DMARCを使いこなせ 導入メリットと実践ポイントを徹底解説：メールが届かない時代の始まり（2/2 ページ）

[菱沼憲司，株式会社リンク]

DMARCレポートを分析する際に注意すべき3つのポイント

　DMARCレポートを可視化したものの、ダッシュボードで何に着目し、何から対応していくべきかよく分からない………という悩みが生じるかもしれません。分析する際には幾つかのポイントに注目することで、対応が必要になる環境の特定や対応の優先順位付けが容易になります。

1．認証が失敗している環境はどこか

　認証が失敗している環境を特定することは、最初の重要なステップです。以下の点に注目して分析を実施しましょう。

• 送信元IPアドレス：　認証失敗が頻発しているIPアドレスを特定し、それが自社で利用しているIPアドレスかどうかを確認します。身に覚えのない海外のIPアドレスなどの場合は、なりすまし電子メールが送信されている可能性が高いといえるでしょう。DMARCレポートと自社の送信元IPアドレスを照合し、不明なIPアドレスを調査する作業は非常に手間がかかるため、DMARCレポート分析ツールに送信元IPアドレスを管理する機能があれば負担を大幅に軽減できるでしょう
• 逆引きドメイン：　逆引きドメインの確認も送信環境の特定に役立ちます。DMARCレポート自体には記載されていませんが、送信元IPアドレスからDNSを逆引きすることで調べることができます。DMARCレポート分析ツールによっては、送信元IPアドレスの逆引きドメインを自動的に表示する機能が備わっています

2．認証失敗になっている原因は何か

　認証失敗の原因を特定することで、具体的な対策を講じられます。DMARC認証がエラーとなる要因は以下の4つが挙げられます。

1. SPFの認証失敗：　SPF認証が失敗する原因としては、主に「SPFレコードが設定されていない」「SPFレコードの記述方法に誤りがある」「SPFレコードに該当のIPアドレスが含まれていない」の3つが考えられます
2. DKIMの認証失敗：　DKIM認証が失敗する原因としては、主に「DKIM署名がない」「DKIMレコードの記述方法に誤りがある」「電子メールの配送経路の途中で電子メールデータが変更されている」の3つが考えられます。このケースでは、DKIM署名やDKIMレコード、秘密鍵と公開鍵の設定を確認し、正しい署名が適用されるように修正します。また、電子メールゲートウェイサービスによる添付ファイルの変更やスパムチェックなどの影響で、意図せず電子メールデータが変更されてしまいDKIM認証に失敗するケースもあります。その場合はどこでDKIMが失敗してしまっているのか確認した上で、DKIM署名をゲートウェイ側で対応したり、ARC（Authenticated Received Chain）に対応したりするなど、対応を検討する必要があります
3. SPFアライメント（DMARC SPF）の失敗：　SPFアライメントとは、エンベロープFrom（＝Return-Path）とヘッダFromのドメインが一致しているかどうかをチェックするものです。SPFアライメントを成功させるためにはヘッダFromのドメインにエンベロープFromを一致させる必要がありますが、クラウドサービスを利用している場合、エンベロープFromを変更できないケースがあります。どうしてもエンベロープFromを変更できない場合は、SPFアライメントではなくDKIM認証とDKIMアライメントを合格させることで対処しましょう
4. DKIMアライメントの失敗：　DKIMアライメントとは、DKIM署名の“d=”で指定したドメインとヘッダFromのドメインが一致しているかどうかをチェックするものです。DKIMアライメントを成功させるためには、ヘッダFromのドメインでDKIM署名を実施する必要があります。ただし、こちらもクラウドサービスを利用している場合はDKIM署名が第三者署名（ヘッダFromとは異なるドメインで署名を実施するもの）になっているケースが多くあります。ヘッダFromのドメインで署名を実施する設定への変更が可能かどうか、クラウドサービス事業者に確認してみてください

3．対応の優先順位が高い環境はどこか

　限られたリソースで効率的に対処していくためには、対応の優先順位を付けることが重要です。以下に注目して優先順位を検討しましょう。

• 高頻度の認証失敗：　まず認証失敗が頻発している環境を優先的に対応する必要があります。特にそれが自社で管理・利用しているIPアドレスであることが確実な場合、正規の電子メールであるにもかかわらず認証に失敗してしまっているため、到達率の改善のためにも優先して対処したいところです。高頻度の認証失敗が生じているものの、該当の送信元IPアドレスの環境を把握できていない場合は、まずそのIPアドレスが自社で利用しているものなのか調査を優先するようにしましょう
• ビジネスクリティカルな送信元：　ビジネスにとって重要な電子メールが認証に失敗している場合、その環境に対する対応を優先します。例えば、顧客への重要な通知電子メールを送信している環境や、取引先との重要なコミュニケーションに使用される環境などです
• 不明な送信元：　調査の結果、自社で利用しているIPアドレスではなく、なりすまし電子メールを送信している可能性が高い環境が見つかった場合、DMARCポリシーの強化を迅速に進めるべきです。自社の正規の電子メール送信環境全てが認証に合格していることを確認した上で、DMARCポリシーを「quarantine」や「reject」に引き上げることで、不正ななりすまし電子メールの送信を防止できます

電子メール送信とDMARCの未来

　今後、電子メール送信の安全性と信頼性を高めるために、DMARCはますます重要な役割を果たすでしょう。現状ではDMARCポリシーは「none」で問題ないとされていますが、将来的に各電子メールサービスプロバイダーはより厳格なDMARCポリシーの適用を求めてくる可能性が高いと考えられます。既に一部の電子メールサービスプロバイダーは、今後DMARCポリシー状態および認証結果をチェックした上で利用者に警告を促していくと公表しており、電子メール送信のルールはより厳しくなることが予想されます。

　また、DMARCポリシーを「quarantine」もしくは「reject」まで引き上げることで、「BIMI」（Brand Indicators for Message Identification）の導入も可能になります（※2）。BIMIは認証に成功した電子メールに企業のブランドロゴを表示することができ、さらなる信頼性の強化とブランド認知の向上を図れます。

（※2）BIMIはSPFとDKIM、DMARCがそれぞれチェックをパスできているときに限り、送信メールにブランドのロゴを追加する仕様。

より企業の信頼性を証明する仕様として「BIMI」も実装されつつある（出典：リンク提供資料）

　電子メールプロバイダーによる送信者に対する規制強化や、BIMIを活用した信頼性・ブランド力の向上に対応するためにも、DMARCのポリシー強化は不可欠です。ただし、ポリシー強化の影響で正当な電子メールが届かなくなるという事故を防ぐためにも、DMARCポリシー強化後の継続的な監視と運用は欠かせません。電子メール送信環境の追加や変更についてDMARCレポートを通じて迅速に検知できるようにし、異常が発生した際には速やかに対応できる体制が求められます。

　ただ、DMARCの運用を一部署の担当者数人で管理することは困難であり、電子メール運用体制の見直しも必要となるでしょう。IT部門やセキュリティ担当だけでなく、マーケティング、営業、さらには外部の協力会社との連携が必要となります。電子メール送信やその環境の管理に関する全社的なポリシーを策定し、研修など関係者への啓発活動を通じて、組織全体で電子メールの信頼性維持に取り組む体制を構築することが重要です。

　今後の電子メール送信環境のさらなる複雑化や規制強化を見据え、迅速かつ柔軟に対応できるようなインフラと運用体制を整備することが、企業の競争力を維持するための鍵となります。電子メールの信頼性と到達率を引き上げることは、単なるセキュリティ強化にとどまらず、ブランド価値の向上や顧客との信頼関係構築に直結します。企業の長期的な成長戦略の一環として、ぜひDMARC運用に取り組んでください。