専門家が解説！DMARCの重要性

この記事は Ask the Expert: Marcel Vinson, Sales Director, Valimail の抄訳です。

ドメインが不正利用されるのを防ぐにはどうすればよいか？DMARCが果たす役割とは？これらを正しく理解している人は、実は多くありません。メール配信にまつわる誤解を解き、ドメインを適切に管理するには、専門家から学ぶことが最適です。

今回は、Valimailでセールスディレクターを務めるMarcel Vinson氏に話を伺いました。Marcel氏は10年以上にわたり、サイバーセキュリティやメールセキュリティの分野で活躍されています。Marcel氏によれば、DMARCは将来的に確実にすべての送信者に採用される認証技術である、とのことです。

それでは本題に移りましょう。

Q&A: メールセキュリティの専門家に聞いてみよう

Q: ValiMailでの業務について教えてください

A: 私は、Valimailで中堅企業向けのセールスディレクターを3年間務めています。
この2年ほどの間に、多くの企業がDMARCの導入に動き出すのを目の当たりにしてきました。現在では、米国企業の64%程度がDMARCを導入しています。

DMARCはいまや「導入が望ましい」ものではありません。自社ブランドの信頼度向上や、自社ドメインの不正利用防止に真剣に取り組む企業にとって「必要不可欠」なものです。

Q: 悪意のある送信者はどのようにドメインをなりすますのでしょうか？

A: メールは、特定のソフトウェアによってテキストやその他のデータを宛先に送信する仕組みに過ぎません。そのソフトウェアが悪意のある送信者によってコントロールされると、他者のドメインになりすましたメッセージやあらゆるコンテンツを送信できてしまうのです。

メールはオープンなプロトコルであり、仕組み上、メールの正当性を受信側で正確に判定させることはできません。そのため、メールが確かに自分から送信されたものであると証明し、自身のドメインを保護する仕組みが必要となりました。そこで登場するのが、SPF、DKIM、DMARCのようなメール認証プロトコルや、Valimailのようなソリューションです。

Q: DMARCポリシー設定のメリットを教えてください

A: DMARCポリシーを設定する（＝DMARCエンフォースメントを達成する）と、ドメイン所有者が許可したメールのみを受信トレイに届けるよう、受信サーバに指示できるようになります。具体的には、DMARCレコード内のpタグに「p=reject」と設定することで、認証に失敗したメールを全て拒否したり、「p=quarantine」と設定することで、メールを迷惑メールフォルダなどに隔離したりするよう指示できるのです。

DMARCポリシーの設定には、以下のメリットもあります。

• ドメインから送られたすべてのメールを可視化できる
  • 自身のドメインが利用されたすべてのメールを特定することで、ドメインのブランドとレピュテーションを保護できます。
  • フィッシング攻撃の89%を防ぐことができます。
• 受信トレイへの到達率を高める
  • 正当なメールが迷惑メールフォルダに振り分けられるのを減らすことができます。

結果として、できる限りの対策を講じたという安心感を得ることができます。

Q: 自身のドメイン(example.com)のDMARCにより、類似ドメイン(exampleemail.com)を使ったなりすましは防げますか？

A: 残念ながら、DMARCの認証プロトコルでこのようななりすましを防ぐことはできません。

ドメイン所有者があらゆる類似ドメインをすべて取得し、それぞれのドメインでDMARCレコードを公開すれば、この問題に対応することができます。しかし、これはスケーラブルな解決方法ではありません。効果的なアンチスパムとフィルタリング機能を受信サーバが導入するのが最も早い解決方法です。
詳細はValimailのブログをご参照ください。

Q: DMARCに関するよくある誤解について教えてください

A: 最も一般的な誤解は「DMARCを設定する必要はない」というものです。以下は、その誤解の例です。

• 受信サーバがセキュアメールゲートウェイ（SEG）を導入しているので、送信側がDMARCを設定する必要はない。
  • DMARCとSEGはいずれも、配信されるメールが受信者にとって安全であることを保証するものです。しかし、目的は同じですが、そのアプローチは全く異なります。SEGがコンテンツに基づいてメッセージをフィルタリングするのに対し、DMARCは送信者の認証と検証を行います。したがって、SEGを導入済みであるからといって、DMARCが不要であるという認識は誤りです。
• DMARCポリシーを「p=none」で設定しているので、DMARCエンフォースメントは達成できている。
  • この誤解は致命的です。p=noneの設定では、認証やアライメントに失敗したメールに対して受信側に何のアクションも要求していません。これは、家を守るために堅牢な鍵を設置しておきながら、無施錠にしているのと同じ状態です。これでは悪意のある送信者からなりすましを防ぐことはできません。

Q: DMARCレポートにはどのような情報が含まれていますか？

A: DMARCレポート（RUAレポート）には、送信元IPアドレスや認証結果などの情報が含まれています。

Q: DMARCレコードのうち、重要な要素とその役割を教えてください

A: 以下の3つは認識しておいた方が良いでしょう。

• Policy：DMARCポリシーです。設定できるポリシーには「none」「quarantine」「reject」の3種類があり、認証に失敗したメールをどのように扱うべきか受信サーバに指示することができます。
  • none：何もしない。
  • quarantine：迷惑メールフォルダなどに隔離する。
  • reject：無条件に拒否する。
• PCT：DMARCポリシーを適用するメールの割合です。たとえば、PCTを50とし、Policyにquarantineを指定した場合、DMARC認証に失敗したメールの50%が隔離されます。
• RUA：受信サーバから提供されるDMARCレポート（RUAレポート）の送付先です。

Q: RUAレポートとRUFレポートで取得できるデータの違いについて教えてください

A:

• RUAレポート：受信サーバの認証結果などを集計した情報が記載されています。
• RUFレポート：DMARC認証に失敗した個々のメールについての包括的なデータが記載されています。ただし、個人情報を含む可能性があるため、Valimailでは収集していません。

Q: DMARCを効果的に活用するためには、なぜドメインの利用状況の可視化が特に重要なのでしょうか？

A: DMARCエンフォースメントの達成には、自身のドメインが悪意のある送信者にどの程度利用されているのかといった状況を把握することが必要不可欠なためです。

Valimailでは、ドメインの可視化機能を無料で提供しています。同一のDMARCレポートをインプットにすれば、当然どのDMARCベンダーで可視化しても結果は同じであり、メールプロバイダが無料で生成した情報に対価をもらうべきではないと我々は考えているためです。

Q: DMARCにおいてドメインアライメントはどのような役割を果たしますか？

A: ドメインアライメントは、「送信ドメイン認証（SPF/DKIM）」されたドメインがヘッダFromアドレスと一致することを検証する機能です。送信ドメイン認証とドメインアライメントにより、なりすましからドメインを保護することが可能です。

Q: ValimailにはSPF/DKIM/DMARCレコードの管理を自動化する機能があります。これはどのような機能なのでしょうか？

A: 送信ドメイン認証のためのDNSレコードの設定や管理はとても煩雑で面倒なので、それをValimailが代わりに担う機能です。SPF/DKIM/DMARCレコードをValimailに向けるだけで、そこから先は全てValimailが自動的に管理するため、DNSを触る必要も一切なくなります。

Q: メール送信に複数のサブドメインを利用する企業が、DMARC導入で注意すべき点は何でしょうか？

A: DMARC導入にあたって設定が必須であるSPFレコードには、ルックアップ制限（10回）というものがあります。
利用しているすべてのサードパーティサービスをSPFレコードに追加していくと、制限に案外容易に到達してしまうため、多くの企業はサブドメインを利用することで対処しがちです。
しかし、メール送信に用いているサブドメインに加え、対処のために作成されたサブドメインすべてに対し、SPFレコードを手作業で追加していくのは容易ではありません。
結果として、DMARC導入プロセスは複雑になってしまうのです。

Valimailでは特許取得済みの技術により、SPFのルックアップ制限を意識することなくSPFレコードにサードパーティサービスのドメインを追加することができます。不要なサブドメインを作成する必要はなくなり、DMARCの導入ハードルを大きく下げることができるのです。

Q: なぜ多くの企業がDMARCエンフォースメントの達成に苦労しているのでしょうか？

A: DMARCの仕組み自体がそもそも複雑なためです。また、DMARC導入にあたり、自社で利用しているすべてのサードパーティサービスについて、SPFの設定が必要なことも原因のひとつです。それまでDMARC導入の担当者が把握していなかったサードパーティサービスが次々と出てくると、SPFのルックアップ上限を超えてしまい、結果としてDMARC導入の妨げになることがあります。

Q: 一度DMARCエンフォースメントを達成した企業は、その後もDMARCレポートの監視を続けるべきなのでしょうか？

A: 一概には言えませんが、DMARCエンフォースメントを達成した後もDMARCモニタリングを続けるのが望ましいと考えています。モニタリングすることでメールの到達性や認証などに問題があるか否かを知ることができ、結果として、送信メールやデータ、ブランドをより徹底して保護することができます。

Q: BIMIの導入メリットと、DMARCとの関連性について教えてください

A: BIMIは、DMARCをベースとした視覚的な認証手段です。BIMIの導入のためにはDMARCの設定が必須であるため、BIMIを設定したいがためにDMARCエンフォースメントが達成されるケースも多くあるでしょう。

BIMIの導入には以下のメリットがあります。

• 顧客へのより豊かな受信体験の提供
• ブランドの視覚的な差別化
• エンゲージメント向上
• ブランド・アイデンティティの強調

DMARCを導入することで、メールの到達率が10%向上するという研究結果があります。DMARCの10%の到達率向上とBIMIの10%の開封率向上を組み合わせれば、相乗効果が得られるのです。BIMIにより、あなたのメールを正しく受信トレイに配置し、顧客と密につながることができるようになります。

Q: 現在、どの受信ボックスプロバイダがBIMIをサポートしていますか？

A: 既にGoogleがGmailでサポートを開始しており、世界中のおよそ20億の受信トレイで認証ロゴが表示されるようになりました。また、AppleもYahoo!、Fastmail、La Posteに追従し、BIMIに準拠しています。

AppleがBIMIのサポートを開始したことは、エコシステムの成長にとって極めて重要であり、近い将来、他のメールボックス・プロバイダがBIMIを実装するインセンティブを高めると考えています。

Q: BIMIを有効にするために、企業はどのようなプロセスを経なければならないのでしょうか？

A: BIMIを導入するためには、まず、自社の主要ドメインに対しSPF/DKIM/DMARCを設定し、DMARCポリシーを決める必要があります。BIMIの主な利点は受信トレイにブランドロゴを表示させることであるため、適正なサイズと形状のベクター形式のロゴも準備しましょう。

多くのメールボックスプロバイダでは、商標ロゴと、DigiCertやEntrustのような認証局からのVerified Mark Certificate（VMC：認証マーク証明書）も必要となることに注意してください。

最後にDNSサーバにBIMIレコードを登録すれば、BIMIに対応しているすべてのメールボックスプロバイダの受信トレイにブランドロゴが表示されるようになります。

Q: BIMIグループがVMCの取得コスト削減に取り組んでいるという話は事実でしょうか？

A: BIMIグループはDigicertやEntrustのような認証局によって管理されているため、VMCの価格をコントロールすることはできません。しかしBIMIの普及のため、ブランドロゴを商標登録しなくともVMCが取得できるよう、Gmailのようなメールプロバイダと協議を続けています。

おわりに

今回はMarcel氏にドメインの不正利用を防ぐ方法、特にDMARC導入の重要性について語っていただきました。メールセキュリティの改善やブランドの信頼度向上にDMARCやBIMIは非常に効果的です。この機会にぜひ設定をご検討ください。

Twilio SendGridのメール・エキスパートたちはあなたのメールマーケティングを後押しします。まずは無料で始めてみませんか？