Google Workspace のセキュリティを考慮した設計のアーキテクチャと、Gmail に組み込まれたスパム、フィッシング、マルウェア対策を組み合わせることは、外部の脅威からユーザーを保護する優れた方法です。しかし、悪意のある人物が自社のドメインを乗っ取ってユーザーになりすまし、顧客、従業員、ブランドに対してメールベースの攻撃を仕掛けてくる脅威についてはどうでしょうか。
さらに悪いことに、インターネット上の誰でも、あなたのアカウントにアクセスしなくても、あなたのドメインからメールを送信できることをご存知ですか? ここで DMARC が役立ちます。
DMARC ポリシーはありますか?
DMARC は、ドメインベースのメッセージ認証、レポート、および適合の略です。DMARC ポリシーがないと、電子メールを送受信するドメインはなりすましに対して脆弱になり、第三者が次のことを行うことができます。
- フィッシング攻撃を開始する 🎣
- スパム、マルウェア、ランサムウェアを配布する☣️
- 顧客や従業員に対してソーシャルエンジニアリング詐欺を実行する💸
強力な DMARC ポリシーにより、管理者は、権限のない送信者が自社のドメインを使用して送信したメッセージを監視、隔離、または配信を拒否できます。つまり、すべての企業は自社のブランドとドメインの評判を保護するために DMARC ポリシーを必要としています。Rise Digital では、すべての Google Workspace クライアントに初日から DMARC ポリシーが設定されています。
DMARC はどのように機能しますか?
DMARC は主に 2 つの機能を実行します。
- DMARC は、ドメインを使用して送信されたメッセージのソース (サーバーおよびドメイン) と、2 つの重要なメール セキュリティ プロトコルに合格または不合格になったメッセージの割合を含むレポートを送信します。
- 送信者保護フレームワーク (SPF) は、組織に代わって電子メールを送信する権限を持つサーバーおよびドメインを指定します。
- ドメイン キー識別メール (DKIM) は、すべての送信メッセージにデジタル署名を追加し、受信サーバーがメッセージの信頼性と整合性を検証できるようにします。
- DMARC は、上記のプロトコルに失敗したメッセージに対して受信者のメール サーバーが実行すべきアクションを推奨します。
- なし(メッセージを配信)
- 隔離(メッセージをスパムとして配信)
- 拒否(メッセージを返送)
DMARCを有効にする方法
DMARC の実装はプロセスです。DMARC に合格しないすべての送信メッセージを直ちに拒否すると、ビジネスに不可欠なメールの配信が中断されるリスクがあります。そのため、Google Workspace 管理者は段階的に DMARC ポリシーを導入して強化し、その過程で結果を分析し、悪影響がないか監視することをおすすめします。
1. 承認された送信者に対してSPFとDKIMを実装する
まず、ドメインのユーザーやその他の承認された送信者から送信されたメールに対して組織が SPF と DKIM を実装していることを確認します。DMARC は、メール サーバーに SPF または DKIM を通過しないメッセージの処理方法を指示するため、DMARC を有効にすることは非常に重要です。
2. DMARCレポートを収集するための専用メールアドレスを作成する
DMARC ポリシーが設定されると、受信者のメール サーバーからレポートが届きます。メールを大量に送信するのではなく、Google グループなどの専用リポジトリを作成してください。
- Google管理コンソールにログイン
- ディレクトリ > グループ > グループの作成に移動します
- グループ名に DMARC を入力し、グループメールに dmarc を入力し、必要に応じて説明を追加します。グループ所有者とセキュリティ ラベルは省略します。[次へ] をクリックします。
- 「投稿できるユーザー: 外部」を除くすべてのアクセス設定をグループ所有者に設定します。グループに参加できるユーザーを「招待されたユーザーのみ」に設定します。組織外のメンバーは許可しません。「次へ」、「グループの作成」、「完了」、「グループ設定の表示」の順にクリックし、詳細設定をクリックします。
- [投稿ポリシー] で、[ファイルを添付できるユーザー] を [Web 上のすべてのユーザー] に変更します。
3. 初期(許容)DMARCポリシーを実装する
DMARC ポリシーは、SPF または DKIM に失敗したメッセージの処理方法とレポートの送信先を受信者のメール サーバーに通知します。メール フローの中断を回避するために、許容ポリシーから開始します。
v=DMARC1; p=none; rua=mailto:[email protected]
DMARC レポートから洞察を得て、すべての承認済み送信者に対して SPF と DKIM を確保したら、ポリシーを徐々に強化して、承認されていない送信者からのメッセージを検疫し、最終的には拒否します。
4. DMARCレポートを分析する
毎日の DMARC レポートは次のことを理解するのに役立ちます:
- あなたのドメインからメールを送信しているサーバーとドメイン
- DMARC (SPF および DKIM) を通過するメッセージの割合
- DMARC (SPF および DKIM) に失敗するサーバーとドメイン
DMARCianのようなツール XML から人間へのコンバーター レポートの分析に役立ちます。分析に基づいて、DMARC ポリシーを強化する前に、すべての承認済み送信者の SPF および DKIM 設定を調整します。
5. 一部、さらに多く、最終的にはすべての不正メッセージを隔離する
ドメイン レジストラの DNS コンソールで DMARC レコードを編集して、DMARC ポリシーを徐々に強化します。
v=DMARC1; p=quarantine; pct=10; rua=mailto:[email protected]
悪影響を監視し、DMARC レポートを分析し、必要に応じて SPF および DKIM 設定を調整します。隔離されたメッセージの割合を 100% に達するまで増加します。
6. 許可されていない送信者からのメッセージを拒否する
最後に、許可されていない送信者からのメッセージを拒否します。
v=DMARC1; p=reject; rua=mailto:[email protected]
受信者のメール サーバーが DMARC ポリシーを上書きすることはほとんどありません。これで、組織はドメインを偽装する不正な送信者による不正使用から保護されます。
おめでとうございます!🥳 これで、ドメインはメールのなりすましやスパムから保護されます。
