<< クリックして目次を表示 >> ナビゲーション: セキュリティ > なりすまし対策 > DMARC:

DMARCレポート

SecurityGatewayがDMARCレコードについてDNSへ問い合わせを行う際、レコードにはドメイン管理者がドメインを名乗ったメッセージに関する統計レポートや失敗レポートを受け取るかどうかのタグが含まれています。DMARCレポートのオプションでは要求された種類のレポートを送るかどうかや、レポートに含むメタデータに関する設定を行う事ができます。統計レポートはUTCの深夜に日時で送られ、失敗レポートは、失敗が発生したタイミングでメッセージ毎に送信されます。　レポートは毎回zip圧縮されたXMLファイルの添付で送信され、受信者がレポートを閲覧するための様々なツールがインターネットにあります。デフォルトでSecurityGatewayは統計レポートのみを送信します。

画面のオプションはDMARC検証画面の"DMARC検証とレポートを有効にする" オプションが有効な場合のみ使用できます。また、DMARCの仕様ではレポート受信者の提供するSTARTTLSの使用を必須としています。できるだけSTARTTLSを有効化する事をお勧めします。

DMARCレポート

DMARC統計レポートを送信する

希望があった場合にDMARC統計レポートを送信するにはこのオプションを有効化します。受信メールのFrom:ドメインに対してDMARCのDNSクエリを実行した際、対象ドメインのDMARCレコードに"rua="タグ (例. rua=mailto:dmarc-reports@example.com) が含まれていると、ドメイン所有者がDMARC統計レポートの受信を希望しているという事になります。 SecurityGatewayはドメインやドメインを名乗ったメールといったDMARC関連情報を保持します。統計レポートの送信先メールアドレス、各メールの検証方法 (SPF, DKIM, 両方）、メールが検証を通過したか失敗したか、送信サーバー、IPアドレス、適用されたDMARCポリシーなどの情報がログへ記録されます。UTCの深夜に、SecurityGatewayは保管されたデータを元にドメイン毎のレポートを生成し、必要なアドレスへ配信します。レポートが配信されると、保管されていたDMARCデータはクリアされ、SecurityGatewayはプロセス全体を再開します。

SecurityGatewayは統計レポートで使用するDMARCレポートのインターバルタグ (例. "ri=")には対応していません。SecurityGatewayは、前回のレポート生成後に蓄積されたデータを使って、毎日UTCの深夜に統計レポートを生成し送信します。

SecurityGatewayは統計レポート送信とDMARCデータのクリアを毎日UTCの深夜に実行する必要がある事から、SecurityGatewayをこの時間帯に停止させていた場合、レポートは生成されず、DMARCデータはクリアされません。DMARCのデータはSecurityGatewayが再度稼働したタイミングで蓄積されますが、次のUTC深夜のイベントまでレポートは生成されず、データもクリアされません。

DMARC失敗レポートを送信する (インシデントの発生があれば)

希望があった場合にDMARC失敗レポートを送信するにはこのオプションを有効化します。受信メールのFrom:ドメインに対してDMARCのDNSクエリを実行した際、対象ドメインのDMARCレコードに"ruf="タグ (例. ruf=mailto:dmarc-failure@example.com) が含まれていると、ドメイン所有者がDMARC失敗レポートの受信を希望しているという事になります。統計レポートと異なり、失敗レポートはトリガーとなるイベントが発生する度にリアルタイムで生成され、各インシデントの詳細と失敗の原因であるエラーの詳細が記録されます。レポートはドメイン管理者でメールシステムの問題解決や他の問題の発見といった目的で分析を行うのに使用されます。

失敗レポートを送信するきっかけとなる失敗の種類はドメインのDMARCレコードの"fo="タグに依存します。デフォルトで失敗レポートはDMARC検証に失敗（例.　SPFとDKIMの両方で失敗）した全てのメールで生成されますが、ドメインは様々な"fo="タグでSPFに失敗した場合のみやDKIMに失敗した場合のみ、どちらかに失敗した場合、といった組み合わせで、失敗レポートの生成タイミングをコントロールできます。また、DMARCレコードの"ruf="タグの受信者数、"fo=" タグの値、処理中に発生した認証失敗の数によって、1つのメールから複数の失敗レポートが生成される場合があります。SecurityGatewayが送信するレポートの上限を指定する場合は、後述の、指定数宇までのDMARC 'rua'や'ruf' を送信先として受け付けるオプションを使用します。

レポートのフォーマットにおいてドメインのDMARCレコードにrf=iodef タグが含まれている場合であっても、SecurityGatewayではDMARCのデフォルトであるrf=afrf タグ(Abuseレポートフォーマットを使った認証失敗レポート)のみを使用できます。

DMARC失敗レポート対応のため、SecurityGatewayは RFC 5965: An Extensible Format for Email Feedback Reports, RFC 6591: Authentication Failure Reporting Using the Abuse Reporting Format, RFC 6652: Sender Policy Framework (SPF) Authentication Failure Reporting Using the Abuse Reporting Format, RFC 6651: Extensions to DomainKeys Identified Mail (DKIM) for Failure Reporting, RFC 6692: Source Ports in Abuse Reporting Format (ARF) Reportsに完全対応しています。

DMARC "fo="タグでSPF関連の失敗レポートを要求されると、SecurityGatewayはRFC 6522に沿ってSPF失敗レポートを配信します。つまり、仕様拡張がドメインのSPFレコードに存在している必要があります。SPF失敗レポートはDMARC処理やRFC6522拡張の存在から独立して送られる事はありません。

DMARCの "fo=" タグでDKIM関連の失敗レポートを要求されると、SecurityGatewayはRFC 6651に沿ってDKIMの失敗レポートを配信します。つまり、DKIM署名のヘッダフィールドへ仕様拡張が存在しており、ドメインDNSへ正しいDKIMレポーティング用のTXTレコードを含んでいる必要があります。DKIM失敗レポートはRFC6651拡張やDMARC処理なく独立して送られる事はありません。

指定数宇までのDMARC 'rua'や'ruf' を送信先として受け付ける

SecurityGatewayがDMARC統計レポートやDMARC失敗レポートの送信先を制限すうｒには、ここで最大送信数を指定します。 DMARCレコードの"rua="や"ruf="タグが指定した上限よりも多くのアドレスを指定していた場合、SecurityGatewayはレポートを最大宛先数に到達するまでレポートを一覧のアドレスへ送信します。デフォルトで最大宛先数は5に設定されています。

全レポートのコピー送信先アドレス:

全てのDMARC統計レポートやDMARC失敗レポート (fo=0 または fo=1 のみ)のコピーを送る1つまたはカンマ区切りの複数アドレスを指定します。

DMARCレポートメタデータ

送信するDMARCレポートへ含まれる企業や組織のメタデータ情報を指定するためのオプションです。

デフォルトドメイン

DMARCレポートを作成するSecurityGatewayドメインです。ドロップダウンリストからドメインを選択してください。

連絡先メールアドレス

レポート受信者が問い合わせる際のローカルメールアドレスをここで指定します。複数アドレスをカンマ区切りで指定できます。

連絡先情報

レポートに含む、ウェブサイト、電話番号といった、追加の連絡先情報を指定します。

Return-pathの指定

送信失敗の場合に備えてSecurityGatewayがレポートメールで使用するSMTP return path (戻り先アドレス) を指定します。こうした問題を無視する場合は noreply@<mydomain.com> を使用してください。