少し前に投稿した『ドメイン偽装は防ぎようがない』や『ロシアからのDMARCレポート』の記事のように、ドメイン偽装を防ごうとすると問題が発生する場合があります。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
今日の記事ですが、中小・零細企業、小規模事業者において『DKIM』まで導入することは難しい(レンタルサーバが対応していない場合が多い)などの理由から、それが行えない前提として読んでください。
『DKIM』導入可能な場合においては下記の限りではありません。
さて、自社や自店のドメインが偽装されたメールなどに使われていたことを知っても、ある意味では八方塞がりになってしまう可能性があります。
それはどういった状態だと思いますか?
DMARCのポリシーは受信者の協力も必要
事業者が使っているドメインであれば、DNSのTXTレコードにSPF認証に関する記述が加えられていることは昨今においては普通のことと言えます。
逆に、記述がないのであれば追加しておくべきです。
例:example.com. IN TXT “v=spf1 ip4:***.***.***.*** include:example.com -all”
(***.***.***.***の部分はv4のIPアドレスが入ります。)
さて、このSPFに関する記述が入っている場合でDMARCの記述も追加されている場合、Appleなどはポシリーを『none(指定なし)』にしていますが、MicrosoftやGoogleは『reject(拒否)』にしています。
これ、受信者が転送処理などを行わずにストレートにメールを受信している場合においては『none(指定なし)』から『quarantine(隔離)』、『quarantine(隔離)』から『reject(拒否)』と、フィルター処理の割合を組み合わせながら段階的にポリシー変更を行っていけば良いですが、受信者が転送処理などを行っている場合、相手のサーバ設定によっては『none(指定なし)』から他に変更することで問題が生じます。
例えば、受信者が自動転送設定をしていた場合で、その際のIPアドレスの出力を転送元IPアドレスとしていた場合、送信元ドメインとそのIPアドレスが一致せず、SPF認証は『Pass』とならないため受信者がメールを受け取れない可能性が出てきます。
(DMARCのフィルター処理(PCT)の設定値にもよります。)
このような場合においては正直八方塞がりのような状態になります。
従って、受信者側に自動転送をやめてもらうか、受信者側に転送先メールアドレスを開示いただくか、何らかの協力をお願いすることになります。
(メールサーバの仕様を簡単に変更するわけにもいきませんので。)
まずは偽装されたメールが出回っていることをアナウンスすることからスタートですが、『全く関係のない消費者などが被害にあわない』、『自社や自店のドメインを傷つけない』ためには、最終的にはDMARCのポリシーを『reject(拒否)』にできる環境整備を行っていく必要性があるでしょう。
また、冒頭でも書きました通り、これを送信者側のみで解決しようとした場合は『DKIM』の導入が必要となります。