ある日の11時過ぎ、コーポレートドメインのメールアカウントにDMARCレポートが届きました。
しかし、それはロシアから送られてきたレポートでした。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
私は普段、偽装メール(なりすまし)対策の一環としてSPFやDKIM、DMARCを使うことをお勧めしていますが、この偽装メール(なりすまし)は日本国内に限った話しではありません。
ロシアから届いたDMARCレポート
普段、DMARCレポートが届くのは現状Googleからのみであったのですが、ある日、ロシアからDMARCレポートが届きました。
その段階では、このロシアからのDMARCレポートそのものがスパムメールなのでは?と疑いをもち、メールのヘッダ情報などを調査しましたが問題は見受けられませんでした。
何かしっくりこず、セキュリティチェックを通してレポートファイルを確認したところ、どうやらロシアのIPアドレス宛にコーポレートドメインを偽装してメールが配信されたようでした。
前者の方はロシアでメールを含めたサービスを提供している企業で、その企業がDMARCレポートを配信する仕組みを取り入れていたことからコーポレートドメインのDMARCレポートが届いたということで、実際に問題な行為を行ったのは後者のIPアドレスを利用した者と考えられます。
このように、偽装メール(なりすまし)は日本国内宛にとどまらず海外宛にまで及んでいます。
現在、コーポレートドメインをはじめすべてのドメインに対してDMARCを採用しているのですが、メールに対する制御は『none:そのまま受信させる』のまま様子見をしていた状態でした。
今回のことを考えると、やはり『quarantine:隔離させる』か、『reject:受信を拒否する』に変更していくことになるでしょう。
これらに変更することで、受信者のメールサーバーに対して隔離、もしくは拒否を依頼することができますので被害を抑制することが可能です。
しかし、課題も残ります。
先日起きたケースとして、相手先がGmailなどに自動転送していた場合、Fromは送信元メールアドレスのままなであったものの、出力されるIPアドレスは転送元のIPアドレスでした。
(相手先の契約サーバーの仕様によって左右されます。)
このような場合はつじつまがあわないことになりますのでSPF認証は失敗となり、DMARCにおけるメールの制御によっては相手にメールが届かないケースが出てきたりします。