TwoFiveはこのほど、都内でセミナー「MAIL PLUMBERS' DEN - メールエンジニアの虎の穴」を開催した。セミナーでは、同社の開発マネージャー 加瀬正樹氏が「やって分かったDMARCの最新状況」と題し、グローバルにおけるDMARC(Domain-based Message Authentication, Reporting & Conformance)の状況や、活用することで得られるメリットなどについて説明した。

DMARCは、IPアドレス(SPF)や電子署名(DKIM)の認証技術と、サーバに届いたメールの認証結果をドメイン管理者に集計レポートする技術を組み合わせたものとなり、DMARCポリシーの段階的に引き上げる(none→quarantine→reject)ことで、なりすましメールを拒否できる。現在、TwoFiveでは11月末時点で1200~1400のドメインからレポートを受信している。

  • DMARCの概要

    DMARCの概要

ここで重要なのがDMARCレコードのポリシーだ。これは、DMARCレコードが設定済のドメインから届くメールがSPFやDKIMを通過しなかった際に、DMARC対応の受信メールサーバの挙動について指示するものとなり、指定可能なのはp=none(未認証メールを受け取ったときに受信サーバの挙動を特に規定しないポリシー)、p=quarantine(未認証メールを受信サーバで隔離するポリシー)、p=reject(未認証メールは完全に拒否し、受信しないポリシー)の3つ。

加瀬氏は「海外では、積極的な活用や強制力を伴うものにしようとする動きがある。米国では10月中旬に政府機関のドメインに対して、90日以内にDMARCへの対応が指示されているほか、メール未利用の96ドメインがp=rejectに対応済みだ。一方で、9ドメインではp=noneを設定しているものの、レポート設定がない状態であり、p=rejectへの切り替えにはレポート分析が必要だ」と、指摘。

  • TwoFive 開発マネージャーの加瀬正樹氏

    TwoFive 開発マネージャーの加瀬正樹氏

DMARCのレポートフォーマットは、大きく「Report generator metadata」「The DMARC policy」「DKIM and SPF results」「All the authentication results」の4つのパートに分かれている。このうち、DKIM and SPF resultsとAll the authentication resultsが重要なパートとなり、DKIM and SPF resultsはドメインやIPアドレス評価内容、処理内容などDMARCの結果、All the authentication resultsには認証ドメインをはじめとしたドメイン認証の結果がそれぞれ記載されている。

  • DKIM and SPF resultsの概要

    DKIM and SPF resultsの概要

  • All the authentication resultsの概要

    All the authentication resultsの概要

レポートを活用することで、正しいメールの経路となりすましメールの経路が判断できるほか、メールを拒否するだけでなく、どのようなメールが流通しているのかを把握することや、未知のアタッカーを認知することも可能だ。

DMARCで分かること

DMARCのレポートを分析することで、どのような効果が得られるのだろうか。同社では、サービス利用者の声を反映した結果、disposition(受信サーバが送信メールを処理した結果)とDMARC以外の判定要素を分析した。

dispositionの分析では、一部の顧客はポリシーをp=rejectまで引き上げたいものの、どのような効果と副作用があるのか想定がつかないという。そこで、同社は複数のデータを解析し、処理結果を分類や送信IPとのクロスチェックするなど効果と副作用について、一般企業を対象にポリシーをp=quarantinedに設定し、調査した。

これによると、p=quarantinedでは全体の10%程度が隔離され、受信したメールを分析すると大半がForwarderとなった。また、隔離された10%のメールを分析した結果、3つに分類でき、5割はForwarderとなり、転送メールはSPFで拒否されるため、すべてのメールに対してDKIMを設定する必要があるほか、3割が疑わしいIPSアドレスとなった。

そして、加瀬氏は「一番割合が少ない分野では、DKIMシグネチャの結果が特定のプロバイダーに対してニュートラルになるものが多くあり、DKIMの結果によるものではないだろうか。これらの分析の結果、DMARCでp=quarantinedに設定している企業はスパム対策として一定の効果があり、副作用も意外に少ないことが判明した」と分析している。

  • DMARCのp=quarantinedはスパム対策になり、副作用も少ないという

    DMARCのp=quarantinedはスパム対策になり、副作用も少ないという

一方、DMARC以外の判定要素の分析では、オーバーブロッキングはリスクがあり、プロバイダーはDMARCだけで拒否している恐れもあるため、DMARC実施数と判定理由の分類、DMARC救済分析など判定理由をdisposition分析と同様に一般企業のドメインを用いてポリシーをp=quarantinedに設定し、積極的にDMAR対応しているGmailを分析対象とした。

手がかりにする要素はreason_comment(判定理由)とし、「ARC(Authenticated Received Chain) pass」「転送のためnone扱い」「転送だがフィッシング扱い」「XOAR(X original Authentification Result) pass」の4つに大別。

同氏は「ほとんどがARC passとなり、スライドの青枠で囲われている要素はDMARCで認証しなかったにも関わらず、総合的な観点ではGmailが許容していることが分かった。Gmailに特化した分析結果となるが、プロバイダーはARC技術の活用や、それら以外の技術を用いてFalse Positiveを減少させるために実装しようとしている」と、説く。

  • .スライドの青枠で囲われている要素はDMARCで認証しなかったにも関わらず、総合的な観点ではGmailが許容

    スライドの青枠で囲われている要素はDMARCで認証しなかったにも関わらず、総合的な観点ではGmailが許容

これら2つの分析により、p=rejectに変更することで効果が見込め、GmailはDMARC failをある程度は救済することが可能だという。