARCレコードを、DNSへ公開します。

  5. DMARCレコードをDNSへ登録すると、送信先からレポートメールが CMC Domain Protection へ送られてきます。レポートメールの解析結果は、ダッシュボードおよびサマリーで閲覧することができます。

(※)送信ドメインとは、メールのヘッダFromドメインを示します。 subdomain.hennge.com のようなサブドメインを送信ドメインに利用中の場合、このドメインの組織ドメイン hennge.com にDMARCが設定されていれば、同一のDMARCポリシーがサブドメインへも継承されます。

なりすましメールとは?

ショッピングサイトや予約サイト、SNSなど様々なウェブサービスが、お客様とコミュニケーションをとる手段として、現在でも電子メールは重要な役割を持ちます。

しかし一方で、IDやパスワードなどの個人情報を搾取するサイトへ誘導するフィッシングメールや、ウイルスの実行を試みる迷惑メールなどが世界中に送信されています。これらは、メール送信者を示す Fromアドレス を特定の企業やブランドのドメインに「なりすます」ことで、メール受信者を信用させようとします。

なりすまされた企業やブランドは、このような不審メールの問い合わせへの対応などの被害が想定されます。では、どのようにして「なりすまし」メールから企業やブランドを守れば良いのでしょうか?

DMARCで「なりすまし」を防ぐ

電子メールの仕組みでは、メール送信者を示す Fromアドレス を自由に設定することができます。このため、「なりすまし」は容易に行うことができますが、送信ドメイン認証技術である DKIMSPF の普及により、Fromアドレスのドメインを所有する送信者が送信したメールであるか否かを、ISPなどのメール受信サーバーが判断できるようになりました。

DMARC (Domain-based Message Authentication, Reporting & Conformance) は、送信ドメイン認証技術であるDKIMとSPFを利用して、メールの送信者がそのドメインの正当な所有者であるかどうかを受信側が判断できるようにする仕組みです。さらに、DMARCでは、認証に失敗したメールをどのように取り扱うべきかというポリシーを送信側が受信側に伝えることができます。受信側はこのポリシーを参照し、認証結果と照らし合わせてメールを処理することで、なりすましメールやフィッシング詐欺などの不正なメールが受信者の受信箱に届くのを抑制し、ドメインの信頼性を高めることが可能になります。

DMARCレコードの例

example.com というドメインに対して設定する場合、DMARCは _dmarc.example.com に対してTXTレコードを設定します。設定する内容は、たとえば以下のようになります。

DMARCレコードの例

"v=DMARC1; p=none; pct=100; adkim=r; aspf=r; rua=mailto:dmarc-ra@example.com; ruf=mailto:dmarc-ra@example.com"

TXTレコード内のパラメータの詳細については、「DMARCレコードを生成する」を参照ください。

ポリシー

メール送信者が、送信ドメイン認証に失敗したメールどのように取り扱うべきかを、3つのポリシーのいずれかで宣言することができます。

ISPなどDMARCに対応したメール受信者は、メール送信者が宣言したポリシーに従って、認証に失敗したメールを処理します。

  • none: 何もしない(レポート受信のみ。DMARCの認証結果にかかわらずメールは受信される)
  • quarantine: 隔離する(迷惑メールフォルダに入れる)
  • reject: 受信しない(メールの受信を拒否する)

レポート

メール送信者は、メール受信者から2種類のレポートを受信することができます。

rua

ドメインのDKIM/SPF/DMARCの認証結果に関する集約レポートを受け取るメールアドレスを記述します。送信ドメイン、送信IP ごとに受信したメール数と認証結果のサマリーがレポートされます。

ruf

認証が失敗した場合、送信メールごとにリアルタイムにレポートが発生します。この失敗レポートを受信するためのメールアドレスを記述します。このレポートには送信IPや送信ドメイン、件名、メッセージIDなど認証に失敗したメールを調査するために必要な情報が含まれます。フォレンジックレポートとも呼ばれます。

ruf の対応について

一般的なISPは ruf パラメータをサポートしていません。また、ruf で戻るレポートメールには個人情報を含む配信メールの内容が引用される可能性があるため、個人情報保護の観点から CMC Domain Protection では ruf レポート非対応となります。

DMARCは、ポリシーに「quarantine」または「reject」を宣言することで、送信ドメイン認証に失敗したメール、つまり、「なりすまし」メールがメールボックスに届かなくなるという強制力のある仕組みを提供します。

しかし、自身が送信するメール自体が送信ドメイン認証に失敗した場合も、なりすましメールと同様に処理されてしまいます。したがって、自身が送信するメールの送信ドメイン認証をモニタリングすることが重要です。