近年電子メールに関連したリスクは巧妙化・多様化
しており、
ネットワーク管理者の悩みは尽きることが
ありません。
メッセージングセキュリティソリューション「Proofpoint」
は高い検知率と柔軟なポリシー設定、管理の容易さで、
企業インフラを防御します。
昨今急速に送信ドメイン認証技術であるDMARCの導入が加速する動きがあります。「うちの会社はDMARCを導入しているのだろうか」「他社のDMARCの導入状況はどうなっているのだろう」このようなことが気になったことはないでしょうか。 DMARCは設定上DNSにDMARCレコードを登録する必要があるため、実は誰でもDMARCの登録状況を確認することができます。
実際にPowerShellを使用して、DMARCの登録状況を確認してみました。
PowerShellにて下記nslookupコマンドを実行します。
$ nslookup -type=txt _dmarc.【確認したいドメイン名】
DMARCレコードが登録されていることを確認できました。
Proofpoint社のDMARCチェックツールはこちらをご確認ください。
先ほどDMARCの登録状況を確認しましたが、出力されたDMARCレコードの記載内容について読み取っていきます。
v=DMARC1:バージョン番号(現状はDMARC1のみ)
p=none:DMARCポリシー(noneは監視のみの設定)
fo=1:いずれかの認証が失敗した場合に失敗レポートを生成
rua=~:RUAレポート(集計レポート)の送付先アドレス
ruf=~:RUFレポート(失敗レポート)の送付先アドレス
DMARCレコードの中で特に重要なのが、DMARCポリシーです。
DMARCポリシーの設定によって、ドメインの所有者が受信者に届くなりすましメールの処理をコントロールすることができます。
また、DMARCレポート(RUAレポートおよびRUFレポート)は複数のメールアドレスに送信することも可能です。
rua、rufタグにカンマを記載し、続けてメールアドレスを記載します。
例:RUAレポートを複数のアドレスに送信する場合の記載方法
「rua=mailto:[1つ目の送信先アドレス]、mailto:[2つ目の送信先アドレス]」
RUAレポートとRUFレポートの違いについては次の項で説明します。
RUA(Reporting URI for aggregate data)レポートとは、集計レポート、もしくは集約レポートと呼ばれるより一般的なDMARCレポートの一種です。受信者側のドメイン認証の結果を集計し、ほとんどすべてのドメイン所有者にXMLファイル形式で送信されます。
意外にも、RUAレポートには個々の電子メールに関する情報はあまり含まれていません。中身は次のようなラインナップになっています。
毎日生成、送信されるためにデータ量が大量かつ、XMLファイル形式であるため、解析のハードルはかなり高そうです。
RUF(Reporting URI for failure data)レポートとは、失敗レポート、もしくはフォレンジックレポートと呼ばれるDMARCレポートの一種です。受信者側のドメイン認証が失敗するとリアルタイムで生成され、ドメイン所有者に送信されます。
RUAレポートと違い、RUFレポートは認証に失敗した個々のメールについて、より詳細な情報が含まれています。そのため、問題修正に必要な情報をさらに詳しく調べることができる一方で、プライバシー保護の観点から収集を行わないプロバイダーも少なくないようです。 中身は次のようなラインナップになっています。
認証が失敗するごとに即時レポートが送信されるため、RUAレポートよりさらに膨大な量になる恐れがあります。まずはRUAレポートを専門のツールなどを利用して解析し、ある程度準備を整えてから、RUFレポートの受信を検討するのもよさそうです。
普段利用しているドメインにDMARC認証が導入されているかどうか、調べるのは想像以上に簡単です。ぜひ一度確認してみてくださいね。
これからDMARC導入を考えている方は、こちらの資料も参照してみてください。DMARC導入製品のProofpoint EFDについてより詳細な説明を含んでいます。
また、DKIM導入でお悩みの方は、こちらの資料もぜひご覧ください!