DMARC導入のその次へ～ARCの仕組み～

2023年DMARCの動き

昨年2023年は、日本国内のDMARCの普及を促進する動きが、想像以上のスピードで行われた1年でした。 前年までDMARCなんて知らないよ！うちにはまだ早い！要らないよ！とお考えだった方々には、まさに寝耳に水の状況となったのではないでしょうか。
ひとまずDMARCのDNS登録が済んで一段落…？ いえいえ、DMARCポリシーがp=noneでご登録されているのであれば、それは本当のなりすまし対策とは言えません。 家に着くまでが遠足、p=rejectまたはquarantineに変更するまでが、なりすまし対策となるのです。 ※ＤＭＡＲＣの仕組みについては、過去記事をご参照ください。

ARCとは

さて、今回は少し先に必要になってくる可能性が高いお話をさせていただきます。
ARCという言葉をご存知でしょうか？
すでにDMARCを導入し、運用段階に移行されてからしばらく経過している場合は、聞いたことがあるかもしれません。あるいは、実際に導入されたり、ARCの件で悩まれたことがあるという方もいらっしゃるかもしれません。

ARCはAuthenticated Received Chainの略称で、メールが途中で改ざんされていないことを確認し、メールの送信経路をトレースするための仕組みです。

DMARCポリシーを「p=reject」にした場合、受信サーバーは送信者認証が不正確な場合にメールを拒否するという動きになるのは既にご理解いただけているかと思いますが、メールの転送などによってもDMARC認証が失敗となり拒否される可能性が出てきます。

しかし、ARCが有効になっていると、メール受信サーバーはメールの経路情報を取得し、メッセージが途中で正当に変更されていないことを確認します。これにより、メールが信頼性のある経路を通ったことが示され、DMARCのポリシーに違反しているように見える場合でも、信頼できるメールとして受信できるようになります。

つまりは、DMARCポリシーがp=reject/quarantineに移行した際に発生する課題（本来受信すべきメールが拒否される）ことを解決することができる仕組みが、ARCです。

ARCの仕組み

ARC（Authenticated Received Chain）には、メールの経路情報を確認するための3つのタグがあります。これらのタグは、メッセージが送信者から受信者までの経路でどのように処理されたかを示します。

"arc"タグ:
ARCチェーンの情報が含まれるタグです。このタグはARCのメインエントリポイントであり、他のタグを含むヘッダーフィールドを指定します。

"arc-message-signature"タグ:
ARCメッセージの署名が含まれるタグです。これは、メッセージの送信者がARCチェーンに署名した証拠であり、メッセージが途中で変更されていないことを示します。

"arc-seal"タグ:
メッセージが受信者に到達する前にARCを実装したメールサーバーによって生成される署名です。これにより、メッセージが正当な経路を通ったことが確認できます。

これらのタグは、メッセージの送信者から受信者までの経路における各メールサーバーで生成および検証され、メッセージの整合性や送信者の信頼性を確保します。
ARCは、これらのタグを使用してメッセージの信頼性を向上させる仕組みです。

ARCの注意点

ARCの有効性は、各メールサーバーがARCをサポートしていることや、正確に構成されていることに依存します。
経路上のメールサーバーがARCをサポートしていない場合や、ARCの設定が不正確な場合は、この仕組みが利用できず、結局はDMARCポリシーに基づいてメールが拒否される可能性が高まります。

ご利用のメールサーバやメールサービスはARCに対応していますか？
DMARC実装が一般的になる近い将来に備えて、ご利用環境をご確認してみてはいかがでしょうか。