DMARC は、DNS に公開する短い指示にすぎません。あなたになりすましたメッセージを受信メールサーバーがどう扱うか、そして何か異常があったときにどのように概要レポートを送るかを指示します。
メールを再ルーティングしたり、遅延させたり、公開したりすることはありません。DMARCFlow が設定すると、メールは通常どおり流れ続けながら、なりすましの試みを完全に可視化できます。
仕組み
DMARC は、メールエコシステム全体で共有されるポリシーノートのようなものだと考えてください。既存の SPF と DKIM のチェックを結びつけ、不審なトラフィックの処理方法を明示します。
_dmarc.yourdomain.com の下に 1 つの TXT エントリを追加します。それにはポリシー(監視、隔離、拒否)とレポートの送信先が記載されます。サーバーは移動しません。
Gmail、Microsoft、その他のプロバイダーがあなたのメールを受信すると、SPF 送信者と DKIM 署名があなたのドメインと一致するかどうかを検証します。
それらのシステムは集約された XML レポートを送信します。各行は送信元 IP ごとの試行回数のカウントであり、メッセージの本文ではありません。
既存の DNS を確認し、DMARC を監視モードで段階的に導入し、すべての正当な送信者が通過することが分かってから初めてポリシーを厳格化します。
メールは配信されますが、なりすましの試みは気づかれません。レポートも強制もありません。
p=none(監視)で DMARC を公開します。レポートを受け取り、内容に触れることなく SPF/DKIM の欠陥を解消します。
すべてが認証されると、隔離/拒否へ移行します。正当なトラフィックは流れ続け、なりすましメッセージはついに失敗します。
プライバシーの約束
私たちが受け取る唯一のデータは、「203.0.113.10 からの 250 件のメッセージが通過」といった集約された XML の行です。その中に件名、添付ファイル、本文はありません。
配達証明のようなものだと考えてください。真正性を証明するには十分ですが、1 通のメッセージを読むには決して足りません。
DMARC レポートはメッセージを送信元ごとにまとめます。個々の従業員や顧客までたどることはできません。
DMARCFlow 経由でメールが再ルーティングされることはありません。すべてのメッセージは引き続きサーバーから受信者へ直接送られます。
強制を一時停止したい場合は、DNS のポリシー値を変更するだけで十分です。
監査担当者向けにすべての変更を記録するため、誰がどのレコードを操作したかを正確に示せます。