NECは2022年8月23日、「DMARCレポート分析サービス」を提供開始した。自社(ユーザー企業)になりすました送信元詐称メールの送信状況を把握できるようになる。DMARCはなりすましメール対策技術であり、認証結果レポート(DMARCレポート)を、なりすまされた企業あてに送ってくる。NECは今回、DMARCレポートを集計/見える化/分析するツールと同社のノウハウを組み合わせ、ユーザーのなりすましメール対策を支援するサービスを開始した。
Subscribe to get access
Read more of this content when you subscribe today.
図1:DMARCとDMARCレポート分析サービスの概要(出典:NEC)
拡大画像表示
DMARCレポートを集計/見える化/分析するツールとして、TwoFiveの「DMARC/25 Analyze」を使う(関連記事:TwoFive、なりすましメールを可視化するクラウドサービス「DMARC/25」を強化、類似ドメインも報告)。これを使うと、DMARCレポートを分かりやすく集計したレポートを得られる。自社のドメインを不正に利用したなりすましメールを容易に確認可能なため、自社のメールを受信する可能性のある顧客やパートナ企業に警告を通知するなどして被害を抑止できる。
DMARC/25 Analyzeの利用にあたって必要なシステムの変更は、自社のDNS情報の書き換えだけ。なりすましメールを受信した、DMARC対応メール受信サーバー側では、DMARCの認証結果情報(DMARCレポート)を正規のメール送信者のメールアドレスに送信する仕組みになっている。なりすまされた組織側では、自社のDNSのDMARCレコードにDMARC/25 Analyzeのメールアドレスを書いておくことで、DMARCレポートをDMARC/25 Analyzeで受け取れるようになる。
NECの「DMARCレポート分析サービス」では、DMARC/25 Analyzeが生成する集計レポートに加えて、DMARCの運用ポリシーの変更に向けたコンサルティングなど、DMARCの運用に関してトータルで支援する。NEC社内でのDMARC導入・運用ノウハウを活かし、専門のアナリストがデータを分析するとしている。
Subscribe to get access
Read more of this content when you subscribe today.
図2:DMARCレポート分析のイメージ(出典:NEC)
Original Post>
成りすましを判定してアクセス制御を自動化するDMARC
なお、メール受信サーバーによるDMARCの具体的な働きは、以下の通り。DMARCを使うと、SPFとDKIMという2つの認証技術の結果を利用して、これらの認証に失敗したメールについてアクセス制御を行う。さらに、認証結果を送信元ドメインの管理者(なりすまされた企業)と共有する。
SPFによる認証では、SMTPセッションのMAIL FROMコマンドの引数(エンベロープFROM)に含まれるドメイン名からDNSをひき、DNSのSPFレコードに登録されているメール送信サーバーのIPアドレスを調べる。IPアドレスが一致するかどうかを判定する。
DKIMによる認証では、メール本文に含まれるDKIMヘッダーで表現されたドメイン名からDNSをひき、DNSのDKIMレコードに登録されている公開鍵を入手。これを使ってDKIMヘッダーに含まれる電子署名を検証して判定する。
DMARCでは、SPFとDKIMの判定とは別に、メール本文中のFROMヘッダー(なりすましメールが詐称する部分)に書かれているドメイン名が、SPFが判定に用いるドメイン名(エンベロープFROM)やDKIMが判定に用いるドメイン名(DKIMヘッダーに含まれるドメイン名)と一致するかどうかも判定する。
これらの後に、メール本文中のFROMヘッダーに書かれているドメイン名に対してDNSをひき、DNSのDMARCレコードを参照する。DMARCレコードには、なりすましメールの処置方法として、メール受信者側で受信を拒否してもよいといった、アクセス制御ルールが宣言されている。さらに、レポートの送信先メールアドレスが書かれている。