『GmailによるDMARCなどの送信ドメイン認証義務づけ対応』ウェビナーでのご質問への追加回答
※本記事は2024/1/25に開催した『GmailによるDMARCなどの送信ドメイン認証義務づけ対応』ウェビナーの質疑応答にて時間の都合で回答しきれなかった内容への追加回答となります。
この度は、『GmailによるDMARCなどの送信ドメイン認証義務づけ対応』にご参加いただき、誠にありがとうございました。
またたくさんの質問をいただき、誠にありがとうございます。
こちらの記事にて、ウェビナーでの質疑応答時間で回答しきれなかった、質問に対して可能な範囲で回答を致します。
Q1.PostmasterToolにドメインを登録・認証させましたが、「表示するデータがありません。しばらくしてからもう一度お試しください。」と表示されデータを閲覧出来ません。どのような理由で閲覧でこのようなメッセージが表示されるのでしょうか。
A1.一定数の送信量がないと表示されない仕様のようです。送信数が少ないとお考えください。
Q2.DMARCレポートのXMLを見ているのですが、DMARC認証がpassしたかfailしたかを判断するにはどこを見ればよいのでしょうか?
A2. /record/row/policy_evaluated/spf
/record/row/policy_evaluated/dkim
が共にfailになっている場合です。
Q3.スライド23で「正規のメールでDMARC認証が継続して成功しているかレポートで定期的に確認が必要」との話がありましたが理由を教えて下さい。なりすましメールによる認証失敗を監視する意味でしょうか?それとも設定の不備を定期的に確認しておく必要があるという事でしょうか?
A3.両方です。一般的に、時間の経過により、システムリプレースや新規リリースなので、メールの環境は変化します。特に自社が使うSaaSサービスなど現場が新規契約した場合などを把握することができます。
Q4.DMARCの設定で親ドメインと子ドメインでポリシーを別けれますか。小ドメインを設定しても親ドメインの設定で上書きされないのか心配です。
A4.可能です。サブドメインにDMARCレコードがある場合は、その設定が優先されます。
Q5.BIMI導入後でも、技術的になりすましが行われる可能性(パターン)はあるのでしょうか?ある場合、とのような場合で、これに対してどのように対策や監視を行っておくべきか教えて下さい。
A5.なりすましの手法は多岐に渡り残念ながら万能薬がないというのが現実です。フィッシング対策協議会では定期的に新たな手法、市場における最新情報、効果的な対策方法を発信していますので継続して動向を注視いただければ幸いです。
Q6.自社運用(MTAはPostfix)の場合の留意点はございますでしょうか。
A6.一般的にmilterを使うと思いますが、流量が多い場合は、FileDescripterの上限を超えるケースがあります。
Q7.twofive様のご説明の中でP=noneでメールを送信しレポートから分析して改善していくとのお話がありましたが、「レポートでの分析」というのは、途中お話のありました「PostMaster Tools」で実現できるものでしょうか。また、1日に5000通送信しなくても、1日に5000通以上送るときのガイドラインでチェックされるものでしょうか。ご存知でしたらご教示いただければと思います。
A7.postmaster toolsはgoogle環境で受信したメールについての情報です。DMARCのレポートは届きません。
DMARCのレポートは別途受信し、分析する必要があります。
1日5000通未満の場合は、5000通未満のガイドラインが適用されます。ただし、5000通以上のガイドラインに適用すれば、gmail以外の宛先への未達防止に効果ありますので、可能な限り、5000通以上のガイドラインに適合することをお勧めします。
Q8.BIMIロゴの件。Google Workspace(Gmail)では、BIMIを登録しなくても、アカウントの設定でアイコンを設定する事ができますので、設定したアイコンロゴが受信者側のGmailでもそのアイコンが表示されますので、BIMIとの違いを厳格に制御することはDMARCでできるのでしょうか?
A8.DMARCで行うことはできませんが、BIMIにより違いが出ます。第2部DigiCertの資料のP8で説明させていただいたBIMIの時のみ表示される青いチェックマークがロゴだけを出すことができるGmailのロゴとは違います。また、BIMIの設定により送信システムに関わらず全てのドメインのメールにロゴが明示されるのが大きな違いとなります。
Q9.実際のメールでdmarc spfとdmarc dkim がpassもしくはfailしてるのをどうやって確認すべきでしょうか?
A9.受信したメールのAuthentication-resultヘッダから確認可能です。
Q10.ご講演ありがとうございました。2024年2月からのGoogleのポリシー変更についてご教示ください。2024年2月1日から3月末までの期間も、ポリシーに合致していない場合、送信が完了しないことがあるのでしょうか。エラーコードが帰ってくるだけで送信自体は完了するのでしょうか。(再送等は必要になるのでしょうか。)
A10.一般的に一時的なエラーの場合、送信元メールサーバが、再送をすることが期待されます。
システムによって、一時失敗の場合に再送をしない仕様となっていることもございます。その場合は、再送処理を実施いただく必要があります。
Q11.DMARCを設定するにあたり、DNSサーバには「SPFレコード」「DKIMレコード」「DMARCレコード」の3つのレコードの設定が必要という認識でお間違いないでしょうか。
A11.全ての認証を成功させるという意味では、ご認識の通りです。
先んじて、DMARCレポートをp=noneで公開し、レポートを分析してから、SPF/DKIMの設定が必要なシステムを洗い出すことが対応として一般的だと考えます。
Q12.また、DKIMレコードはGoogle管理コンソールから発行したものを、
NSレコードに設定するという認識でお間違いないでしょうか。
A12.一般的にDKIM鍵ペアはシステム毎に必要になります。
Google workspaceのみを使っている場合はご認識の通りですがsalesforceも使用されている場合、salesforceの設定画面からDKIM公開鍵用のレコードを確認し設定する必要がございます。
Q13.Microsoft 365ユーザで、独自ドメインを導入してOutlook onlineを利用しております。
(質問1)microsoft.com にて dkim、dmarc が設定済みのなか、独自ドメイン側での対応要否について、追加解説いただけますでしょうか。
(質問2)また、何故、microsoft.com が出てくるのかについて、ご存じでしたらご教授いただけますと幸いです。
(質問3)dmac設定について、親ドメインを登録するとサブドメインにも適用されると伺いました。レポートと分けるために、親ドメイン、サブドメインで別々に登録しても、挙動に問題ありませんでしょうか。
A13.
(回答1)カスタムドメインをご利用の場合は、カスタムドメイン毎に設定変更が必要です。
(回答2)microsoft365はデフォルトでは全てのカスタムドメインにonmicrosoft.comのプライマリドメインでDKIM署名をする使用だからです。
(回答3)サブドメインにDMARCレコードがある場合、そのDMARCレコードが優先します。
Q14.Gmailの配信解除機能について、例えばHTMLメールによる年賀状送信のような使い方では該当件数以上送信していた場合でも対象外と考えて問題ないのでしょうか?
A14.google側が情報非開示のため、弊社ではお答えできませんが、自社製品のアピールや製品リンクなど、広告要素を含んでいる場合は、必要と考えていただいた方が安全です。
Q15.VMCの申請者について、検証があるとご説明がありました。もし、企業グループ全体でBIMI対応を行うためには、会社ごとにVMCの発行が必要になるのでしょうか?(会社単位でVMC発行が必要になる認識を持ちましたが、あっているでしょうか)
A15.認証マーク証明書の申請組織をVMCでは認証いたします。ですので、グループ全体を認証する必要はありませんが、ドメインがそれぞれ組織ごとに分かれているのであればそれぞれ申請していただくことになります。
Q16.p=noneの場合DMARCレポートを分析するメリットはありますでしょうか
A16.一般的には以下(4点)がございます。①設定不備の見える化 ②把握していないシステム(シャドーIT)の見える化 ③なりすましメールの見える化 ④ポリシー強化時に影響を受ける通数の見える化
Q17.TwoFiveさんの、レポート分析でSPFアライメント、DKIMアライメントの認証に成功しているか確認できますか。また認証に失敗している場合、助言等いただけるのでしょうか。
A17.可能です。診断コンサルティングで、問題があるシステムの指摘もおこなっておりますが、対応のための技術サポートはご提供できません。
※一部回答出来ていないご質問もありますが、それらはGoogleのFAQに書かれてありますので、お手数ですがFAQをご確認下さい。