質問

Advanced Search

Solution ID : SOT0037

Last Modified : 08/03/2021

[認証マーク証明書(VMC)]ドメインにDMARC を設定し VMC の資格を取得する方法

Solution

このプロセスは、組織の規模にもよりますが、数週間から数ヶ月かかることがありますので予めご了承ください。

この記事は、基本的なプロセスを理解していただくための表面的なガイドです。より詳細なステップバイステップのチュートリアルについては、当社の包括的なDMARCおよびBIMIガイドをダウンロードすることをお勧めします。なお、これらのレコードを設定するためのインターフェースやプロセスは、DNSサービスやプロバイダーごとに異なります。ご不明な点がございましたら、ご利用のプロバイダーまでお問い合わせください。

 

DMARCとは何ですか?

DMARC(Domain-based Message Authentication, Reporting & Conformance)とは、電子メールの認証、ポリシー、報告のためのプロトコルで、なりすましやフィッシングなどの不正使用から組織のドメインを保護するためのものです。VMCの資格を得るためには、まず、組織がDMARCに準拠していることを確認する必要があります。

 

作業を始める前に、以下のものをご用意ください:

  1. .テキストエディタ(Notepad++、Vim、Nanoなど)
  2. お客様のドメインのDNSレコードへのアクセス

注:DNS管理をされていない場合は、サーバー管理者やサービスプロバイダーへご確認ください。DigiCertではこれらのレコードを編集することはできません。

 

ステップ1:SPF用のIPアドレスを取りまとめる

送信者ポリシーフレームワーク (Sender Policy Framework - 通称:SPF)を設定します。これにより、不正な IPアドレスからドメインに紐づくメールが送信されるのを防ぎます。

現在お客様のドメインからメールを送信している認可されたIPアドレスをすべてリストアップしてください。

これには以下が含まれます。

  • ウェブサーバ
  • 社内メールサーバー
  • ISPメールサーバー
  • 外注しているメールサーバー

 

すべてのIPアドレスが見つけられなくても問題ありません。DMARCモニタリング(ステップ4)がそれを解決してくれます。しかし、この時点でできる限り多くのIPアドレスをリストアップしておくことで、時間を節約することができます。 


ステップ2: ドメインのSPFレコードを作成する

テキストエディタを開き、各ドメインのSPFレコードを作成します。

例1:v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 ip4:x.x.x -all

例2:v=spf1 ip4:1.2.3.4 ip4:2.3.4.5 include:thirdparty.com -all

上記の作業完了後、ファイルを保存してDNSに公開してください。

SPFツール(パートナーValimail社提供:英語版)を使って、すべてが正しく入力されたことを確認してください。

 

ステップ3:DKIMの設定

DKIM(英語版サイト)は、公開鍵/秘密鍵暗号方式を用いて電子メールメッセージに署名する電子メール認証規格です。送信中にメッセージが改ざんされるのを防ぎます。

1. DKIMセレクターを選択します。

例 "standard._domain.example.com" = ホスト名

2.ドメインの公開鍵と秘密鍵のペアを生成します。

Windowsの場合: PUTTYGenを使用

Linux/Mac: ssh-keygenを使用

3. DNS管理コンソール上にて新しい.TXTレコードを作成して公開します。

v=DKIM1; p=YourPublicKey

 

ステップ4:モニタリング、コミュニケーション、リピート

DMARCを設定し、現在のメールトラフィックのモニタリングを開始し、何が承認されているか(そして、最終的にDMARCによって隔離(quaranteen)または拒否(reject)されるもの)について、しっかりとしたベースラインを得ることができます。

(注: 時間をかけて監視することで、DMARCが完全に有効になったときに重要なメッセージが失われたり、永久に削除されたりするのを防ぐことができます。)

 

DMARCを使ってトラフィックの監視を開始する方法を説明します。

1. SPFとDKIMが正しく設定されていることを確認する。

2. DNSレコードを作成します。

txt DMARCレコードは、「_dmarc.your_domain.com」のような名前にします。

例:  "v=DMARC1;p=none; rua=mailto:dmarcreports@your_domain.com"

ドメインのDNS管理行われている場合、SPFおよびDKIMレコードと同じ方法で、「p=none」(監視モード)のDMARCレコードを作成してください。

DNSを管理していない場合は、DNSプロバイダーにDMARCレコードの作成を依頼してください。

3. DMARCチェックツール(英語リンク)でDMARCレコードをテストします。

(注)レプリケーションされるまでには、通常24~48時間かかります。

DMARCは、SPFやDKIMによってフラグが立てられたメッセージを含む、ドメインを介して送信されるメールの多くの可視性を提供するレポートの生成を開始します。

【重要】ここで、SPFレコード(ステップ1)に以前含まれていなかった正当な送信者がレポートに表示されているかどうかを確認します。そのような送信者がいた場合は、それに応じてレコードを更新してください。

【問題点】これらのレポートはXMLファイルで提供されます。データ確認にかなりの時間を要するため、DMARCレポートプロセッサー(Valimail社提供:英語版)を使用して、すべてを簡単に解析できるようにすることをお勧めします。

 

ステップ5: DMARCの実施を強化する

メールを十分に観察し、許可されていないものとしてフラグが立てられている正規のメッセージがなくなったと確認できたら、DMARCの実行を強化する時期です。

DMARCには2つの施行レベルがあります。"quarantine"と "reject"です。 "reject"の方が明らかに安全であり、弊社では最終的には”reject”を推奨していますが、どちらのレベルでもドメインはVMCの資格を得ることができます。

 

"reject"のステータスに進む前に、確実なステップは”quarantine”でしばらく時間を掛けることです。手順は以下の通りです。

1. DNSサーバーにログインし、DMARCレコードを検索する。

2. 指定したドメインのDMARCレコードを開き、ポリシーを "p=none "から "p=quarantine "に更新する。

  例 "v=DMARC1;p=quarantine;pct=10;rua=mailto:dmarcreports@your_domain.com"

3.   "pct"フラグ(フィルタリングの対象となるメッセージの割合)を追加します。まずは10%から始めて、100%になるまで徐々に割合を増やしていくことをお勧めします。フィルタリングが100%になり次第、正式にVMCの資格を取得しを開始する準備が整ったことになります。

4.  DMARCレコードを開き、"p=quarantine "を "p=reject "に変更します。