専門家によって暴かれた19のDMARC神話

多くの人は、DMARCが何を達成しているのか、詐欺、なりすまし、ドメインスプーフィングからどのように保護しているのかをすぐには理解していません。 DMARCについて、電子メール認証がどのように機能するのか、そしてなぜそれがあなたにとって有益なのかについて多くの誤解があります。 しかし、同じ神話が切り取られ続けているため、探索する価値のある繰り返し要素がいくつかあります。

しかし、何が間違っているのかをどうやって見分けることができますか？ そして、どのようにあなたがそれを適切に使用していることを確信することができますか？ Skysnagはあなたがソートしています。 この記事では、さまざまなDMARCの神話を見て、なぜそれがあなたの組織にとって非常に重要なのかを理解します。

神話＃1：私はすでにSPFとDKIMを完了しているので、DMARCは必要ありません。

DMARC(Domain-based Message Authentication,Reporting,And Conformance)標準は、多くの主要な電子メールサーバーが送信および受信の電子メール(Office365、Google Workspace、および商用のセキュアな電子メールゲートウェイ)をチェックするために使用する最新の電子メール認証標準です。

SPFおよび/またはDKIMは適切な情報を提供しないため、上記のゲートウェイのどれも、配信の決定を行うときにこれらを考慮するだけではありません。 代わりに、DMARC、エンゲージメント率などのさまざまな指標を検討します。

神話＃2：SPF/DKIMを使用していないため、DMARCを利用できません。

DMARCレポートは、SPFおよびDKIMの認証の問題を解決するために必要な情報を提供します。 DMARCプロジェクトの最初のステップは、監視モード(p=none)DMARCレコードを設定することです。これにより、許可されたメールストリームの認証問題、およびシャドー ITおよび/またはスプーフィングアクティビティが可視化されます。

神話＃3：私はOffice365またはGoogle Workspaceを使用しているので、すでにDMARCを持っています。

O365とGoogle Workspaceは受信メールのDMARC認証を検査しますが、DMARCの可視性を提供したり、独自のドメインのDMARC施行を設定したりするのに役立ちません。また、あなたに代わってメールを送信するクラウドまたはオンプレミスのサービスを検証することもできません。

神話＃4：メールの設定が原因でDMARCを使用できません

DMARCは、オンプレミスでもクラウドでも、あらゆる電子メールゲートウェイで動作します。 DMARCはメールフローとは独立しており、MXレコードとは別のDNSエントリです。 Exchange、Office365、Google Workspace、およびすべての商用電子メールゲートウェイを使用しているお客様のために、Red ShiftはDMARCを正常に実装しました。

神話#5:DMARCは私のメールマーケティングを無効にするでしょう。

実際には、適切に検証されると、DMARCはあなたのマーケティングレターに最高の配信チャンスを与えます。 問題は、最初にすべてのマーケティングメールを識別して認証せずにDMARCを使用すると、DMARC強制ポリシーに切り替えると、誤って検疫または拒否される可能性があることです。

神話#6:DMARCを使用するのは大規模なメール送信者だけです。

DMARCは、規模に関係なく、すべてのタイプのビジネスに適用されます。 すべての企業は、正当な電子メールを認証し、ドメインの違法ななりすましやなりすましを防止する必要があります。これは、両方ともdmarcを施行レベルで展開することによって行われる可能性があります。

神話＃7：DMARCは単なるセキュリティイニシアチブです。

DMARCは、it、セキュリティ、コンプライアンス、マーケティングが連携したときに、最も迅速かつ生産的に完了するクロスファンクショナルプロジェクトです。 BIMIにより、DMARCは信頼できるドメインを使用する悪意のあるなりすましやフィッシングを排除するだけでなく、シャドー ITを特定し、正当なメール配信を改善し、ブランドインプレッションを増加させます。

神話＃8：P=noneのDMARCは、DMARCをまったく使用しない方が望ましいです。

真の場合、すべてのDMARCプロジェクトはp=noneで始まる必要があります。 これは、DMARCコンプライアンスを満たすために認証調整を行うために必要な可視性を得るためです。 しかし、一部のユーザーは、DMARCポリシーをnoneにするとセキュリティ体制が改善されると誤って感じています。 DMARCポリシーが「なし」に設定されている場合、DMARCレコードをまったく持っていないかのように簡単に偽装される可能性があります。

神話#9DMARCは時間のかかる手動プロセスであり、完了するまでに数ヶ月かかります。

企業は通常、2つの理由でDMARCプロジェクトを中止します:

1. DNS内の認証レコードを手動で変更すると、特に毎回変更制御を行う必要がある場合は、長い時間がかかる場合があります。 手でSPFの平らになることおよび維持は成功の保証無しで困難、時間のかかる、である場合もある。
2. すべての正当なメールが認識および認証されており、DMARCポリシーによって隔離または拒否されないかどうかが不明です。

神話#10:DMARCを自分で実装するのは簡単です。

DMARCは、実際には、誰でも使用できる無料の公開標準です。 毎日、Red Siftは何百万ものDMARCレコードを調べ、DIY DMARCプロジェクトの大部分がp=noneのままであることを発見しました そしてDMARCの施行を決して達成しないでください。 その結果、これらの企業は、なりすまし、なりすまし、フィッシング攻撃に対して脆弱になります。

神話＃11：私は困惑しているDMARC XMLレポートを理解することはできません。

DMARCレポートが人間に読まれることを意図していないことは驚くべきことではありません！ DMARCレポートを理解するには、何らかの方法でそれらを解析してから、レポート、アラート、および解釈を追加する必要があります。

神話#12:個人情報はDMARCフォレンジックデータに含まれています。

DMARCフォレンジックレポートは、本物のメールストリームの認証問題のトラブルシューティングに役立ち、悪意のあるメールの起源を特定するのに役立ちます。

神話＃13：DMARCベンダー間にはあまり区別がありません。

多くの企業は、GUIインターフェースでドメインに代わってDMARCレポートを処理することができ、最近ではDMARCの監視と可視性を商品にしています。 ホスト型電子メール認証とプライベートデータチャネルの最新技術を使用して、DMARCの施行にドメインを取得するための反復可能で安全で簡単で効率的な手順は、商品ではありません。

神話＃14：SPFを管理して最新の状態に保つことは不可能です

今日のクラウド電子メールサービスの世界では、手動でSPFレコードを管理し、最新の状態に保つことは間違いなくタスクです。 しかし、手元に正しい機器を持つことは、それがはるかに簡単になります。 このプロセスは、次の方法ではるかに簡単に行うことができます。:

• すべての電子メールソースは適切に識別され認識可能であるため、ユーザーは有効な電子メールサービスがないことを心配する必要はなく、すべてのソースは明確にラベル付けされ、独自の送信者インテリジェンスで認識されます。
  承認されたソースは、送信者が発見された後、SPFフラット化を使用してワンクリックで検証できます。 もはや使用されていないサービスをアンインストールすることができ、レコードは、将来的に便利に制御することができます。
• 動的SPFを使用すると、SPFレコードは動的にフラット化され、常に構文的に正確になり、SPF10ルックアップの制限を回避できます。

神話＃15：私は10以上のSPFルックアップを持っている場合、それは私のメールフローには影響しません。

現在のほとんどの電子メールゲートウェイは電子メール認証にDMARCを使用していますが、メールフィルタリングの主な要因としてSPFを使用するレガシーシステムはまだいくつかあります。
受信メールボックスがSPFチェックを実行すると、10個の参照制限を超えると、レコードが技術的に壊れていることを示します。 さらに、DMARCレコードが施行されている場合（検疫または拒否）、DKIMを使用していない送信者からのメールを禁止する危険があります。 実際のeメールがSPFとDKIMの両方で正常に認証され、SPFレコードのルックアップが10を超えていない場合、配信される可能性が最も高くなります。

神話＃16：DMARC保護はすでに「アクティブ化されています。’

のDMARCポリシー ‘none‘ そして、執行時のDMARCレコードは大きく異なります。 「なし」のポリシーでDMARCを「有効にする」という単純な行為は、必要な最初のステップですが、セキュリティ体制を改善したり、ドメインが偽装されたりするのを防ぐためには何もしません(この方法で単純に表示するための賞品はありません!このようにしてDMARCを有効にすることはできません。).

DMARCの旅を終えるには、pct=100で検疫または拒否のポリシーを達成する必要があります。 そうしないと、なりすましやフィッシング攻撃に対してドメインを脆弱にしてしまいます。

神話#17:私は非常に多くのドメインを保護するために持っているので、私のDMARCの設定は複雑すぎるでしょう。

あなたは大きなドメインポートフォリオを持っているので、DMARCプロジェクトの立ち上げから延期されるべきではありません。 実際には、より多くの保護されていないドメインを持つことは、強制のためにDMARCを使用しない場合、ソフトターゲットになります。したがって、多くのドメインを持っているため、問題を無視することは解決策ではありません。 ドメインを探す

神話＃18：DMARCは非常に高価です

Skysnagでは、可能な限り自動化するよう努めており、お客様は効率性と規模の経済性の恩恵を受けることができます。

Skysnagアカウントを作成して、DMARCレコードを生成します。

神話#19:自分のドメインからメールを送信しないため、DMARC保護は必要ありません。

非送信ドメインは、ドメインを送信するのと同じように偽造することができ、有名なブランド、ウェブサイト、個人、企業を使用している場合、フィッシングや偽装メールのターゲットとしてより魅力的です。 送信されていないドメインからの悪意のある電子メールの受信者は、ドメインから電子メールを送信するように構成されていないことを発見したり理解したりしない可能性があります。電子メールが十分に説得力があり、正当であると思われる場合、彼らは誤ってそれがあなたからのものであると信じて、あなたのブランド全体と評判を危険にさらす可能性があります。

最終的な考えです。

これで、完全に反証されたすべてのDMARC神話のリストは終わりです。 Skysnagの自動DMARCは、メールメッセージが送信元と主張するドメインから送信されたことを確認することで、フィッシングやなりすましに対する保護を強化します。 Skysnagは、DMARCレポートを生成し、潜在的なセキュリティ問題の調査やなりすまし攻撃からの潜在的なリスクの特定を支援します。 Skysnagを始めて、このリンクからサインアップしてください。

You might be interested in reading:

P=none DMARC 10月 11, 2023

URLフィッシングとは何ですか？ 10月 12, 2023

ソーシャルエンジニアリングとは何ですか？ 10月 11, 2023

DMARCコンプライアンスとは何か、そしてそれを達成するには？ 10月 11, 2023