この記事では、DMARC の概要と DMARC レコードの設定方法について説明します。
1. DMARC
DMARC は、Domain-based Message Authentication, Reporting & Conformation の略語です。 DMARC レコードは、他者がお客様の会社のドメイン名を偽装することを防ぐために設定されます。 また、他者がお客様の会社のドメイン名を偽装しようとしたケースを取得することもできます。
メール受信者(その MTA は DMARC 契約をサポートしている必要があります)が DMARC レコードを設定しているドメイン名からメールを受信すると、DMARC 検証が実行されます。 検証に失敗した場合、レポートが DMARC レコードに設定されているメールアドレスに送信されます。
2. 設定方法
1. DMARC レコードを設定する前に、会社は次の SPF レコードが設定されていることを確認する必要があります。「v=spf1 included:spf.sg.aliyun.com -all」
2. SPF レコードを設定した後、次の DMARC レコードを設定することをお勧めします。
ホスト名 | レコードタイプ | 優先度 | レコード値 |
_dmarc | TXT | - | v=DMARC1; p=quarantine; rua=mailto:a***@example.net; ruf=mailto:a***@example.net |
レコード値の「a***@example.net」は、通常メールを送受信する同じ組織のメールアドレスを入力する必要があることを意味します。
DMARC レコードを追加する例を次の図に示します。
3. リターン攻撃メールについて
大量の返信メールや自動返信を受信した場合。 その理由は、悪意のある人物がお客様のドメイン名を模倣してメールを送信し、その結果、お客様のメールボックスに返信メールが返送されるためである可能性があります。
次の対策をお勧めします。
1. SPF レコードが正しく構成されているかどうかを確認します。
2. DMARC 解決策を設定し、レコード値の p パラメーターを quadratine に設定し、返された dmarc レポートを観察し、誰かがメールを偽造したことが確認された場合は p パラメーターを reject に設定することをお勧めします。
3. 多くのレポートメールが届きます。 同じ組織の非公開メールボックスを使用して DMARC レポートを受信することをお勧めします。
"p" パラメーターの説明:
none: ドメイン名からのすべてのメールを解放します。 メールが DMARC 認証に合格しない場合でも。
例:
v=DMARC1;p=none;rua=mailto:a***@example.net;ruf=mailto:a***@example.netquarantine: 一部のメールを拒否します。 pct パラメーター(デフォルトは 100)を使用して、DMARC 検証に失敗した拒否されたメールの割合を設定します。
例:
v=DMARC1;p=quarantine;pct=15;rua=mailto:a***@example.net;ruf=mailto:a***@example.netreject: 厳格な拒否を実装します。 認証されていないすべてのメールを拒否します。
例:
v=DMARC1;p=reject;rua=mailto:a***@example.net;ruf=mailto:a***@example.net