DMARC設定の追加

手順

1. [受信保護設定] → [ドメインベース認証] → [Domain-based Message Authentication, Reporting & Conformance (DMARC)] の順に選択します。
2. [追加] をクリックします。
   [DMARC設定を追加] 画面が表示されます。
3. [管理対象ドメイン] リストから特定の受信者ドメインを選択します。
4. [DMARC]を有効にする。
5. 必要に応じて、[エンベロープ送信者アドレスのないメールメッセージのDMARCをスキップする] を選択します。
6. オプションで、[Authenticated Received Chain (ARC) を有効にする] を選択します。
   Cloud Email Gateway Protection では、DMARC認証に失敗し、ARC検証には成功するメールメッセージを正常に認証します。また、これらのメールメッセージにARCヘッダのセットを挿入します。

   次に、ARCヘッダのセットの例を示します。

   ARC-Authentication-Results: i=2; tmes.trendmicro.com; spf=temperror (sender IP address: 10.135.11.245) smtp.mailfrom=example.com; dkim=none (no processed signatures) header.d=none; dmarc=fail action=none header.from=test.com; arc=pass

   ARC-Message-Signature: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; c=relaxed/relaxed; bh=5ffn1pIbUBxx6CFHIVuU2HzEpEvAtzhWZ1Jz7ddgWws=; h=Date:From:To:Subject:Message-ID:Content-Type; b=cAaAR+7GtaByy8iSJiWo7GIf8T28Pjod3W2vWKcQWLH/7YA4n0X51cSBlPwtTygfX otqfftTsCNIO1/Xx5LtdE2KdVYZbVgrFo+WpDgtCXCLLw6sO7OsdsPSSPbcpEq8r6q ERfAqu5TNDLaj2+cR197bBhUFYVDJDe7pbfNaAy2g8GL3gOGrkWQcYw1DrRWXeOSEi 3i59afFHqH3LOY4cmlyWDpZxyDhhn7Rhb3ZNlw9aUuQtMj7iaXkxQaC1M/T6bxLEAE XXV4jczaONiJ/5XmsPlR0gvHr0SpC42isWxElyXr2J1C93HgeAmK1Db4JAOGV2mXMF I3fzA7jbSSLag==

   ARC-Seal: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; cv=pass; b=LKQY/mrwXnJKLJIclybRcGQyWziCvHqIFBAZAYtTlz1aYQ2EiHaXaLbkmokgF8ibC zj5UwsJrIj20lpm0aB+qKDoy4Psme/I3JZNDa5B1OeLHvkcubfUq9bzfSZadkN/dWC N9FfbNSQwiZ0++SOLVwYCcIqh9PkWcfIJa7bo4sP7aUZjJkcXutfcm0q94J9j4fIgz HWxEh58pvjtuMrSKCVCyMIODGoEYa1EbD2EbiTI7iZ54VfPXHjR79b0+21xppZbVEN 0QZGWYuuCoLUrIWDhPzS0kyYyIumPIh4RLe8sMKaBrKECo89XU+BjfNuwZpAPJs/id Q6RbaHHVtp8XA==
7. 必要に応じて、[Xヘッダをメールメッセージに挿入する] を選択します。
   Xヘッダが追加され、DMARC認証の成否が示されます。

   Xヘッダのサンプルを以下に示します。

   X-TM-Authentication-Results: spf=pass (sender IP address: 10.210.128.20) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=none

   X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40) smtp.mailfrom=example.com; dkim=fail (no verified signatures found) header.d=example.com; dmarc=fail action=none header.from=example.com; arc=none

   X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass

   X-TM-Authentication-Results: spf=pass (sender IP address: 10.204.128.20) smtp.mailfrom=example.com; dkim=fail (no verified signatures found) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass
8. 必要に応じて、[日次レポートを送信者に配信] を選択します。
   このオプションを選択すると、認証の失敗に関する日次の集約レポートが生成され、メールの送信者に返送されます。
9. [インターセプト]の下で、ドメイン所有者のDMARCポリシーに基づいて、Cloud Email Gateway ProtectionがメールのDMARCメカニズムチェックに失敗した場合の応答方法を指定します。
   DMARCポリシータグは、DMARC認証に失敗したメールメッセージをどのように処理するかを受信者に指示します。タグには3つの値があります: [none]、[quarantine]、[reject]。Cloud Email Gateway Protectionを使用すると、ドメイン所有者のDMARCポリシーに従うかどうかを決定し、明確に定義されたDMARCポリシーを持つ送信ドメインと持たない送信ドメインに対して個別のアクションを設定できます。
   • Log only: ドメイン所有者のDMARCポリシーには従わないが、結果はログに記録する
     組織に頻繁にメールを送信するドメインがどのようにDMARCポリシーを定義しているかをしばらくモニタしたい場合は、このオプションを選択してください。
     Cloud Email Gateway Protectionは、いかなるDMARCポリシーに対しても[メッセージをインターセプトしない]アクションを実行します。アクションは編集できません。[件名にタグを挿入]および[Send notification]アクションは無効です。
   • Fully apply: ドメイン所有者のDMARCポリシーに従って、すべてのドメインに対して処理を実行する
     このオプションを選択すると、組織に頻繁にメールを送信するドメインが明確に定義されたDMARCポリシーを持っていると確信していることを示します。
     [DMARCポリシーによる処理の設定]をクリックし、[処理]、[件名にタグを挿入]、[Send notification]を設定して、メールがDMARCメカニズムチェックに失敗した場合に適用します。
   • 部分的に適用: ドメイン所有者のDMARCポリシーに従って、指定されたドメインに対して処理を実行する
     このオプションを選択すると、明確に定義されたDMARCポリシーがある送信ドメインとない送信ドメインに対して個別のアクションを設定できます。
     • [指定されたドメインに対するDMARCポリシーによる処理の設定]をクリックして、明確に定義されたDMRCポリシーを使用します。
       1. [処理]、[件名にタグを挿入]、[Send notification]を設定して、メールがDMARCメカニズムチェックに失敗した場合に適用します。
       2. [ドメイン] で [ヘッダ送信者を使用してドメインを照合する] を選択します。

          注意 ドメインの照合にはエンベロープ送信者アドレスが常に使用されます。このオプションは、メッセージヘッダの送信者アドレスも照合に使用する場合に選択します。

       3. 1つまたは複数の送信者ドメイン名を指定し、[+ Add]をクリックしてください。
          • サポートされているドメイン名形式: example.com、subdomain.example.com、*.example.com
          • ドメイン名の形式がサポートされていません: *.com
          • 送信者ドメインにはDMARCレコードが必要です。そうでない場合、ドメインからのメッセージに対して[DMARCレコードなし]に設定されたアクションが実行されます。
       4. 既存のドメインを検索するには、キーワードを入力し、[検索] をクリックします。
          ドメインをCSVファイルからインポートするには、[インポート] をクリックします。
          次のようなインポートオプションがあります。
          • 統合: ドメインを既存のリストに追加します。
          • 上書き: 既存のリストが、ファイル内のドメインに置き換えられます。
          すべてのドメインをCSVファイルにエクスポートするには、[エクスポート] をクリックします。
     • [他のドメインに対するDMARCポリシーによる処理の設定]をクリックし、[処理]、[件名にタグを挿入]、[Send notification]を設定して、メールがDMARCメカニズムチェックに失敗した場合に適用します。
10. [タグ付けと通知]で、[インターセプト]の下に設定された[件名にタグを挿入]および[Send notification]アクションに適用される件名タグと通知受信者を構成して、DMARCメカニズムチェックの失敗を確認します。
    • 件名にタグを挿入

      注意 タグはカスタマイズ可能です。[件名にタグを挿入] の処理を選択する場合は、以下のことに注意してください。 この処理はメールメッセージの既存のDKIM署名を破損させ、ダウンストリームメールサーバによるDKIM検証の失敗につながるおそれがあります。 タグがデジタル署名を破損させないようにするには、[デジタル署名の付いたメッセージにはタグを挿入しない] を選択します。

    • 通知を送信
      [通知メッセージ]をクリックして、利用可能な通知のリストから希望の通知テンプレートを選択します。
11. [除外するピア] で、次のいずれかを実行します。
    • 除外するピアを追加して、特定の送信者ドメインを対象としたDMARC認証をスキップするには、1つまたは複数の送信者ドメイン名、IPアドレス、またはCIDRブロックを指定し、[追加] をクリックします。

      • サポートされているドメイン名の形式: example.com、subdomain.example.com、*.example.com
      • ドメイン名の形式がサポートされていません: *.com
      指定したドメイン、IPアドレス、またはCIDRブロックから送信されたメールメッセージに対して、Cloud Email Gateway ProtectionによるDMARC認証が実施されなくなります。メールメッセージは、通常の配信プロセスにおける次の段階へと進みます。

      注意 除外するピアをドメイン名を使用して指定した場合、Cloud Email Gateway Protectionでは送信者のエンベロープアドレスを使用してドメイン名を照合します。 除外するピアの一覧は部分的に適用されたドメインの一覧よりも優先されます。メッセージが両方の一覧に一致する場合、そのメッセージに対するCloud Email Gateway ProtectionのDMARC認証はスキップされます。 [一般設定] の下で [Skip DMARC for email messages with no envelope sender addresses] を有効にしていた場合、そのようなメッセージでは、ヘッダの送信者アドレスが [部分適用ドメイン] リストに含まれていたとしても、DMARC認証がスキップされます。

    • ドメインを検索、インポート、またはエクスポートするには、前の手順で説明されている操作と同様の操作を行います。
12. [追加] をクリックしてDMARC設定の追加を完了します。

    注意 追加した設定はすべて、[追加] をクリックしたときのみ有効になります。