ユーザ用ツール

サイト用ツール


サイドバー

このページの翻訳:



最近の更新



Tag Cloud

50_dialy:2023:05:27

2023.05.27 DMARC

DMARC説明

DMARC (Domain-based Message Authentication, Reporting and Conformance) は、メールの送信元ドメインの認証、メッセージの改ざん検出、およびコンプライアンスレポートのための技術です。

DMARC は、SPF (Sender Policy Framework) と DKIM (DomainKeys Identified Mail) の 2 つの技術に基づいています。SPF は、メールの送信元ドメインが正しいことを検証し、DKIM は、メールの送信元ドメインが正しく認証されていること、およびメールの内容が改ざんされていないことを検証します。

DMARC は、SPF と DKIM の 2 つの技術を組み合わせることで、メールの送信元ドメインの認証とメッセージの改ざん検出を強化します。また、DMARC は、コンプライアンスレポートを提供することで、メールの送信元ドメインの認証とメッセージの改ざん検出の状況を把握することができます。

DMARC は、メールのセキュリティを向上させるための強力な技術です。DMARC を導入することで、メールの送信元ドメインの認証とメッセージの改ざん検出を強化し、メールのなりすましやスパムメールなどの攻撃から組織を保護することができます。

DMARC の導入は、メールの送信元ドメインの認証とメッセージの改ざん検出を強化するための強力な方法です。DMARC を導入することで、メールのなりすましやスパムメールなどの攻撃から組織を保護することができます。

記述例

この場合を例に説明

# dig _dmarc.fl8.jp txt
_dmarc.fl8.jp.		120	IN	TXT	"v=DMARC1; p=none; sp=none; ri=3600; rua=mailto:postmaster@fl8.jp; ruf=mailto:postmaster@fl8.jp"

p: メール受信者に要望する認証失敗時の動作は何もしない
sp: サブドメインに対するポリシーも何もしない
ri: 集約レポートの送信間隔は、1時間
rua: 集約レポートの送り先は、postmaster@fl8.jp
ruf: 失敗レポートの送り先もは、 postmaster@fl8.jp

パラメータ概要
adkimDKIM 認証識別子のアライメントモード (r, s)
aspfSPF 認証識別子のアライメントモード (r, s)
fo失敗レポートのオプション (0, 1, d, s)
pメール受信者に要望する認証失敗時の動作 (none, quarantine, reject)
pctポリシーを適用するメールの割合 (0〜100, デフォルトは100)
rf失敗レポートの形式 (現状 afrf のみ)
ri集約レポートの送信間隔 (デフォルトは86400秒=24時間)
rua集約レポートの送り先 (URI で指定)
ruf失敗レポートの送り先 (URI で指定)
spサブドメインに対するポリシー (none, quarantine, reject)
vバージョン番号 (現状 DMARC1 のみ)

adkim、 aspf パラメータは、r(relaxed mode) or s(strict mode)

fo: 失敗レポートのオプション

意味
0全ての認証が pass で無かった場合に失敗レポートを生成する
1いずれかの認証が pass で無かった場合に失敗レポートを生成する
dDKIM の署名検証が失敗した場合に失敗レポートを生成する
sSPF の検証が失敗した場合に失敗レポートを生成する

p: メール受信者に要望する認証失敗時の動作

処理
none特に何もしない
quarantine認証に失敗した場合不審なメールとして扱う
reject認証に失敗した場合 (SMTP 上で) メール拒否

DMARCレコードがない場合

DMARCレコードが存在しない場合:

メール受信サーバーはDMARCポリシーを適用できません。その結果、SPFやDKIMの検証結果に基づいて何もしない場合があります。受信サーバー側での独自のポリシーやルールに従ってメールを処理することになりますが、DMARCレポートは生成されません。

DMARCポリシーが「none」の場合:

DMARCレコードが存在し、「none」というポリシーが設定されている場合、メール受信サーバーはDMARC検証を実行しますが、特定のアクション(隔離や拒否)は行いません。検証結果とレポートを送信する設定が含まれている場合、ドメイン所有者にレポートが送信されます。このレポートにより、ドメインのメールがどのように処理されているかをモニタリングすることができます。

まとめ

DMARCレコードが存在しない場合

DMARCポリシーは適用されず、レポートも生成されません。受信サーバーは独自の判断でメールを処理します。

DMARCポリシーが「none」の場合

DMARC検証は行われ、レポートが生成されますが、メールの隔離や拒否は行われません。

50_dialy/2023/05/27.txt · 最終更新: 2024/06/17 21:14 by matsui