DMARCとは?
送信ドメイン認証技術である SPF と DKIM の認証結果を用いて、受信サーバーにてメールの送信者を認証を行い、メッセージの信頼性を確認する機能となります。
また、受信状況を定期的にレポートとして受け取ることができるため、詐称送信したメールの送信元など把握することができます。
受信サーバーにて SPF 認証と DKIM 認証の双方に失敗した際に、検疫 (quarantine) や拒否 (reject) など、どのような処理が推奨されるかを送信側がポリシーとして提示することができます。
しかしながら、上記ポリシーを指定した場合でも、受信サーバーが実際にどのような処理を選択するかは、受信サーバーの設定に依存します。
Exchange Online では受信メールに対し、DMARC 認証が既定で有効になっており、受信するメッセージのDMARC 認証に失敗した場合、送信元が p=reject の場合はメールの削除、p=quarantine の場合は検疫に隔離します。
Exchange Online では、SPF と DKIM の両方で認証に失敗した場合、なりすましメールの可能性があるとして、DMARC ポリシーに従って処理されます。
SPFとDKIMのアライメントのいずれかに合格している必要があります。
DMARCレコードをドメインのTXTレコードに追加することで利用することができます。
以下の3つのポリシー設定からメールの処理方法を選択することができます。
None : 何もしない
Quarantine : 受信サーバーで隔離する。
また、以下のオプションのタグを付与することが可能です。
Pct : フィルタ処理するメールの割合
rua : 集計レポートの報告先となるメールアドレス
ruf : 失敗レポートの配信先のメールアドレス(インシデントが発生すると生成され、失敗を引き起こした事象やエラーの詳細が含まれている)
Aspf : SPFの調整モード
fo : 失敗レポートの送信条件を指定する事が出来ます。
<foの値>
0:全ての認証がpassで無かった場合に失敗レポートを生成する
1:いずれかの認証がpassで無かった場合に失敗レポートを生成する
d:DKIMの署名検証が失敗した場合に失敗レポートを生成する
s:SPFの検証が失敗した場合に失敗レポートを生成する
DMARC が有効であるか確認する方法は、受信したメールヘッダーの [Authentication-results] にて確認することが可能です。
ヘッダー例
Authentication-results: protection.outlook.com; spf=pass
(sender IP is xx.xx.xx.xx) smtp.mailfrom=user@contoso.com
dkim=none (message not signed) header.d=none; dmarc=none
action=none header.from=contoso.com;
※ dmarc= や action= や header.from= などが含まれます。
[dkim]
・pass : DKIM チェックに成功したメッセージを示します。
・fail : DKIM チェックに失敗したメッセージを示します。
・none : メッセージが署名されていないことを示します。
[dmarc]
・pass : DMARC チェックに成功したメッセージを示します。
・fail : DMARC チェックに失敗したメッセージを示します。
・bestguesspass : 送信元ドメインの DNS に DMARC TXT レコードが存在しないことを示しおります。
・none : 送信元ドメインの DNS に DKIM のレコードが存在しないことを示します。
SMTPリレーの構成でExchangeOnlineを中継する際にDMARCの処理はおこなわれるか?
SMTP リレーで経由するフローである場合は、Exchange Online を経由する際に DMARC 認証をおこない、DMARC が fail の場合は、テナントの設定に基づき、処理がおこなわれます。
そのため、送信元ドメインの SPF レコードに送信元サーバーのグローバル IP アドレスを登録するなど SPF 認証を pass するように構成するか、DKIM が pass するように構成し、DMARC 認証が pass するように設定してください。
関連記事
広告
アフィリエイトをするなら「もしもアフィリエイト(登録無料)」
