Domain-based Message Authentication, Reporting & Conformance (DMARC) は、なりすましメールの検出および防止のために設計されたメール検証システムです。これは、正規の組織を装った送信者アドレスによるメールの送信など、フィッシング詐欺やスパムで頻繁に使用される手法に対抗することを目的としています。この検証システムにより、特定のドメインへのメールメッセージ認証、送信者へのフィードバックおよび公開ポリシーに基づいた処理が行われます。
DMARCは、Cloud Email Gateway Protectionの受信メール認証プロセスに組み込まれています。これは、メール受信者が、送信されたメッセージの内容が、送信者について受信者が持っている情報に適合しているかを判断するために役立ちます。適合しない場合、DMARCでは、適合しないメッセージの処理方法に関する指針が示されます。DMARCでは、次のいずれかが求められます。
-
メッセージがSPFチェックを通過し、その認証識別子 (ドメイン) が一致している。
-
メッセージがDKIM署名チェックを通過し、その認証識別子 (ドメイン) が一致している。
識別子アライメントが成立するには、SPFまたはDKIMによって認証されるドメインがメッセージヘッダドメインと同じであるか、同じ組織ドメインに属している必要があります。アライメントモードが
s(strict) である場合、2つのドメインは同一である必要があります。アライメントモードが
r(relaxed) である場合、2つのドメインは同じ組織ドメインに属している必要があります。
注意メールメッセージが送信者IP照合チェックを通過した場合、そのメッセージはDMARC認証のSPFチェックも通過したとみなされます。
|
ただし、メーリングリストやアカウント転送などのサービス (仲介者とも呼ばれます) が正当なメッセージを改変して送信すると、SPF、DKIM、DMARCのアライメントに失敗する場合があります。その場合、正当であるにも関わらずメッセージが配信されなくなります。
Authenticated Received Chain (ARC) は、そのような問題を解決するために開発されました。ARCによって、後続の仲介者 (「ホップ」)
でのメール認証結果が保持されます。このような仲介者によってメッセージが改変されることがあり、その結果、メッセージが最終的な宛先に到達したときにメール認証手段が検証に失敗する場合があります。しかし、検証されたARCチェーンが存在していれば、受信者はメッセージを破棄することなく、ARCの結果を評価して例外を作成することで正当なメッセージの配信を許可することができます。
ARC に対応する仲介者は一般的に、ARCバリデータ (メッセージの受信時) とARCシーラ (ローカルで生成されていないメッセージの転送時) の両方として機能します。
Cloud Email Gateway ProtectionがARCバリデータとしてARC結果の有効性を評価する際、現時点では次のサードパーティARCシーラだけが評価されます。
-
Google
-
Microsoft
Cloud Email Gateway ProtectionがARCシーラとしてメッセージの検証結果に署名を加える際には、ARCヘッダに「d=tmes.trendmicro.com」というドメイン名を使用します。次ホップの仲介者がARCに対応している場合、トレンドマイクロは、その仲介者がARCシーラの信頼リストにトレンドマイクロを追加できるようにすることをお勧めします。