DMARCレポート

MDaemonがDNSへDMARCレコードの問合せを行った際、DMARCレコードに、対象ドメイン所有者が、そのドメインを名乗ったメールをレポートとして提供するように求めるタグが含まれている場合があります。DMARCレポートのオプションでは、要求されている統計又は失敗レポートを送信するかどうかや、レポートに追加するメタ情報の指定を行う事ができます。この画面にあるオプションは、DMARC検証でDMARC検証とレポートを有効にする　オプションが有効化されている場合にのみ利用できます。また、DMARCの仕様によると、レポートの宛先サーバーが対応していれば、レポート送信にはSTARTTLS を使用する必要があります。STARTTLSを可能な限り有効化して下さい。

DMARCレポート

DMARC統計レポートを送信する

DMARC統計レポートを要求しているドメイン宛に、統計レポートを送信するにはこのオプションを有効にします。メールのFrom:ドメインに対しDMARC DNSクエリを行った際、DMARCレコードに "rua=" タグ (例. rua=mailto:dmarc-reports@example.com)が入っていたら、それはドメイン所有者がDMARCの統計レポートを希望していることを意味しています。MDaemonは受信したメールの中から対象ドメインを名乗っていたものについて、DMARC関連情報を保存しておきます。統計レポートの送信先メールアドレス、各メッセージの検証方式 (SPF, DKIM, 両方)、メールが検証に成功したかどうか、送信元サーバー、IPアドレス、適用したDMARCポリシー、その他の情報が含まれます。この情報を元に作成したレポートが、毎日UTCの深夜、対象ドメインに送られます。レポート送信後は、保存されていたDMARCデータがクリアされ、MDaemonは全てのプロセスを最初からやり直します。

MDaemon はDMARCレポートで、統計レポートのインターバルタグ(例. "ri=")に対応していません。MDaemonは統計レポートを毎日UTCの深夜にDMARCデータを所有しているドメイン宛に、前回レポート送信後に保持されたデータを元にしたレポートを送信します。

今すぐ統計レポートを送信する

現在保存されているDMARCデータを使って、次回のUTC深夜にレポートを自動送信するのではなく、すぐに統計レポートの生成と送信を行うにはこのボタンをクリックします。これによりレポートはすぐに送信され、UTC深夜に実行される場合と同様、保存されているDMARCデータはクリアされます。MDaemonは次の深夜UTCイベントか、再度このボタンをクリックするまでの、どちらか早い方までの間、再度DMARCデータの蓄積を開始します。

MDaemonは統計レポート送信やDMARCデータのクリアを行うため、UTCの深夜に稼働している必要があります。MDaemonが該当の時間帯に停止していた場合、レポートは生成されず、DMARCデータもクリアされません。このデータはMDaemonが再度稼働した際引き続き蓄積されますが、レポートは次回のUTC深夜のイベントか、今すぐ統計レポートを送信するボタンを押すまで生成されません。

DMARC失敗レポートを送信する (インシデントの発生があれば)

DMARC失敗レポートを要求しているドメイン宛に、失敗レポートを送信するにはこのオプションを有効にします。メールのFrom:ドメインに対しDMARC DNSクエリを行った際、DMARCレコードに "ruf=" タグ (例. ruf=mailto:dmarc-failure@example.com)が入っていたら、それはドメイン所有者がDMARCの失敗レポートを希望していることを意味しています。統計レポートと違い、このレポートはインシデントが発生すると生成され、失敗を引き起こした事象やエラーの詳細が含まれています。レポートはドメイン管理者がメールシステムの設定やフィッシング攻撃といった他の問題によって起こった事象を解析するために使用する事ができます。

失敗レポートを生成するきっかけとなる失敗の種類はドメインのDMARCレコードにある"fo="タグの値によって異なります。デフォルトの失敗レポートは実施されたDMARCチェック全てで失敗（例.　SPFとDKIMの両方で失敗）した場合に生成されますが、ドメインは様々な"fo="タグを使用する事ができ、例えばSPFに失敗した場合や、DKIMに失敗した場合、どちらかに失敗した場合、その他の組み合わせなど、要望に応じて失敗レポートの生成を行う事ができます。また、失敗レポートは、DMARCレコードの"ruf="タグを公開している宛先数、”fo=”タグの値、メールの処理中発生した認証失敗の数に応じて複数生成されます。MDaemonが送信するレポートの宛先数を制限するには、次の、指定数までのDMARC ruaやrufを宛先として受け付けるオプションを使用します。

レポートのフォーマットについて、MDaemonはrf=afrf タグ (Authentication Failure Reporting Using the Abuse Reporting Format)のみを許可しており、これはDMARCのデフォルトです。全てのレポートはDMARCレコードにrf=iodefが含まれていた場合であっても、このフォーマットで送信されます。

DMARC失敗レポートに対応するため、MDaemonでは次の機能に完全対応しています: RFC 5965: An Extensible Format for Email Feedback Reports, RFC 6591: Authentication Failure Reporting Using the Abuse Reporting Format, RFC 6652: Sender Policy Framework (SPF) Authentication Failure Reporting Using the Abuse Reporting Format, RFC 6651: Extensions to DomainKeys Identified Mail (DKIM) for Failure Reporting, RFC 6692: Source Ports in Abuse Reporting Format (ARF) Reports.

DMARCの "fo="タグでSPF関連の失敗レポートを要求された場合、MDaemonはSPF失敗レポートをRFC 6522に基づいて生成します。そのため、仕様の拡張がドメインのSPFレコードに含まれている必要があります。SPF失敗レポートはDMARC処理とは独立して送信されたり、RFC6522拡張なしで生成される事はありません。

DMARCの "fo="タグでDKIM関連の失敗レポートを要求された場合、MDaemonはDKIM失敗レポートをRFC 6651に基づいて生成します。そのため、仕様の拡張がドメインのDKIM署名のヘッダフィールドに含まれており、ドメインのDNSでは正しいDKIMレポート用TXTレコードを公開している必要があります。DKIM失敗レポートはDMARC処理と独立して送信されたり、RFC6651拡張なしで生成される事はありません。

指定数までのDMARC 'rua'や'ruf'を宛先として受け付ける (0 = 制限なし)

MDaemonが送信するDMARC統計レポートやDMARC失敗レポートの宛先の数を制限する場合は、ここで最大数を指定します。DMARCレコードのrua=やruf=タグに指定した最大数以上のアドレスが含まれていた場合は、記載されていたアドレスの順番に、最大数に到達するまでMDaemonはレポートを送信します。デフォルトではこの数に制限はありません。

全レポートのコピー送付先アドレス:

1つ又はカンマで区切った複数アドレスを入力します。ここで入力したアドレスへはDMARCの全統計レポート及び失敗レポート (fo=0又はfo=1のみ）のコピーが送信されます。

DMARCレポートメタデータ

次のオプションは組織のメタデータを指定するのに使用し、DMARCレポートの中に含まれます。

組織名

DMARCレポートの責任者となる組織名です。これはMDaemonドメインである必要があります。使用するドメインをドロップダウンリストから選択します。

連絡先メールアドレス

レポートに関する問題等を連絡する相手のメールアドレスを指定します。複数アドレスはカンマで区切ります。

連絡先情報

レポートの宛先ユーザー向けに追加の連絡先情報を入力します。これには、ウェブサイト、電話番号などが含まれます。

return-pathの指定

MDaemonが送るレポートメール用のSMTP return path (メラーメールの戻り先アドレス) で、配信エラーが発生した場合に使用します。こうした問題を無視するにはnoreply@<mydomain.com>を使用します。

参照:

DMARC

DMARC検証

DMARC設定