<< クリックして目次を表示 >> ナビゲーション: セキュリティ > なりすまし対策 > DMARC:

DMARC検証

DMARC検証処理の一部として、SecurityGatewayは受信メールのFrom:ヘッダ内のドメインに対してDMARC DNSクエリを実行します。これで、ドメインがDMARCを使っているかどうかと、もしも使っている場合は、ポリシーやその他DMARC関連情報が含まれているDMARC DNSレコードの取得を行います。更に、DMARCはDMARC検証を通過するためのテストとして、各メールのSPFとDKIMを利用しており、DMARC検証を通過するには最低どちらかの検証を通過する必要があります。メールが検証を通過すると、SecurityGatewayは対象のメールについて、残りの配送とフィルタリングの処理を通常通りに行います。もしも検証に通過しなかった場合は、ドメインのDMARCポリシーとSecurityGateway側の設定との組み合わせで、その後の処理を決定します。

メールがDMARC検証に失敗し、DMARCドメインのポリシーが"p=none"の場合、対処される事なく、メールは通常通り配信されます。反対に、DMARCドメインが"p=quarantine"や"p=reject"のポリシーを定義していた場合、 SecurityGatewayはメールを拒否したり、各ユーザの隔離フォルダへ自動振り分けしたり、件名へ文字列を追加したり、メッセージスコアを調整する事ができます。更に、制限ポリシーで検証に失敗したメールについて、SecurityGatewayはポリシーに応じて"X-SGDMARC-Fail-policy: quarantine" や "X-SGDMARC-Fail-policy: reject" ヘッダを挿入します。これにより、メールを特定のフォルダへ配信するといった処理を、Sieveスクリプトやメールサーバーのコンテンツフィルタでヘッダの有無を元に行う事ができます。

DMARC検証

DMARC検証とレポートを有効にする

このオプションを有効にすると、SecurityGatewayは受信メールのFrom:ヘッダ内のドメインに対してDMARC DNSクエリを実行し、DMARCレポートで設定されていれば、統計及び失敗レポートを送信します。DMARCはメールの検証にSPF とDKIM を使用しているため、最低どちらかの機能が有効になっている必要があります。DMARC検証とDMARCレポートはデフォルトで有効で、ほとんどのSecurityGateway設定で使用されています。

DMARC対応を無効化すると、スパムやなりすまし、その他不正なメールをの受信数が増える可能性があります。環境によっては、メールサーバーのメーリングリストメールが他のサーバーで拒否されたり、メーリングリストメンバーがメーリングリストから外されてしまう場合があります。DMARCは必要がある場合以外無効化しない事をお勧めします。

検証結果が REJECT だった場合には:

受信メールがDMARC検証に失敗し、送信元ドメインのDMARC DNSレコードでp=rejectが定義されていた場合はここで指定した処理が行われます。

...メッセージを拒否

DMARC検証処理でREJECTが返された場合、このオプションでメッセージをSMTP処理中に拒否します。このオプションがデフォルトで選択されています。

メールを拒否する選択を行わなかった場合でも、メールはSPFやDKIM設定、メッセージスコアが許可されている閾値を越えた場合、など、他の要因で拒否される場合があります。

...メッセージを隔離

DMARC検証処理でREJECTが返された場合、拒否するのではなくメールを隔離する場合はこのオプションを選択します。このオプションと併せて、「...次の文字を件名に付ける」や「...この値をスコアに追加 [xx] ポイント」を使用する事もできます。

...メッセージを受け入れる

DMARC検証処理でREJECTが返された場合、このオプションを選択すると、SecurityGatewayはメール受信を許可しますが、件名へ文字列を追加したりメッセージスコアの調整を行う事ができます。

...次の文字を件名に付ける

DMARC検証処理でREJECTが返されたメールを受け付けたり隔離する場合、このオプションを有効にしメールのSubjectヘッダへ追加する文字列を指定する事ができます。有効にした場合、Subjectに追加されるデフォルトテキストは"*** FRAUD ***"です。このオプションで、受信者のメールサーバまたはクライアントで、文字列を元にしたメールのフィルタリングが行えます。このオプションはデフォルトで無効です。

SecurityGatewayでは他にも様々な機能で件名ヘッダへ文字列を付与します。例えば、SPF やメッセージスコアページにもこのオプションがあります。これらのオプションとして指定した文字列にマッチした場合、複数の条件にマッチしているメッセージだった場合でも、タグはメールの件名に一度だけ付与されます。ただし、文字列がオプションによって異なる場合は、それぞれの独自タグが付与されます。例えば、このオプションのデフォルトテキストは「*** FRAUD ***」ですが、メッセージスコアのデフォルトテキストは「*** SPAM ***」です。2つのタグが異なるため、どちらのオプションにもマッチしたメールへは両方の文字列が追加されます。ただし、どちらかのオプションで追加した文字列を変更した場合、タグは一度だけ追加されます。

...この値をスコアに追加 [xx] ポイント

DMARC検証処理でREJECTが返されたメールを受け付けたり隔離する場合、このオプションを有効にしメッセージスコアへ指定したポイントを付与します。最終的なスコアがメッセージスコアで指定した閾値に到達すると、メールは設定に沿って隔離されるか拒否されます。デフォルトではメッセージスコアへ5.0ポイントが追加されます。

検証結果が QUARANTINE だった場合には:

受信メールがDMARC検証に失敗し、送信元ドメインのDMARC DNSレコードでp=QUARANTINEが定義されていた場合はここで指定した処理が行われます。

...メッセージを拒否

DMARC検証処理で隔離が返された場合、このオプションでメッセージをSMTP処理中に拒否します。

...メッセージを隔離

DMARC検証処理で隔離が返された場合、このオプションを選択しメールを拒否するのではなく隔離します。このオプションと併せて、「...次の文字を件名に付ける」や「...この値をスコアに追加 [xx] ポイント」を使用する事もできます。

...メッセージを受け入れる

DMARC検証処理で隔離が返された場合、このオプションを選択すると、SecurityGatewayはメール受信を許可しますが、件名へ文字列を追加したりメッセージスコアの調整を行う事ができます。

...次の文字を件名に付ける

隔離ポリシードメインからのDMARC検証に失敗し、SecurityGatewayが対象メールを受信または隔離するよう設定していた場合、このオプションを有効にしメールのSubjectヘッダへ追加する文字列を指定する事ができます。有効にした場合、Subjectに追加されるデフォルトテキストは"*** FRAUD ***"です。このオプションで、受信者のメールサーバまたはクライアントで、文字列を元にしたメールのフィルタリングが行えます。このオプションはデフォルトで無効です。

...この値をスコアに追加 [xx] ポイント

デフォルトで、隔離ポリシードメインからのDMARC検証に失敗し、SecurityGatewayが対象メールを受信または隔離するよう設定していた場合、このオプションでメッセージスコアへ指定したポイントを付与します。最終的なスコアがメッセージスコアで指定した閾値に到達すると、メールは設定に沿って隔離されるか拒否されます。デフォルトではメッセージスコアへ5.0ポイントが追加されます。

例外

ホワイトリストIPアドレスからのメッセージを除外する

デフォルトで、ホワイトリストのIPアドレスから到着しているメッセージは、DMARC検証から免除されます。差出人がIPアドレスホワイトリストの場合でもDMARC検証を行う場合はチェックボックスを解除します。

認証されたセッションからのメッセージを除外する

デフォルトで、認証済SMTPセッションで届いたメールは、DMARC検証から免除されます。認証済SMTPセッションで届いたメールの場合でもDMARC検証を行う場合はチェックボックスを解除します。

ドメインメールサーバからのメッセージを除外する

ドメインメールサーバから到着しているメッセージは、デフォルトでDMARC検証から免除されます。差出人がドメインメールサーバからの場合でもDMARC検証を行う場合はチェックボックスを解除します。