DMARC設定の追加

Trend Micro Email Securityは、選択したドメインからの受信メールメッセージを認証します。管理者はDMARC認証に失敗したメッセージに対して処理を行うことができます。DMARC認証に成功すると、メッセージは正常に配信されます。DMARC認証に失敗すると、メッセージはDMARC設定に従って隔離、拒否、または配信されます。

DMARC設定は、選択された受信者のドメインに対してのみ適用されます。

注:

Trend Micro Email Securityには、基準となるレベルの保護を受けられるように、優先度が最も低い初期設定のルールが組み込まれています。初期設定のルールは削除できません。

"管理対象ドメイン"に対して作成できるルールは1つだけです。"管理対象ドメイン"に基づいて一致するルールが他にない場合は、初期設定のルールが適用されます。

  1. [受信保護設定] > [ドメインベース認証] > [Domain-based Message Authentication, Reporting & Conformance (DMARC)] の順に選択します。
  2. [追加] をクリックします。

    [DMARC設定を追加] 画面が表示されます。

  3. [管理対象ドメイン] リストから特定の受信者ドメインを選択します。
  4. [DMARCを有効にする] を選択します。
  5. 必要に応じて、[エンベロープ送信者アドレスのないメールメッセージのDMARCをスキップする] を選択します。
  6. オプションで、[Authenticated Received Chain (ARC) を有効にする] を選択します。

    Trend Micro Email Security では、DMARC認証に失敗し、ARC検証には成功するメールメッセージを正常に認証します。また、これらのメールメッセージにARCヘッダのセットを挿入します。

    次に、ARCヘッダのセットの例を示します。

    ARC-Authentication-Results: i=2; tmes.trendmicro.com; spf=temperror (sender IP address: 10.135.11.245) smtp.mailfrom=example.com; dkim=none (no processed signatures) header.d=none; dmarc=fail action=none header.from=test.com; arc=pass

    ARC-Message-Signature: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; c=relaxed/relaxed; bh=5ffn1pIbUBxx6CFHIVuU2HzEpEvAtzhWZ1Jz7ddgWws=; h=Date:From:To:Subject:Message-ID:Content-Type; b=cAaAR+7GtaByy8iSJiWo7GIf8T28Pjod3W2vWKcQWLH/7YA4n0X51cSBlPwtTygfX otqfftTsCNIO1/Xx5LtdE2KdVYZbVgrFo+WpDgtCXCLLw6sO7OsdsPSSPbcpEq8r6q ERfAqu5TNDLaj2+cR197bBhUFYVDJDe7pbfNaAy2g8GL3gOGrkWQcYw1DrRWXeOSEi 3i59afFHqH3LOY4cmlyWDpZxyDhhn7Rhb3ZNlw9aUuQtMj7iaXkxQaC1M/T6bxLEAE XXV4jczaONiJ/5XmsPlR0gvHr0SpC42isWxElyXr2J1C93HgeAmK1Db4JAOGV2mXMF I3fzA7jbSSLag==

    ARC-Seal: i=2; a=rsa-sha256; d=tmes.trendmicro.com; s=TM-DKIM-20200223173148; t=1628750516; cv=pass; b=LKQY/mrwXnJKLJIclybRcGQyWziCvHqIFBAZAYtTlz1aYQ2EiHaXaLbkmokgF8ibC zj5UwsJrIj20lpm0aB+qKDoy4Psme/I3JZNDa5B1OeLHvkcubfUq9bzfSZadkN/dWC N9FfbNSQwiZ0++SOLVwYCcIqh9PkWcfIJa7bo4sP7aUZjJkcXutfcm0q94J9j4fIgz HWxEh58pvjtuMrSKCVCyMIODGoEYa1EbD2EbiTI7iZ54VfPXHjR79b0+21xppZbVEN 0QZGWYuuCoLUrIWDhPzS0kyYyIumPIh4RLe8sMKaBrKECo89XU+BjfNuwZpAPJs/id Q6RbaHHVtp8XA==

  7. 必要に応じて、[Xヘッダをメールメッセージに挿入する] を選択します。

    Xヘッダが追加され、DMARC認証の成否が示されます。

    Xヘッダのサンプルを以下に示します。

    X-TM-Authentication-Results: spf=pass (sender IP address: 10.210.128.20) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=none

    X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40) smtp.mailfrom=example.com; dkim=fail (no verified signatures found) header.d=example.com; dmarc=fail action=none header.from=example.com; arc=none

    X-TM-Authentication-Results: spf=fail (sender IP address: 10.204.148.40) smtp.mailfrom=example.com; dkim=pass (signatures verified) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass

    X-TM-Authentication-Results: spf=pass (sender IP address: 10.204.128.20) smtp.mailfrom=example.com; dkim=fail (no verified signatures found) header.d=example.com; dmarc=pass action=none header.from=example.com; arc=pass

  8. 必要に応じて、[日次レポートを送信者に配信] を選択します。

    このオプションを選択すると、認証の失敗に関する日次の集約レポートが生成され、メールの送信者に返送されます。

  9. [インターセプト] で、DMARC認証に失敗したメッセージに対する処理を指定します。

    DMARCタグは、DMARC認証に失敗したメールの処理方法を受信者に示すものです。このタグには3つの値、「none」、「quarantine」、「reject」があります。Trend Micro Email Securityでは、指示に基づいて各シナリオで実行する処理を指定できます。

    • none: DMARCタグの値が「none」である場合の処理を選択します。

    • quarantine: DMARCタグの値が「quarantine」である場合の処理を選択します。

    • reject: DMARCタグの値が「reject」である場合の処理を選択します。

    • DMARCレコードがありません: DMARCレコードがない場合の処理を選択します。

  10. [タグ付けと通知] で、メッセージに対して追加で行う処理を選択します。
    • 件名にタグを挿入

      注:

      タグはカスタマイズ可能です。[件名にタグを挿入] の処理を選択する場合は、以下のことに注意してください。

      • この処理はメールメッセージの既存のDKIM署名を破損させ、ダウンストリームメールサーバによるDKIM検証の失敗につながるおそれがあります。

      • タグがデジタル署名を破損させないようにするには、[デジタル署名の付いたメッセージにはタグを挿入しない] を選択します。

    • 通知を送信

  11. [除外するピア] で、次のいずれかを実行します。
    • 除外するピアを追加して、特定の送信者ドメインを対象としたDMARC認証をスキップするには、1つまたは複数の送信者ドメイン名を指定し、[追加] をクリックします。

      注:

      Trend Micro Email Securityでは、送信者のエンベロープアドレスを使用してドメイン名を照合します。

      指定したドメインから送信されたメールメッセージに対して、Trend Micro Email SecurityによるDMARC認証が実施されなくなります。メールメッセージは、通常の配信プロセスにおける次の段階へと進みます。

    • 既存の除外するピアを検索するには、キーワードを入力し、[検索] をクリックします。

    • 除外するピアをCSVファイルからインポートするには、[インポート] をクリックします。

      次のようなインポートオプションがあります。

      • 統合: 除外するピアが既存のリストに追加されます。

      • 上書き: 既存のリストが、ファイル内の除外するピアに置き換えられます。

    • 除外するピアすべてをCSVファイルにエクスポートするには、[エクスポート] をクリックします。
  12. [強制ピア] で、次のいずれかを実行します。
    • [ヘッダ送信者を使用して強制ピアを照合する] を選択します。
      注:

      強制ピアの照合にはエンベロープ送信者アドレスが常に使用されます。

      このオプションは、メッセージヘッダの送信者アドレスも照合に使用する場合に選択します。

    • 強制ピアを追加して、特定の送信者ドメインを対象としたDMARC認証を強制するには、1つまたは複数の送信者ドメイン名を指定し、[追加] をクリックします。

      指定されたドメインからの各メールメッセージは、DMARC規格の特定の条件を満たしている必要があります。条件を満たさない場合は、メッセージに対する処理が実行されます。

      次の条件を満たしている必要があります。

      • 送信者のドメインにDMARCレコードがある。

      • メッセージがSPFチェックを通過し、その認証識別子 (ドメイン) が一致している。あるいはメッセージがDKIM検証を通過し、その認証識別子 (ドメイン) が一致している。

    • 強制ピアを検索、インポート、またはエクスポートするには、前の手順で説明したのと同様の操作を実行します。

    注:
    • ある送信者ドメインを [除外するピア] リストと [強制ピア] リストの両方で指定した場合、そのドメインから送信されたメールメッセージに対するTrend Micro Email SecurityのDMARC検証はスキップされます。

    • [エンベロープ送信者アドレスのないメールメッセージのDMARCをスキップする] を有効にしていた場合、そのようなメールメッセージでは、ヘッダの送信者アドレスが [強制ピア] リストに含まれていたとしても、DMARC検証がスキップされます。
  13. [追加] をクリックしてDMARC設定の追加を完了します。
    注:

    追加した設定はすべて、[追加] をクリックしたときのみ有効になります。