[技術解説]
DMARCレポートの活用でなりすまし/不正メール対策を強化する─TwoFive
2020年11月10日(火)日川 佳三(IT Leaders編集部)
メールセキュリティベンダーのTwoFiveは2020年11月10日、企業や団体を装ったなりすまし/不正メールへの対策サービス「DMARC/25」のラインアップを拡充し、メール受信者側がDMARC規格に対応できるようにするサービス「DMARC/25 Reporter」を発表、同日付で無料提供を開始した。メール受信側に求められる機能として、なりすましを判定して認証結果のレポートを送信する機能を提供する。メール送信側だけでなく、メール受信側のDMARC対応を推進することで、DMARCレポートの有用性を高めるのが狙い。
フィッシングメールなどのなりすまし/不正メールを防ぐ仕組みとして、受け取ったメールが正規の送信者から送られているかを調べる「送信ドメイン認証」技術がある。
送信ドメイン認証技術の中でも代表格が、メールサーバーをIPアドレスで判定するSPF(Sender Policy Framework)と、電子署名で判定するDKIM(DomainKeys Identified Mail)である。DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPF/DKIMの認証結果を基に、アクセスを制御し認証結果をメール送信者と共有できるようにする送信ドメイン認証の仕組みで、RFC 7489で標準化されている。
TwoFiveは2017年6月から、メール送信者側のためのDMARC関連サービスとして、全世界のメール受信サーバーから送られてくる認証結果報告(DMARCレポート)をWebで可視化する「DMARC/25 Analyze」を提供している(関連記事:TwoFive、なりすましメールを可視化するクラウドサービス「DMARC/25」を強化、類似ドメインも報告)。DMARCレポートを可視化するアプリケーションを自前で開発しなくても、なりすましの状況を分かりやすく把握できる(画面1)。
画面1:DMARCによるなりすまし/不正メールレポートを可視化するイメージ(出典:TwoFive)拡大画像表示
今回、メール受信者側に向けたDMARC関連サービスとして、DMARC/25 Reporterを新たに用意した(図1)。これを使うと、SPF/DKIMを用いてなりすましかどうかを認証・判定する機能や、認証結果からDMARCレポートを生成して正規のメール送信者に送信する機能など、メール受信側がDMARCに対応する上で求められる機能一式を、メールサーバーに容易に組み込める。
図1:「DMARC/25 Reporter」の仕組み(出典:TwoFive)拡大画像表示
メールサーバーのプラグインとクラウドサービスで構成
DMARC/25 Reporterは、メール受信サーバーに機能を追加するプログラムモジュールと、認証結果のデータを蓄積して送信元にDMARCレポートを送信するクラウドサービスで構成する。プログラムモジュールは、認証結果データをクラウドに定期的に転送する。
プラグインモジュールだけで機能のすべてをまかなうのではなく、データの蓄積やレポートの送信をクラウドサービスが担う形である。このため、メール受信側は、自社で認証結果データ蓄積用のデータベースを用意する必要がない。
また、クラウドサービス上では、認証結果データやDMARCレポート送信状況などをダッシュボードで確認できる(画面1)。
画面1:「DMARC/25 Reporter」のダッシュボード画面(出典:TwoFive) メールサーバーに機能を追加するプログラムモジュールは、SendmailやPostfixなどの汎用メールサーバーに機能を追加できるMilter(Mail Filter)形式のプログラムと、米Cloudmarkが開発しTwoFiveが販売するメールサーバー「Cloudmark Security Platform for Email」向けのプラグインモジュールの2種類を用意している。
●Next:メール受信側でのDMARC対応が進んでいない理由
会員登録(無料)が必要です
- 1
- 2
- 次へ >
