4. DMARC の挙動・レポートを確認する

DMARC の挙動を確認する

DMARC の設定が出来たら、次は動作確認です。一番簡単な方法は、弊社のテストアドレスにメールを送信しして頂くことですが、より一般的にどう扱われるかを確認する意味で、DMARC をサポートしている大手のメールサイト、Gmail や outlook.com また、大手 ISP のメールアドレスにメールを送信するという方法もあります。大手 ISP とメール送信事業者の対応状況は、『大手 ISP での取り組み』『メール送信事業者リスト』にまとめてありますので、ご覧ください。

試験メールをGoogleやOutlook.comに送るの図

そうして送ったメールを受信した側で、メールのソースを確認して Authentication-Results ヘッダの値を調べます。メールのソースを表示して、次の図は Gmail での例ですが、赤丸したところクリックします。

そしてヘッダの部分を調べます。
たとえば次の例のように、Authentication-Results: ヘッダの dkim=,spf=,dmarc= という所がそれぞれ pass になっていれば成功です。

成功して万歳の図

DMARC レポートを分析する

もう一つの確認として DMARC レポートの分析があります。DMARC をサポートしている大手のメールサイト、Gmail や outlook.com また、大手 ISP のメールアドレスにメールを送信した場合、その認証結果をまとめた DMARC レポートが翌日フィードバックされます。自社でメールサーバーを管理しているケースでは、それらのメールサーバー別での DMARC 認証結果の分布をチェックしたり、不審なメールサーバーからの送信がないかをチェックするために利用します。

実際に DMARC レポートを効果的に活用するためには、専用の分析ツールを積極的に利用するとよいでしょう。

企業名 DMARC 分析サービス
株式会社TwoFive DMARC/25:https://www.dmarc25.jp/
Proofpoint Email Fraud Defense:https://www.proofpoint.com/jp/products/email-protection/email-fraud-defense
Cyxtera AppGate DMARC Compass Explorer:https://www.easysol.net/jp/resources/dmarc-explorer

DMARC ポリシーの見直しをする

自身が管理するドメインが、勝手に利用されてなりすましメールを送らせないようにするためには、DMARC の導入が必要です。送信ドメイン認証技術のDMARC は、メールを受け取る時になりすましメールかどうかを判断できますが、そのためには、メールの送信側、ドメインを管理する側が自身が管理するドメインに DMARC (ポリシー) レコードを設定する必要があります。DMARC レコードと言っていますが、DNS に対して新しい機能を組み込む必要はなく、既に一般的に利用されているテキスト資源レコード (TXTRR) を利用して DMARC レコードを設定します。

この DMARC レコードで重要な役割は、認証が失敗した場合、つまりなりすましメールと判断された場合に受信側に求める処理方法を、ドメインの管理側がポリシーとして指定することです。このポリシーには3つのレベルがあり、もっとも強いポリシーとしては受信拒否 (reject) があります。

イラスト/saku/policy_type.pdf

現在のメールの利用方法は、単なるメッセージの交換という目的だけではなく、顧客等に対する定期的なメールマガジンの送信や、メールアドレスを利用者識別情報 (ID) として登録した場合の到達確認手段、何らかの緊急時の連絡手段など様々な場面で利用されています。そのため、あるドメインを送信者として送られるメールは、実際様々なメールサーバ (出口) から送信されている場合があります。DMARC が正当なメールを正しく認証できるようにするためには、これら様々な出口に対して、まず SPF と DKIM を導入していく必要があります。そのため、管理しているドメインに DMARC レコードを設定するためには、そのドメインを利用しているメールがどこから送信されているのか、それらが SPF と DKIM にどこまで対応しているのかを把握する必要があります。