メールマーケティングラボは、メールを使ったコミュニケーション、メールマーケティングの効果をあげるための様々な情報を発信します。
なりすましを撲滅する?「DMARC」の概要をざっくり理解しよう

なりすましを撲滅する?「DMARC」の概要をざっくり理解しよう

DMARCとはなにか

皆さん、DMARC(ディーマーク)という言葉を聞いたことがありますか?

DMARCとは
米Google、米Facebook、米Microsoftらが合同で立ち上げた、なりすましメールやフィッシング対策の取り組み(DMARC.org)が提供するシステムです。ドメイン認証技術のSPF・DKIMを使って、メールの配送制御を行ったり、認証結果の詳細をリアルタイムに把握することができます。

米Twitter社はDMARCに対応したことで、1日あたり1億1,000万通以上のなりすましメールを、数千通にまで排除することができた、と言われています。
【出典】https://dmarc.org/press/release-20140218/

上記の内容だけでは何のことかピンと来ない方も多いと思います。
そこで今回は「DMARCに対応すると何ができるのか?」にスポットを当てて、分か
りやすく噛み砕いた内容でDMARCをご紹介していきます。

DMARCへの対応でできる2つの点

DMARCに対応するとできるようになることは、シンプルに言うと2点です。

1.送信者側の設定によって、受信側のなりすましメール受け取り時の挙動を制御できる

2.自社になりすましたメールが送信された際に、検知しやすくなる

1. 送信者側の設定によって、
受信側のなりすましメール受け取り時の
挙動を制御できる

≪DMARC対応前≫

≪DMARC対応後≫

極めて簡単に説明すると、DMARC導入前後の変化は上図のようになります。

これまでは、送られたメールがなりすましメールだったとしても(SPF・DKIMの認証に失敗した場合でも)、受信側が「受信する」というポリシーだった場合、なりすましメールは受信者の意向に沿って、そのままユーザのメールボックスで受信されていました。

皆さんご自身の立場に立って考えてみてください。
仮に自分の会社になりすました悪意のあるメールが無差別に送信させられていたらどうでしょう?

「ユーザに受信をさせたくない」と思うのが送信者側の心理だと思います。

そこで、この

“自社になりすまされたメールは、ユーザに受信させたくない”

という要望を満たすために登場したのが、DMARCです。

≪DMARCの仕組み≫

送信者がDMARCの設定を行うことで、自社になりすました可能性のあるメール配信が行われた場合に、送信者側の意思で、そのメールの制御を以下の3つのパターンのいずれかを選択することができるようになります。

1.そのまま受信させる(none)
2.隔離させる(quarantine)
3.受信を拒否する(reject)

このように、受信者側ではなく送信者側がそのメールの挙動を管理できるようになる仕組みが、DMARCなのです。

※SPF・DKIMとは・・・
簡単に言うとどちらも「自社のメールがなりすまされていないかどうかを検査するする仕組み」と覚えておくとよいでしょう。詳しく知りたい方はこちら。
技術解説/財団法人インターネット協会
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/

2.なりすましメールがあった際に検知しやすくなる


DMARCに対応すると、メール受信元のプロバイダから、SPF、DKIMの認証結果の詳細なレポートをリアルタイムに受け取ることができます。

これまでも、DKIMを設定することでなりすましメールの検知は可能でしたが、
DMARCに対応することで、送られてくるレポートを元に、より詳細な認証情報を把握することが可能になり、なりすましメールの送信元を把握することもできるようになったのです。

DMARCに対応するには?

送信者がDMARCに対応するには、まずはSPFの設定と、DKIMの設定がされていることが前提となります。SPF、DKIMの詳しい設定方法は、設定に利用するレコードがメール配信システムにより異なるため、ご利用中のメール配信サービスベンダーまでお問い合わせください。

SPF、DKIMの設定が完了した後、ドメインを管理するDNSサーバーに、DMARCレコードを記載していきます。

具体的な記述方法はこちらをご参考にしてください。
【参考】https://support.google.com/a/answer/2466563?hl=ja

DMARCが機能するためには、メール送信側だけでなく、受信側もDMARCをサポートする必要があります。現状全ての受信サーバーがDMARCに対応しているわけではありませんが、Gmailをはじめ、多くのメールサービスプロバイダがDMARCのサポートを開始しています。


すべてのドメイン、メールサービスプロバイダがDMARCに対応するのには時間がかかりそうですが、DMARCが広く普及することで、なりすましメールを利用したフィッシング詐欺の撲滅につながると言われています。

本記事をご覧になっている方で、社内のセキュリティポリシーが厳しい企業や、過去になりすましメールの被害にあった企業などは、DMARCの導入を検討されてみてはいかがでしょうか?

The following two tabs change content below.

Ryo Noguchi

Mail​ Marketing​ Lab.(メルラボ)編集部所属。花屋、音楽制作会社を経て、法人向けクラウドサービスのマーケティングを担当。得意技はEQ処理とボーカルピッチ修正。

Comments are closed.

Scroll To Top