🖥

メールのセキュリティ設定 ( DMARC ) の設定はどうすれば良いのか

2024/02/18に公開

設定方法 - DNSのTXTレコードに設定する

レコード名

_dmarc.example.com

以下のように

  • 100%のメールにポリシーを適用する
  • 認証できないメールは受信拒否する
  • 日時レポートの送信先のメールアドレスを指定する

という設定にすると良いだろう (最終的には)

"v=DMARC1;p=reject;pct=100;rua=mailto:example@com"

p には何を設定する?

認証できないメールの処理方法を受信メールサーバーに指示します。

  • none—メールをそのまま受信者に配信して、日次レポートに記録します。レポートは、レコード内の rua オプションで指定されたメールアドレスに送信されます。
  • quarantine— メールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。
  • reject—メールを拒否します。このオプションを使用すると、通常、受信サーバーから送信サーバーにバウンスメールが送信されます。

( DMARC ポリシーの定義 より )

最終的には reject を設定すべきのはずだ。

なぜなら

  • 「なりすましメールが届いたのに、普通に受信できる」
  • 「なりすましメールが迷惑メールフォルダに届いており、開いてしまう」

という状態ではセキュリティ設定の意味がないからだ。

pct の設定は何?

DMARC ポリシーの対象となる未認証メールの割合を指定します。DMARC を段階的に導入する場合は、一部のメールから開始することをおすすめします。

( DMARC ポリシーの定義 より )

これは最終的には100%にすべきのはずだ。
なぜなら「なりすましメールが50%の確率で届いてしまう」のでは意味がないからだ。

rua に設定するメールアドレスは何?

rua=mailto:example@com

これは日時レポートの送信先。
対象ドメインのものでなくても良い。

メール認証がPASSした数、失敗した数などが1日1回送られてくるようだ。

段階的な導入

pの種類やpctのパーセンテージを調整することで、段階的な導入ができるようになっている。

たとえば

  • 100%のメールにポリシーを適用するが、迷惑メールフォルダに入る設定にしておく
  • 30%のメールにポリシーを適用して、受信拒否されるようにしておく

などとして、いっきにユーザー影響が起きてしまわないように、試験的に導入していくことができる

動作確認

設定したらサービスから自分宛にメール送信するなどして、受信したメールヘッダを確認する

Gmailであればメールのソースを表示すると、認証にPASSしたか失敗したかが簡単に分かる

参考

Googleのヘルプが分かりやすい

DMARC ポリシーの定義

DMARC を使用してなりすましと迷惑メールを防止する

チャットメンバー募集

何か質問、悩み事、相談などあればLINEオープンチャットもご利用ください。

https://line.me/ti/g2/eEPltQ6Tzh3pYAZV8JXKZqc7PJ6L0rpm573dcQ

プロフィール・経歴

https://github.com/YumaInaura/YumaInaura

公開日時

2024-02-14

Discussion