セキュリティ
DMARCとは?仕組みやメリット・デメリットなど

近年、Eメールを使ったサイバー攻撃の巧妙化が進み、企業担当者などになりすました「なりすましメール」や、フィッシングメールの危険性が高まっています。そんなサイバー攻撃に対して、注目されている対策手段の一つが「DMARC(ディーマーク)」です。DMARCを用いることでメールの改ざんやなりすましを検知して防げるため、今後のセキュリティ対策としてDMARCは欠かせないものとなるでしょう。
この記事では、DMARCの概要から仕組みやメリット・デメリットについて解説します。
DMARCとは?
DMARC(Domain-based Message Authentication Reporting and Conformance)とは、Eメールの改ざんやなりすましを防ぎ、事前に設定したポリシーに従って処理するための仕組みです。2012年に発表された送信ドメイン認証技術であり、フィッシングメールやなりすましメールなどに対する対策として有効な仕組みの一つです。
ドメインの所有者はDMARCをあらかじめ設定しておくことで、送信されたメールに対して認証を行えるようになります。認証に失敗した場合の挙動(なし、隔離、拒否)が設定でき、送信者に対して認証結果とその理由が記載されたレポートを送信します。
DMARCの仕組み
DMARCはSPFやDKIMといった送信ドメイン認証技術を用いています。ここでは、DMARCとSPF、DKIMとの関係と併せて、仕組みを解説します。
DMARCとほかのメール認証技術(SPFやDKIM)との関係
DMARCを実装するためには、SPFまたはDKIMを用いる必要があります。
- SPF(Sender Policy Framework):送信元のIPアドレスを用いて送信ドメインの正当性をチェックする
- DKIM(Domain Keys Identified Mail):電子署名を用いて送信ドメインの正当性をチェックする
DMARCによる送信メールの認証に合格するためには、SPFまたはDKIMの認証に合格するとともに、SPFアライメントまたはDKIMアライメントに合格する必要があります。
- SPFアライメント:表示送信元アドレス(header-from)とSPFで認証したアドレス(envelop-from)の照合
- DKIMアライメント:表示送信元アドレス(header-from)とDKIMのdタグの照合
このようにDMARCとSPF、DKIMは関係性が深く、DMARCはSPFとDKIMをより強固にするための技術といえるでしょう。
DMARCの技術的仕様
DMARCによる認証の流れを簡単に示すと次のとおりです。
- あらかじめDNSサーバーになりすましメールの取り扱いを宣言
- メールの受信者はDNSサーバーに問い合わせ
- なりすましかどうかをSPFまたはDKIMで確認
- 認証に失敗した場合、DNSサーバーに宣言されているメールの取り扱いに従って処理
送信ドメインの所有者は、あらかじめDNSサーバーに認証が失敗した場合の取り扱いを宣言できます。
- None(なし):メッセージはそのまま配信される
- Quarantine(隔離):メッセージを隔離フォルダに移動
- Reject(拒否):メッセージを配信しない
SPFやDKIMでは認証失敗時の取り扱いは受信者に委ねられていましたが、ドメインの所有者側で取り扱いを指定できる点がDMARCの特徴です。また、認証後には送信者にレポートが送付されるため、IPアドレスなどを知られたくない攻撃者に対して牽制する効果も期待できます。
DMARCのメリット
DMARCを用いる代表的な3つのメリットについて解説します。
メールの偽装やスパムからの保護
DMARCを用いることで、送信元を偽ったフィッシングメールやなりすましメールを防げます。サイバー攻撃を目的としたメールだけでなく、わずらわしいスパムメールに対しても有効です。
メールの送信者と受信者の信頼性向上
DMARCの仕組みを利用していることで、メールの送信者はしっかりと認証に合格したと判断できるため信頼性が向上します。DMARCを利用していることを宣言していれば、受信者側も送信ドメインに対して信頼できるようになるでしょう。
不要なメールに対応するリソースの削減
これまでは受信者側でメールの取り扱いを定めて処理していましたが、DMARCでは送信ドメイン所有者側で取り扱いを定めることができます。そのため、受信者の手元に届く前に処理でき、受信者の不要なメールに対するリソースの削減が可能です。
DMARCのデメリット
さまざまなメリットがある一方で、注意すべきデメリットも存在します。
管理の負担
DMARCでは認証結果のメール(DMARCレポート)が送信側に届きます。大量のメールのやりとりをしている場合、レポートも大量になるため管理負担が増加するデメリットが存在します。
受信側もDMARCに対応している必要がある
DMARCを実現するためには、受信者側もDMARCに対応していなければなりません。日本ではあまりDMARCの普及が進んでおらず、この点はデメリットといえるでしょう。ただし、最近では大手メールサービスプロバイダーでの対応が積極的に進められています。
誤検知への対処
設定ミスなどにより、正規のメールも受信者に届かない、といった事態が発生する可能性があります。DMARCを導入する際には、認証失敗時の取り扱いをNone(なし)に設定しておき、レポートを通じて動作確認を行った上でQuarantine(隔離)やReject(拒否)を設定するようにしましょう。
DMARCは送信ドメイン認証技術の一つで、フィッシングメールやなりすましメールへの対策として有効です。DMARCではSPFやDKIMの技術を利用しているため、これらについての理解も深めておくと良いでしょう。DMARCはさまざまなメリットがある一方でデメリットも存在しているため、これらをしっかりと理解した上で導入を検討してみてはいかがでしょうか。
日立ソリューションズ・クリエイトでは、企業から漏えいした情報を調査し、改善案を提供する「漏えい情報調査サービス」を提供しています。当社のホワイトハットハッカーが漏えい情報の報告や、リスクに対する改善案を提案し、企業におけるサイバーセキュリティインシデントへの対応力を強化するサービスです。事故発生後だけでなく、サイバーセキュリティインシデントの発生を予防し、より安全な事業を継続したいと考えるお客さまにも適しています。