Cisco Systems, Inc.
www.cisco.com
シ ス コ は世界各国 200 箇所にオ フ ィ ス を開設 し ています。 所在地、電話番号、FAX 番号 は以下のシ ス コ Web サイ ト を ご覧 く だ さ い。 www.cisco.com/go/officesCisco Domain Protection ユーザ ガ イ ド
こ のマ ニ ュ アルに記載 さ れてい る 仕様お よ び製品に関す る 情報は、予告な し に変更 さ れ る こ と が あ り ま す。こ のマ ニ ュ アルに記載 さ れてい る 表現、情報、お よ び 推奨事項は、すべて正確で あ る と 考え てい ま すが、明示的で あれ黙示的で あれ、一切の保証の責任を 負わない も の と し ま す。こ のマ ニ ュ アルに記載 さ れてい る 製 品の使用は、すべて ユーザ側の責任に な り ま す。
対象製品の ソ フ ト ウ ェ ア ラ イ セ ン ス お よ び限定保証は、製品に添付 さ れた『Information Packet』に記載 さ れてい ま す。添付 さ れていない場合には、代理店に ご連絡 く だ さ い。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
こ こ に記載 さ れてい る 他のいか な る 保証に も よ ら ず、各社のすべてのマ ニ ュ アルお よ び ソ フ ト ウ ェ アは、障害 も 含めて「現状の ま ま 」 と し て提供 さ れ ま す。シ ス コ お よ び こ れ ら 各社は、商品性の保証、特定目的への準拠の保証、お よ び権利 を 侵害 し ない こ と に関す る 保証、あ る いは取引過程、使用、取引慣行に よ っ て発生す る 保証を は じ め と す る 、明示 さ れた ま たは黙示 さ れた一切の保証の責任 を負わない も の と し ま す。 いか な る 場合において も 、シ ス コ お よ びその供給者は、こ のマ ニ ュ アルの使用 ま たは使用で き ない こ と に よ っ て発生す る 利益の損失やデー タ の損傷 を は じ め と す る 、間接的、派生的、偶発的、あ る いは特殊な損害について、あ ら ゆ る 可能性が シ ス コ ま たはその供給者に知 ら さ れていて も 、それ ら に対す る 責任 を一切負わな い も の と し ま す。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1110R)
こ のマ ニ ュ アルで使用 し てい る IP ア ド レ ス お よ び電話番号は、実際のア ド レ ス お よ び電話番号を示す も のではあ り ま せん。マニ ュ アル内の例、コ マ ン ド 出力、 ネ ッ ト ワ ー ク ト ポ ロ ジ図、お よ びその他の図は、説明のみを目的 と し て使用 さ れてい ます。説明の中に実際のア ド レ ス お よ び電話番号が使用 さ れていた と し て も 、それは意図的な も のではな く 、偶然の一致に よ る も のです。
C O N T E N T S
概要
1-1は じ めに
1-1必要に応 じ た支援に よ る DIY ア プ ローチ
1-1経緯:DMARC の必要性
1-1基本:DMARC と は
1-2DMARC 強制ポ リ シー と は
1-2DMARC の支持者
1-3DMARC の利点:重要であ る理由
1-4着信上の利点
1-5BEC と は
1-5DMARC と 着信上の脅威:部分的な解決策
1-5標準:詳細
1-6SPF:Sender Policy Framework
1-6DKIM:DomainKeys Identified Mail
1-6DMARC:Domain-based Message Authentication, Reporting, & Conformance
1-7メ カ ニズム:DMARC の仕組み
1-7DMARC と Cisco Domain Protection に よ っ て追加 さ れる機能
1-9利点:DMARC の実装前後
1-9一般的な プ ロ セス:DMARC の実装
1-10DMARC の実装が容易ではない理由
1-11「正当な」電子 メ ールの指定
1-11必要な作業
1-12「p=reject」の DMARC ポ リ シーへの移行
1-12は じ める前に
1-12参考資料
1-13Cisco Domain Protection の実装プ ロ セ ス
2-1全体的な プ ロ セス
2-1手順 1:ポー タ ルへのア ク セス を取得する
2-2高度な ト ピ ッ ク
2-3手順 2:DMARC レ コ ー ド を モニ タ ポ リ シーで公開する
2-32a:DMARC Builder を使用 し て レ コ ー ド を作成する
2-32b:DNS で レ コ ー ド を公開する
2-7目次
手順 3: ド メ イ ン をポー タ ルに追加する
2-7ス テ ッ プ 3a: ド メ イ ン をグループ化する
2-10モニ タ リ ング
3-1手順 4: ト ラ フ ィ ッ ク を一定期間モニ タ する
3-1モ ニ タ リ ングの開始
3-2手順 5: タ ーゲ ッ ト と な る 1 つまたは複数の ド メ イ ン を特定する
3-5手順 6:送信者を特定 し て分類する
3-5[送信者(Senders)] ページ
3-6[送信者(Senders)] ページの要点
3-7Sender Policy Framework
4-1Sender Policy Framework(SPF)
4-1SPF レ コ ー ド のシ ン タ ッ ク ス
4-1IP ア ド レ スの指定
4-2SPF の調整
4-3手順 7:新 し い SPF レ コ ー ド を作成 し て提示する
4-4例:ウ ェ ル ノ ウン送信者の SPF
4-4例:カ ス タ ム送信者の SPF
4-8[SPF の問題(SPF Problems)] レ ポー ト の使用
4-9レポー ト の共有または登録
4-12SPF レ コ ー ド への EasySPF™ Analyzer の使用
4-13ホス ト さ れた SPF
4-19シ ス コ でのホス ト の停止
4-22手順 8 と 手順 9:SPF レ コ ー ド を公開 し 、ビ ジネス オーナーを特定する
4-23送信者が SPF をサポー ト し ていない場合
4-23参考資料
4-24DomainKeys Identified Mail
5-1DomainKeys Identified Mail(DKIM)
5-1概要:DKIM には暗号化が含まれる
5-2DMARC では DKIM 識別子の整合が必要
5-2手順 10 ~ 11:ゲー ト ウ ェ イ における DKIM の有効化
5-2目次
レポー ト の共有または登録
5-11参考資料
5-11拒否ポ リ シーへの移行
6-1DMARC に よ る強制
6-1レポー ト によ る モニ タ リ ング
6-1レポー ト のイ ン タ ラ ク テ ィ ブ機能
6-3共有 と スケジ ュ ー リ ング
6-4ド メ イ ンの整理
6-6手順 15 と 手順 16:適用する
6-8おめで と う ご ざいます。
6-9変更のモニ タ リ ング
7-1過去の拒否のモ ニ タ リ ング
7-1ア ラ ー ト
7-2次の手順
7-3ユーザ ア カ ウン ト
8-1ユーザの追加
8-1新 し いユーザの有効化
8-2ユーザ ロール
8-2管理者ロール
8-2読み取 り 専用ロール
8-3ド メ イ ン固有のア ク セス
8-3ロールの使用例
8-4C H A P T E R
1
概要
は じ めに
こ のガ イ ド では、DMARC(Domain-based Message Authentication, Reporting & Conformance)の概 要 と 、Cisco Domain Protection™ を使用 し て「ユーザ」(本製品のユーザ、以降同様)の組織で DMARC を 実装す る プ ロ セ ス を進め る 方法につい て説明 し ま す。
Cisco Domain Protection は、ド メ イ ン の DMARC ポ リ シーの確立 を 容易にす る こ と に よ り 、 フ ィ ッ シ ン グや ス パ ム な ど の方法で電子 メ ール を悪用す る (ユーザか ら の も ので あ る と 偽装 さ れた電子 メ ールの送信を試み る )犯罪者か ら のユーザの顧客の保護を支援 し ま す。 DMARC は電子 メ ールの認証、ポ リ シー、お よ び レ ポー ト 用のプ ロ ト コ ルです。こ のプ ロ ト コ ル は、広 く 使用 さ れてい る SPF プ ロ コ ト ル と DKIM プ ロ ト コ ルに基づいて作成 さ れてお り 、作成者 (「From:」)の ド メ イ ン名、受信者の認証失敗処理に関す る 公開済みポ リ シー、お よ び受信者か ら 送信者への レ ポー ト への リ ン ク を追加 し て、不正な電子 メ ールか ら の ド メ イ ン の保護の強化 と モニ タ リ ン グ を実現 し ま す。 対象読者 こ のガ イ ド は、組織の DMARC の管理に着手 し てい る 電子 メ ール管理者を対象 と し てい ま す。
必要に応 じ た支援によ る DIY アプ ローチ
Cisco Domain Protection と こ のガ イ ド を 使用す る こ と に よ り 、ド メ イ ン の DMARC ポ リ シーの セ ッ ト ア ッ プ、管理、お よ び保守のプ ロ セ ス 全体を容易に実行で き ま す。
Cisco Domain Protection は、ユーザのブ ラ ン ド を 持つ電子 メ ールに関す る デー タ の可視化 を 実現 す る と と も に、そのデー タ を有意義な方法で分析す る ツール、DMARC を実装す る ための さ ま ざ ま な フ ァ イ ル を生成す る ツール、お よ びユーザ イ ン タ ーフ ェ イ ス か ら 有効にで き ない タ ス ク を 実行す る ために役立つ ヒ ン ト を提供 し ま す。
経緯:DMARC の必要性
電子 メ ールは、その重要性、普遍性、お よ び耐久性に も かかわ ら ず、こ れ ま で決 し て安全な も ので は あ り ま せんで し た。第 1 章 概要 基本:DMARC と は セ キ ュ リ テ ィ に関す る こ れ ま での試みでは、他者の ア イ デン テ ィ テ ィ を使用 し て電子 メ ール を 送信で き る と い う 電子 メ ールの基本的な欠陥を解決で き ま せんで し た。こ の脆弱性のために、世 界で最 も 高い評価を得てい る ブ ラ ン ド の力が犯罪者に利用 さ れてい ま す。それ ら の犯罪者は、電 子 メ ールに よ り 、ほ と ん ど すべてのブ ラ ン ド を利用 し て ス パ ム メ ールやフ ィ ッ シ ン グ メ ールを 送信 し 、マル ウ ェ ア を イ ン ス ト ール し て、顧客に直接的な損害を与え る と と も に、企業が何年 も かけ て築 き 上げたブ ラ ン ド エ ク イ テ ィ を失わせ ま す。 Facebook、Apple、JPMorgan Chase、PayPal な ど の世界で最 も 賞賛 さ れて い る ブ ラ ン ド の多 く では、 顧客 と ブ ラ ン ド を保護す る ために DMARC 標準が採用 さ れてい ま す。 DMARC を 使用す る 企業は、それ ら の企業の ド メ イ ン名 を使用 し て送信 さ れ る 正当な メ ール と 不正な メ ールに関す る 前例のない可視性を獲得 し ま す。DMARC の驚 く べ き 機能に よ り 、ユーザ か ら の も ので あ る と 主張 し てサー ド パーテ ィ 、ビ ジ ネ ス ユニ ッ ト 、攻撃者な ど か ら 送信 さ れ る さ ま ざ ま な メ ール ス ト リ ーム のすべて を把握で き る よ う にな り ま す。DMARC を採用 し た企業へ の全体的な影響は、ブ ラ ン ド エ ク イ テ ィ の維持、電子 メ ール詐欺に関す る カ ス タ マー サポー ト コ ス ト の削減、お よ び企業の電子 メ ール チ ャ ネルにおけ る 信頼 と 関与の回復です。 世界の受信 ト レ イ の 70 % で有効にな っ てお り 、最先端のセ キ ュ リ テ ィ を実装す る ブ ラ ン ド で も 採用 さ れてい る オープ ン ス タ ン ダー ド の DMARC は、イ ン タ ーネ ッ ト 規模の電子 メ ール保護を 実現 し 、電子 メ ール サ イ バー攻撃に よ る 正当なブ ラ ン ド の不正使用を防止す る 唯一の ソ リ ュ ー シ ョ ン です。
基本:DMARC とは
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、業界 コ ン ソ ーシ ア ム の DMARC.org が電子 メ ール チ ャ ネルを保護す る ために 2012 年に公開 し たオープ ン電子 メ ール標準です。DMARC は、すでに確立 さ れてい る 電子 メ ール認証標準を拡張す る も ので あ り 、電子 メ ール送信者が電子 メ ール受信者に対 し て、送信 し てい る 電子 メ ールが本当に自分か ら の も ので あ る こ と を伝え る 唯一の方法です。 DMARC に よ り 、電子 メ ール を 送信す る 企業は、次の こ と が可能に な り ま す。 • ユーザ自身の イ ン フ ラ ス ト ラ ク チ ャ か ら 送信 さ れた メ ッ セージやサー ド パーテ ィ か ら 送信 さ れた メ ッ セージ を含め、それ ら の企業の電子 メ ール送信 ド メ イ ン の正当なすべての電子 メ ール メ ッ セージお よ び送信元を認証で き ま す。 • 明 ら かに信頼で き る 電子 メ ール メ ッ セージに対す る ア ク シ ョ ン を メ ールボ ッ ク ス プ ロ バ イ ダーに指示す る 明示的な ポ リ シーを公開で き ま す。こ れ ら の メ ッ セージは、迷惑 メ ール フ ォ ルダに送信す る か完全に拒否す る こ と がで き ま す。こ れに よ り 、不用心な受信者が攻撃か ら 保護 さ れ ま す。 • 誰が企業の ド メ イ ン か ら メ ール を 送信 し て い る のかが分か る よ う に な り 、電子 メ ール ス ト リ ー ム に関す る イ ン テ リ ジ ェ ン ス を 得 る こ と がで き ま す。こ のデー タ は、顧客に対す る 脅威 を 特定す る だけ で な く 、気付か な い可能性の あ る 正当な送信者 を 発見す る た めに も 役立ち ま す。
DMARC 強制ポ リ シー と は
第 1 章 概要 基本:DMARC と は 図1-1 DMARC の仕組み
DMARC の支持者
DMARC は、世界最大の送信者、受信者、お よ び業界の コ ン ソ ーシ ア ム に よ っ て支持 さ れて い ま す。世界中の 25 億以上の メ ールボ ッ ク ス が DMARC に対応 し てい ま す。 DMARC 標準 を 支持す る 世界最大規模の電子 メ ール送信者には、以下の組織が含 ま れ ま す。 図1-2 DMARC を支持 し ている送信者 DMARC 標準 を 支持す る 世界最大規模の電子 メ ール受信者には、以下の組織が含 ま れ ま す。第 1 章 概要 DMARC の利点:重要であ る理由 図1-3 DMARC を支持 し ている受信者 さ ら に、DMARC 標準は、以下の政府機関お よ び産業通商組織に よ っ て支持 さ れてい ま す。 政府機関 • NIST:米国国立標準技術研究所
https://www.nist.gov/
[英語]
• FTC:米国連邦取引委員会https://www.ftc.gov/
[英語]
• GOV.UK:https://www.gov.uk/
[英語]
業界団体• OTA:Online Trust Alliance
https://otalliance.org/
[英語]
• M3AAWG:Messaging Malware Mobile Anti-Abuse Working Group
https://www.m3aawg.org/
[英語]
• DMARC.org:
https://dmarc.org/
[英語]
• FS-ISAC:Financial Services Information Sharing and Analysis Center
https://www.fsisac.com/
[英語]
• NH-ISAC:National Health Information Sharing and Analysis
https://nhisac.org/
[英語]
DMARC の利点:重要である理由
ブ ラ ン ド 保護
犯罪者は自分の利益のために他者の ド メ イ ン を利用 し よ う と し てお り 、その対策は待っ た な し の状態です。その犯罪行為が フ ィ ッ シ ン グ で あれ、マル ウ ェ ア の拡散で あれ、あ る いは迷惑な ス
第 1 章 概要 DMARC の利点:重要であ る理由 DMARC を 導入す る こ と に よ り 、不正な メ ッ セージ を排除す る と 同時に、正当な メ ッ セージ の配 信可能性を向上 さ せ る こ と がで き ま す。 サービ ス コ ール 顧客は、そ も そ も フ ィ ッ シ ン グ メ ッ セージ を受け取 る こ と がな ければ、その よ う な メ ッ セージに 関 し て電話や電子 メ ールで問い合わせ る こ と はあ り ま せん。シ ス コ のお客様では、フ ィ ッ シ ン グ メ ッ セージが多か っ た ド メ イ ン で拒否ポ リ シーを公開 し た後に 60 人の ス タ ッ フ を別の場所に 再配置で き た事例が あ り ま す。 サイバー攻撃の リ ス ク の可視性 自社に代わ っ て電子 メ ール を送信 し てい る すべてのサー ド パーテ ィ 企業を把握で き てい ま す か。サー ド パーテ ィ 送信者は必要ですが、顧客、従業員、ま たはパー ト ナーの詳細情報を サー ド パーテ ィ に提供す る たびに、サ イ バー攻撃の リ ス ク が増大 し ま す。DMARC を使用す る と 、代行 送信す る すべてのサー ド パーテ ィ を把握 し 、それ ら が電子 メ ールのベ ス ト プ ラ ク テ ィ ス に準拠 し てい る こ と を確認で き ま す。
着信上の利点
DMARC を 実装す る こ と に よ り 、あ る 種の着信電子 メ ールの脅威(BEC な ど) も 防 ぐ こ と がで き ま す。BEC と は
ビ ジ ネ ス メ ール詐欺(BEC)は、攻撃者が会社の役員にな り す ま し て、不正な代替口座への電信送 金を要求す る 偽装電子 メ ール を送信す る 着信上の脅威です。こ の攻撃を防がな ければ、多 く の場 合、侵入 さ れ、被害者の ク レ デン シ ャ ルに ア ク セ ス さ れ ま す。 特性 • ソ ーシ ャ ル エ ン ジ ニ ア リ ン グ と デジ タ ル偽装 を 活用 し て い ま す。 • 悪意の あ る リ ン ク や コ ン テ ン ツ ま たはマル ウ ェ アは含 ま れて い ま せん。 • 主要な セ キ ュ ア電子 メ ール ゲー ト ウ ェ イ を 容易に回避 し ま す。DMARC と 着信上の脅威:部分的な解決策
DMARC を 適切に設定す る こ と に よ り 、攻撃者が、「差出人」ア ド レ ス を 使用 し て、保護 さ れた ド メ イ ン か ら 発信 さ れた よ う に見え る 電子 メ ール を送信す る フ ィ ッ シ ン グ攻撃を防 ぐ こ と がで き ま す。こ れは、発信 フ ィ ッ シ ン グ を防 ぐ ためには最適ですが、着信 ト ラ フ ィ ッ ク の許容 さ れ る 解 決策 と はな り ま せん。 表1-1 DMARC ポ リ シーによ る着信上の脅威の防止 着信偽装の手法 DMARC に よ る対処 直接/同一 ド メ イ ン の ス プーフ ィ ン グ 可 表示名の ス プー フ ィ ン グ 不可 類似 し た ド メ イ ン の ス プー フ ィ ン グ 不可第 1 章 概要 標準:詳細 DMARC は BEC や高度な着信上の脅威に部分的に対処で き ま すが、あ ら ゆ る 形式の送信者ア イ デン テ ィ テ ィ の偽装を識別す る 包括的な レ イ ヤに よ っ て ゲー ト ウ ェ イ 保護を強化す る 必要が あ り ま す。
標準:詳細
• SPF:Sender Policy Framework
• DKIM:DomainKeys Identified Mail
• DMARC:Domain-based Message Authentication, Reporting, & Conformance
SPF:Sender Policy Framework
SPF(Sender Policy Framework、RFC 7208 と し て IEFT が 2014 年 4 月に公開)は、Mail From: 電子
メ ール ア ド レ ス で ド メ イ ン を使用 し て電子 メ ールを送信す る こ と が認可 さ れ る サーバ を ド メ イ ン所有者が指定す る こ と を可能にす る 認証標準です。SPF に よ り 、受信者は、DNS への ク エ リ に よ っ て特定の ド メ イ ン の認可済みサーバの リ ス ト を取得で き ま す。認可 さ れたサーバ を介 し て 電子 メ ール メ ッ セージが着信す る 場合、受信者は、その電子 メ ールを正当な も の と 見なす こ と が で き ま す。 図1-4 SPF の DNS レ コ ー ド の例 短所:SPF は、電子 メ ールの あ ら ゆ る 使用例に最適な標準ではな く 、メ ッ セージが転送 さ れ る 場 合には役に立た ない可能性が あ り ま す。SPF に よ っ て認証 さ れた Mail From: ド メ イ ン を電子 メ ール受信者が容易に確認す る こ と はで き ま せん。
DKIM:DomainKeys Identified Mail
DKIM(Domain Keys Identified Mail、2018 年 1 月に RFC 8301 と し て公開)は、ド メ イ ン 名 と 電子
メ ール メ ッ セージ を暗号に よ っ て関連付け る 認証標準です。送信者は、電子 メ ール メ ッ セージ に暗号署名を挿入 し ま す。受信者は、こ れ を、DNS に よ っ て ホ ス ト さ れ る 公開キーを使用 し て検 証す る こ と がで き ま す。検証に成功 し た場合、DKIM は(SPF と は異な り )、転送に耐え ら れ る 優れ た信頼性を持つ ド メ イ ン レ ベルの識別子を提供 し ま す。 図1-5 DKIM の DNS レ コ ー ド の例 短所:DKIM は、送信 メ ッ セージ ご と に暗号署名を必要 と し 、一般に SPF よ り も セ ッ ト ア ッ プ作 業が複雑にな り ま す。DKIM は、メ ー リ ン グ リ ス ト を通 じ て送信 さ れ る メ ッ セージの よ う に、内
第 1 章 概要
メ カ ニズム:DMARC の仕組み
DMARC:Domain-based Message Authentication, Reporting, & Conformance
DMF(Domain-based Message Authentication, Reporting & Conformance、RFC 7489 と し て 2015 年
3 月に公開)は、SPF お よ び DKIM と 連携 し て機能す る 電子 メ ール認証標準で あ り 、電子 メ ールに 長い間不足 し ていた機能を も た ら し ま す。つ ま り 、電子 メ ール ド メ イ ン が ど の よ う に使用お よ び 悪用 さ れてい る か を送信者が把握す る こ と を可能に し ま す。既存の認証テ ク ノ ロ ジーを組み合 わせて セ キ ュ ア な電子 メ ール チ ャ ネルを作成す る 方法が規定 さ れてお り 、受信者には認可 さ れ ていない電子 メ ール を安全に処分す る 方法に関す る 明確な指示が提供 さ れ ま す。し か も 、こ れ ら のすべてが イ ン タ ーネ ッ ト 規模で実現 さ れ ま す。 図1-6 DMARC の DNS レ コ ー ド の例 図1-7 DMARC は DKIM と SPF に基づいて保護 と レポー ト の両方を提供
メ カ ニズム:DMARC の仕組み
DMARC モデルでは、ポ リ シー公開の メ カ ニ ズ ム と し て DNS が使用 さ れ ま す。DMARC レ コ ー ド は、DMARC 固有の名前空間で TXT DNS レ コ ー ド と し て ホ ス ト さ れ ま す。DMARC 名前空間は、 DMARC に準拠 さ せ る 電子 メ ール ド メ イ ン の前に「_dmarc.」を 付加す る こ と に よ っ て作成 さ れ ま す。た と えば、「example.com」 と い う 電子 メ ール ド メ イ ン が DMARC レ コ ー ド を公開す る 場合 は、「_ dmarc.example.com」で TXT レ コ ー ド の DNS ク エ リ を発行す る こ と に よ り 、DMARC レ コ ー ド が取得 さ れ ま す。 DMARC 仕様では、送信者の電子 メ ール ド メ イ ン か ら 送信 さ れた も ので あ る と 主張す る 電子 メ ールの処理方法を通知す る ために受信者が使用す る パ ラ メ ー タ を含むポ リ シー レ コ ー ド を、 送信者が公開で き ま す。DMARC に よ っ て実現 さ れ る 機能は次の と お り です。第 1 章 概要 メ カ ニズム:DMARC の仕組み • 柔軟な ポ リ シー:DMARC モデルでは、電子 メ ール送信者は次の 3 つのポ リ シーのいずれか を 、基盤 と な る 認証チ ェ ッ ク に合格 し な か っ た電子 メ ールに適用す る ポ リ シーに指定で き ま す。 表1-2 DMARC ポ リ シーオプ シ ョ ン • サブ ド メ イ ン固有のポ リ シー:DMARC レ コ ー ド では、最上位の ド メ イ ン と サブ ド メ イ ン に 異な る ポ リ シーを指定で き ま す(「p=」 タ グ と 「sp=」 タ グ を使用)。 • ポ リ シーの段階的公開:DMARC レ コ ー ド には、DMARC ポ リ シーが適用 さ れ る 電子 メ ール ス ト リ ーム の量を指定す る 「パーセ ン テージ」 タ グ(「pct=」)を含め る こ と がで き ま す。こ の機 能を使用す る と 、送信者は、十分な運用経験が得 ら れて「100 % カバ レ ッ ジ」に移行す る ま で、 段階的に強化 さ れた ポ リ シーを試す こ と がで き ま す。 • 識別子配置の柔軟性:DMARC 仕様では、ド メ イ ン所有者は、識別子配置のセマ ン テ ィ ッ ク を 制御で き ま す。ド メ イ ン所有者は、SPF と DKIM の両方で生成 さ れ る 認証済み ド メ イ ン識別 子に関 し て、厳密な ド メ イ ン の一致が必要か ど う か、あ る いは親 ド メ イ ン と サブ ド メ イ ン の DMARC ポ リ シーの設定 構文 受信者に よ る ア ク シ ョ ン な し (「モニ タ」) p=none 「p=none」ポ リ シーは、ポ リ シーを適用す る 必要がない こ と を 意味 し ま す。つ ま り 、ド メ イ ン所有者は DMARC チ ェ ッ ク に 合格 し なか っ た場合の ア ク シ ョ ン を受信者に依頼 し ま せん。 こ のポ リ シーは、「モニ タ 」ポ リ シー と 呼ばれ る 場合 も あ り ま す。こ のオプ シ ョ ン は、送信者が単に受信者か ら の フ ィ ー ド バ ッ ク を収集す る 場合に使用 さ れ ま す。こ のポ リ シーに よ り 、ド メ イ ン所有者は、SPF/DKIM を導入 し ていな く て も ド メ イ ン を使用す る メ ッ セージに関す る レ ポー ト を受け取 る こ と がで き ま す。それに よ っ て、た と えば、ド メ イ ン が悪用 さ れてい る か ど う か を判断で き ま す。メ ッ セージの処理方法は 変更 さ れ ま せんが、ド メ イ ン所有者は、ど の メ ールがその ド メ イ ン名の も と で送信 さ れてい る のか を あ る 程度把握で き る よ う にな り ま す。ま だ SPF ま たは DKIM を導入 し ていない 場合は、レ ポー ト 機能を利用す る ために、ま ず DMARC ポ リ シーを公開す る こ と か ら 着手 し て く だ さ い。 検疫 p=quarantine 検疫ポ リ シーでは、認証チ ェ ッ ク に合格 し なか っ た電子 メ ー ルは、疑念を持っ て処理す る 必要が あ り ま す。検疫ポ リ シー は、受信者に「DMARC に合格 し なか っ た メ ッ セージ を追加 の処理のために隔離 し てお く 」 こ と を指示 し ま す。ほ と ん ど の受信 メ ール シ ス テ ム では、こ れ ら の メ ッ セージがエ ン ド ユーザの ス パ ム フ ォ ルダに格納 さ れ ま す。こ れに よ り 、エ ン ド ユーザが さ ら に何 ら かの形で ス パ ム対策の監視を強化 し た り 、「不審な も の」 と し て タ グ付けす る こ と につなが っ た り す る 可能性が あ り ま す。 拒否 p=reject DMARC チ ェ ッ ク に合格 し な か っ た メ ッ セージ は受け入れ ら れ ま せん。
第 1 章 概要
利点:DMARC の実装前後
DMARC と Cisco Domain Protection によ っ て追加 さ れる機能
上記の よ う に、DMARC は、SPF と DKIM に よ っ て提供 さ れ る 機能に重要な機能を追加 し ま す。 • SPF と DKIM の認証に合格 し な か っ た場合の ア ク シ ョ ン に関す る 柔軟な ポ リ シー オプ シ ョ ン: こ れは悪意の あ る 電子 メ ール を排除す る ために必要で あ り なが ら SPF 仕様 と DKIM 仕 様に「欠け てい る 部分」です。 • ユーザの ド メ イ ン名を使用す る すべての電子 メ ール送信者に関す る デー タ を収集す る 機能: DMARC では、ユーザが選択 し た ア ド レ ス に XML 形式のデー タ が送信 さ れ ま す。 電子 メ ール デー タ の量が一般に非常に多い こ と な ど のために、DMARC で生成 さ れ る XML デー タ は処理が難 し い場合が あ り ま す。デー タ の処理 と 分析においては、次の よ う な要件に注意 し て く だ さ い。 • 傾向を可視化す る には、デー タ を全体 と し て分析す る 必要が あ り ま す。 • 送信者の詳細情報を分析す る には、個別の電子 メ ール を利用で き る 必要が あ り ま す。 • 脅威 と 正当な送信者の両方に関す る 洞察を得 る には、履歴デー タ を保存す る 必要があ り ます。 シ ス コ のデー タ 分析は、電子 メ ールの量が世界最大規模の送信者の協力を得て行われてお り 、そ の恩恵を ユーザに提供 し てい ま す。それは、ユーザが、DMARC か ら のデー タ を解釈 し て理解す る ために役立ち ま す。ま た、シ ス コ では、ユーザ イ ン タ ーフ ェ イ ス の外部で実行す る 必要の あ る すべての関連 タ ス ク に関 し て、適切に フ ォ ーマ ッ ト さ れた フ ァ イ ルの作成を支援 し てい ま す。 Cisco Domain Protection は、次の よ う に、プ ロ ト コ ル間の欠け て い る 部分 を 埋め ま す。
• 電子 メ ール エ コ シ ス テ ム の業界理解に基づ く 解釈を レ ポー ト し ま す。 • 実際のサ ン プル電子 メ ール メ ッ セージ を可視化 し ま す。 • 実装の主要手順のガ イ ダ ン ス を提供 し ま す。
利点:DMARC の実装前後
DMARC を 使用 し な い場合、ブ ラ ン ド は、電子 メ ールの送信に ド メ イ ン が ど の よ う に使用 さ れて い る のか を十分に把握で き ま せん。 図1-8 DMARC の実装前 DMARC は、すべて の電子 メ ール ト ラ フ ィ ッ ク を可視化 し た後に、認証 さ れて い な い電子 メ ール を処理す る 方法を受信者に指示 し ま す( こ れ ら のすべて を メ ール フ ロ ーの外部で実現)。第 1 章 概要
一般的な プ ロ セス:DMARC の実装
図1-9 DMARC の実装後
一般的なプ ロ セス:DMARC の実装
こ のガ イ ド の残 り の部分では Cisco Domain Protection に よ る DMARC の実装プ ロ セ ス について 詳 し く 説明 し ま すが、大 ま かな プ ロ セ ス は次の よ う な も のです。ド メ イ ン所有者が DMARC に準 拠す る には、こ れ ら の 3 つのア ク テ ィ ビ テ ィ を実行す る 必要があ り 、こ れ ら を必要に応 じ て保護 す る 予定の ド メ イ ン ご と に繰 り 返 し ま す。
ス テ ッ プ 1 DMARC レ コ ー ド を 公開 し ま す。受信者か ら の フ ィ ー ド バ ッ ク の収集 を 開始す る には、DMARC
レ コ ー ド を ド メ イ ン名が「_dmarc.<your-domain.com>」の TXT レ コ ー ド と し て公開 し ま す。 “v=DMARC1; p=none; rua=mailto:dmarc-feedback@<your-domain.com>;
こ れに よ り 、DMARC 準拠の受信者は、集約フ ィ ー ド バ ッ ク を生成 し て 「dmarc-feedback@<your-domain.com>」に送信 し ま す。「p=none」 タ グ を使用す る と 、ド メ イ ン所有 者が フ ィ ー ド バ ッ ク の収集にのみ関心が あ る こ と を受信者に知 ら せ る こ と がで き ま す。 ス テ ッ プ 2 メ ール認証(SPF と DKIM)を導入 し ま す。 • SPF の導入手順には、電子 メ ール ド メ イ ン に代わ っ て送信す る こ と を 認可 さ れたすべて の サーバ を記述す る SPF レ コ ー ド の作成 と 公開が含 ま れ ま す。小規模の組織では、一般に、単 純な SPF レ コ ー ド が使用 さ れてい ま す。一方、複雑な組織は、多 く の場合、さ ま ざ ま なデー タ セ ン タ ー、パー ト ナー、お よ びサー ド パーテ ィ の送信者を認可す る SPF レ コ ー ド を保持 し て い ま す。DMARC で提供 さ れ る 集約フ ィ ー ド バ ッ ク は、SPF レ コ ー ド のブー ト ス ト ラ ッ プ中 に正当なサーバ を特定す る ために役立つ場合が あ り ま す。 • DKIM を 導入す る には、ド メ イ ン所有者が、電子 メ ール サーバ を 設定 し て DKIM 署名 を 電子 メ ールに挿入 し 、DNS で公開キーを公開す る 必要が あ り ま す。DKIM は、広 く 利用 さ れてお り 、すべての主要電子 メ ール ベン ダーに よ っ てサポー ト さ れてい ま す。DMARC で提供 さ れ る 集計 フ ィ ー ド バ ッ ク は、DKIM 署名のない電子 メ ールを送信す る サーバの特定に役立つ場
第 1 章 概要 一般的な プ ロ セ ス:DMARC の実装
DMARC の実装が容易ではない理由
低い可視性 ほ と ん ど の企業では、DMARC レ ポー ト か ら 集約デー タ を取得す る ま で、電子 メ ール エ コ シ ス テ ム が ど れほ ど 複雑かが認識 さ れ ま せん。標準の レ ポー ト は、ド メ イ ン名、IP ア ド レ ス 、お よ び認証 の詳細を示す個別の XML フ ァ イ ルの形式で提供 さ れ ま す。こ の XML デー タ を解析 し て可視化 す る こ と がで き る 多数の ツールが存在 し ま すが、ス ト リ ーム の意味を理解 し 、ド メ イ ン の認証 ス テー タ ス を向上 さ せ る ために必要な後続の ア ク シ ョ ン を特定す る こ と は非常に難 し く 、電子 メ ール フ ロ ーを熟知 し ない と エ ラ ーが発生 し やす く な り ま す。 サー ド パーテ ィ 送信者の検出 と 認可 DMARC の導入過程で最 も 困難な部分は、すべて のサー ド パーテ ィ 送信者 を 把握 し 、正当な送信 者が確実に正 し く 認証 さ れ る よ う にす る こ と です。平均す る と 、顧客は、Salesforce.com、Marketo、 MailChimp な ど のサー ド パーテ ィ を 通 じ て正当な電子 メ ールの 64 % を送信 し てい ま す。 図1-10 サー ド パーテ ィ 送信者の普及 「不適切な行為」の コ ス ト 新 し い メ ッ セージ ン グ プ ラ ッ ト フ ォ ーム も 登場 し てい ま すが、電子 メ ールは依然 と し て組織の コ ミ ュ ニ ケーシ ョ ン と デジ タ ル エ ン ゲージ メ ン ト の最 も 重要な手段で あ り つづけ てい ま す。認 証を不適切に設定す る と 、誤検出、配信可能性の問題、お よ びブ ラ ン ド の毀損が発生す る 可能性 が あ り ま す。配信不能な電子 メ ールの ビ ジ ネ ス への影響が不明で あ る 場合や予測で き ない場合 は、拒否ポ リ シーに移行す る 最後の手順を実行す る こ と が、非常に困難な見通 し と な る 可能性が あ り ま す。「正当な」電子 メ ールの指定
Cisco Domain Protection と DMARC の仕様に よ り 、ブ ラ ン ド を 悪用 し て い る 可能性の あ る 不正な 送信者 と 区別 し て、ユーザの ド メ イ ン「か ら 」 メ ール を送信す る 正当な(承認 さ れた)送信者を特 定 し 、認可す る こ と がで き ま す。
第 1 章 概要 必要な作業
必要な作業
DMARC の実装 を す る には、仕様の内容 と 使用方法 を あ る 程度専門的に理解す る 必要が あ り ま すが、管理や コ ミ ュ ニ ケーシ ョ ン も 必要にな り ま す。あ る 程度の時間を かけ る こ と で、多 く の場 合、組織の内部 と 外部の両方の電子 メ ール送信者を熟知で き ま す。「p=reject」の DMARC ポ リ シーへの移行
DMARC は、当初は ド メ イ ン の DNS レ コ ー ド に TXT レ コ ー ド を 追加す る こ と に よ っ て実装 さ れ ま す。こ の フ ァ イ ルに含 ま れ る プ ロ パテ ィ と 値を編集す る と 、ユーザが制御す る ド メ イ ン に DMARC がポ リ シー を 適用す る 方法 を指定す る こ と がで き ま す。 DMARC 実装プ ロ セ ス の最終目標は、「p=reject」のポ リ シー(ポ リ シーは「p」 と い う ラ ベル を 持つ) に移行す る こ と です。こ の拒否ポ リ シーは、電子 メ ール受信者に、すべての非準拠電子 メ ール を 破棄す る 必要が あ る こ と を通知 し ま す。ただ し 、DMARC 仕様には、メ ール フ ロ ーに影響を与え る こ と な く 段階的に実装す る ための さ ま ざ ま な ポ リ シーが含 ま れてい ま す。DMARC ポ リ シー の段階的な導入 と 強化を可能にす る こ と が、こ の仕様を設計す る 上での主要な目標で し た。 「表 1-2「DMARC ポ リ シー オプシ ョ ン」(8 ページ)」を参照 し て く だ さ い。 サブ ド メ イ ン ま たは ド メ イ ン の単純な「モニ タ リ ン グ モー ド 」レ コ ー ド か ら 始め る 必要が あ り ま す。こ の レ コ ー ド は、DMARC 受信者に、ユーザの(サブ) ド メ イ ン を使用 し て受け取 る メ ッ セー ジに関す る 統計情報を送信す る こ と を要求 し ま す。メ ッ セージ ン グ イ ン フ ラ ス ト ラ ク チ ャ に ま だ SPF ま たは DKIM を実装 し ていな く て も 、こ の作業を行 う こ と がで き ま す(ただ し 、それ ら を 実装す る ま では次の手順に進む こ と がで き ない)。SPF(第 4 章「Sender Policy Framework」(1 ページ)) と DKIM(第 5 章「DomainKeys Identified Mail」 (1 ページ))を導入す る と 、それ ら のチ ェ ッ ク に合格 し た メ ッ セージの数お よ び送信元 と 合格 し なか っ た メ ッ セージの数お よ び送信元が レ ポー ト に示 さ れ る よ う にな り ま す。こ れに よ り 、正当 な ト ラ フ ィ ッ ク の う ち、それ ら で対処で き た量 と で き な か っ た量を容易に把握 し 、問題の ト ラ ブ ルシ ュ ーテ ィ ン グ を行 う こ と がで き ま す。ま た、不正な メ ッ セージが送信 さ れた数 と それ ら の送 信元 も 確認で き る よ う にな り ま す。 正当な ト ラ フ ィ ッ ク のすべて ま たは大部分が SPF と DKIM に よ っ て保護 さ れてい る と 思われ る 場合は、「検疫」ポ リ シーを実装で き ま す。こ れに よ り 、ユーザの ド メ イ ン を使用 し た メ ッ セージ でそれ ら のチ ェ ッ ク の ど ち ら に も 合格 し な か っ た も の を ロ ーカルの ス パ ム フ ォ ルダに相当す る 場所に入れ る よ う に DMARC 受信者に依頼で き ま す。こ のポ リ シーを一定割合の電子 メ ール ト ラ フ ィ ッ ク にのみ適用す る よ う に要求す る こ と も で き ま す。こ の場合 も 、メ ッ セージに何が起 こ っ てい る のか を確認で き る 統計 レ ポー ト が得 ら れ ま す。 いずれは、実装上の問題の解決具合に合わせて、ユーザが望むペー ス でその割合を 100 % に増や す こ と がで き ま す。最後には、DMARC チ ェ ッ ク に合格 し なか っ たすべての メ ッ セージが顧客の 受信 ト レ イ ではな く ス パ ム フ ォ ルダに入れ ら れ る よ う にす る 必要が あ り ま す。
は じ める前に
第 1 章 概要 参考資料 シ ス コ サポー ト (https://www.cisco.com/support/)に問い合わせ る か、サポー ト ケー ス を [email protected] に提出 し て く だ さ い。緊急の問題につい ては、シ ス コ サポー ト に電話 (855-682-1708)で連絡 し て く だ さ い。 こ の 1 つのユーザ ア カ ウ ン ト が管理者ア カ ウ ン ト です。こ の最初のア カ ウ ン ト か ら 追加のユー ザ ア カ ウ ン ト (委任 さ れた管理権限 ま たは読み取 り 専用権限用の異な る ロ ール と ア ク セ ス 許可 を持つ)を作成で き ま す。詳細については、第 8 章「ユーザ ア カ ウ ン ト 」(1 ページ)を参照 し て く だ さ い。 ス テ ッ プ 2 ド メ イ ン の リ ス ト を収集 し ま す。 組織のために保護す る 予定の ド メ イ ン( と サブ ド メ イ ン)の リ ス ト が必要です。こ の リ ス ト には、 組織のプ ラ イ マ リ ド メ イ ン、つ ま り 、組織に最 も 関連性の深い ド メ イ ン と 電子 メ ールの送信に最 も 使用 さ れ る ド メ イ ン(例:coltrane.net)— や組織が所有す る 防御 ド メ イ ン ま たはテ ス ト ド メ イ ン(例:blue.coltrane.net, coltrane-soprano.net, coltrane-tenor.net, a-love-supreme.net な ど )を含む必要が あ り ま す。ま た、合併買収履歴 と 、製品やプ ロ セ ス を区別す る ために ド メ イ ン を 作成、使用 し た特定の イ ン ス タ ン ス を記録 し て く だ さ い。
ス テ ッ プ 3 DNS を変更で き る 機能 を入手 し ま す。
保護す る 予定の ド メ イ ン の ド メ イ ン ネーム シ ス テ ム(DNS)レ コ ー ド を変更す る 機能が必要で す。DMARC 認証プ ロ ト コ ル(お よ び SPF プ ロ ト コ ル と DKIM プ ロ ト コ ル)は、認証を実行す る た めに DNS サービ ス に依存 し てい ま す。Cisco Domain Protection への最初のデー タ フ ロ ーの実現 か ら 、モニ タ か ら 拒否への DMARC ポ リ シーの変更にいた る ま で、ド メ イ ン保護のプ ロ セ ス の全 体を通 し て、DNS を変更す る 必要が あ り ま す。 ス テ ッ プ 4 ス テー ク ホルダーの リ ス ト を作成 し ま す。 組織のすべての発信電子 メ ール を認証す る プ ロ セ ス には、組織の規模に応 じ て多数の グループ が含 ま れ る 場合が あ り ま す。た と えば、潜在顧客 と の コ ミ ュ ニ ケーシ ョ ン を担当す る ア ウ ト バ ウ ン ド マーケ テ ィ ン グの専門チーム、既存の顧客 と の コ ミ ュ ニ ケーシ ョ ン を担当す る サポー ト チーム、バ ッ ク エ ン ド シ ス テ ム か ら の注文確認や領収書の送信を担当す る ビ ジ ネ ス 継続チーム な ど が あ る 場合が あ り ま す。すべてのチーム が、組織の代わ り に送信す る 電子 メ ールの認証要件 を( よ り 厳格な DMARC ポ リ シーを有効にす る と 認証に適切に合格で き な く な る 場合には配信 可能性の問題について も )認識す る 必要が あ り ま す。早い段階で、ま た こ のプ ロ セ ス 全体を通 じ て何度 も 、コ ミ ュ ニ ケーシ ョ ン を と る よ う に し て く だ さ い。
参考資料
「DMARC ホ ワ イ ト ボー ド セ ッ シ ョ ン」(Patrick Peterson) [英語]
第 1 章 概要
C H A P T E R
2
Cisco Domain Protection の実装プ ロ セス
全体的なプ ロ セス
Cisco Domain Protection は、DMARC と 電子 メ ール認証の実装支援で業界 を リ ー ド す る 製品です。
そのプ ロ セ ス には、おお ま かには次の 5 つのフ ェ ーズが あ り ま す。
表 2-1 Cisco Domain Protection 実装の全体的な プ ロ セ ス
フ ェ ーズ 手順 フ ェ ーズ 1 1. ポー タ ルへのア ク セ ス を取得 し 、シ ス コ の入門 ト レ ーニ ン グ を受け る 2. DMARC レ コ ー ド を モ ニ タ ポ リ シーで公開す る 3. ド メ イ ン を ポー タ ルに追加す る フ ェ ーズ 2 4. ト ラ フ ィ ッ ク を モ ニ タ す る 5. タ ーゲ ッ ト ド メ イ ン を特定す る 6. すべての送信者を特定 し て分類す る ( ウ ェ ル ノ ウ ン と カ ス タ ム) フ ェ ーズ 3 7. 新 し い SPF レ コ ー ド を提示す る 8. 新 し い SPF レ コ ー ド を公開す る 9. 社内の ビ ジ ネ ス オーナーを特定す る 10. 電子 メ ール ゲー ト ウ ェ イ で DKIM 署名を有効にす る 11. 電子 メ ール ゲー ト ウ ェ イ で DKIM が機能 し てい る こ と を 確認す る 12. サー ド パーテ ィ オーナーに DKIM 署名を要求す る 13. すべてのサー ド パーテ ィ 送信者用の DKIM キーを実装する 14. すべてのサー ド パーテ ィ 送信者に関 し て DKIM が機能 し てい る こ と を確認す る フ ェ ーズ 4 15. すべての ビ ジ ネ ス オーナーか ら 承認を得 る 16. DMARC レ コ ー ド を 拒否ポ リ シーに移行 さ せ る フ ェ ーズ 5 17. ア ラ ー ト と レ ポー ト を確認す る
第 2 章 Cisco Domain Protection の実装プ ロ セス
手順 1:ポー タ ルへのア ク セス を取得する
図2-1 DMARC 実装のフ ェ ーズ
Cisco Domain Protection を 使用 し て ユーザのすべて の ド メ イ ン か ら の電子 メ ール を 認証す る た
めのシ ス コ のベ ス ト プ ラ ク テ ィ ス は、通常、以下に示す特定の手順で構成 さ れ ま す。 (注) 手順 2 と 手順 4 ~ 17 は、保護す る 予定の組織内の ド メ イ ン ご と に繰 り 返すプ ロ セ ス と 考え る こ と がで き ま す。 一部の ド メ イ ン では、こ のプ ロ セ ス を迅速に完了す る こ と がで き ま す。た と えば、ユーザが所有 し てい る も のの、正当な電子 メ ールの送信に使用す る 予定のない、防御ド メ イ ンや内部ド メ イ ン な ど です。 その他の ド メ イ ン(プ ラ イ マ リ ド メ イ ンや、非常に大 き な容量の ド メ イ ン な ど)では、プ ロ セ ス の 各手順を系統的に完了 し 、必要に応 じ て変更を ス テー ク ホルダーに伝え る 必要が あ り ま す。 以下の章では、各手順を理解 し て完了す る ための支援を提供 し ます(特に Cisco Domain Protection で利用可能な支援デー タ を使用)。
手順 1:ポー タ ルへのア ク セス を取得する
一般的な開始お よ びオ ン ボーデ ィ ン グ プ ロ セ ス の一環 と し て、Cisco Domain Protection ポー タ ル への ア ク セ ス の簡単な概要を入手す る 必要が あ り ま す。
こ の キ ッ ク オ フ ミ ーテ ィ ン グ では、シ ス コ の担当者に よ っ て、
https://dmp.cisco.com
での Cisco Domain Protection への ア ク セ ス 権が付与 さ れ ま す。シ ス コ か ら ユーザに ア ク セ ス 情報の記載 さ れた電子 メ ールが送信 さ れ ま す。こ の ア カ ウ ン ト は 組織の最初の管理者ア カ ウ ン ト で あ り 、こ の ア カ ウ ン ト が組織の追加のユーザ ア カ ウ ン ト を作 成す る ために使用 さ れ ま す。
第 2 章 Cisco Domain Protection の実装プ ロセス
手順 2:DMARC レ コ ー ド を モ ニ タ ポ リ シーで公開す る
高度な ト ピ ッ ク
こ の段階で考慮す る 必要が あ る 項目は次の と お り です。
• Cisco Domain Protection には、ポー タ ル内のユーザ ア カ ウ ン ト に異な る レ ベルの ア ク セ ス 権 を付与す る 、ロ ールベー ス の権限付与お よ びア ク セ ス 制御(RBAC)が含 ま れてい ま す。読み 取 り 専用ユーザ、監査専用ユーザ、ま たはポー タ ル内の レ ポー ト の管理のみが可能な ユーザ な ど を作成す る こ と が考え ら れ ま す。権限付与の詳細については、第 4 章「Sender Policy Framework」(1 ページ)を参照 し て く だ さ い。 • ポー タ ルに ロ グ イ ンす る と 、組織に固有の URL(例:https://organization_name.dmp.cisco.com) に リ ダ イ レ ク ト さ れ ま す。 • シ ス コ では、プ ロ グ ラ ム を使用 し て製品の一部に ア ク セ ス す る ための API を提供 し てい ま す。API ド キ ュ メ ン テーシ ョ ン にア ク セ ス す る には、ユーザ ア カ ウ ン ト を作成 し 、そのユーザ に API ア ク セ ス 権を付与す る 必要があ り ま す。 • シ ス コ では、サービ ス プ ロ バ イ ダーか ら 開始(SP 開始)す る か ID プ ロ バ イ ダーか ら 直接開始
(IdP 開始)す る シ ン グル サ イ ン オ ン(SSO) も サポー ト し てい ま す。組織の SSO セ ッ ト ア ッ プ の詳細については、シ ス コ の担当者にお問い合わせ く だ さ い。
• 管理者ア カ ウ ン ト (お よ びユーザ作成権限を持つ後続の ア カ ウ ン ト )は、作成 さ れたユーザの
パ ス ワ ー ド を リ セ ッ ト で き ま す。
手順 2:DMARC レ コ ー ド を モニ タ ポ リ シーで公開する
モニ タ ポ リ シーでの DMARC レ コ ー ド の公開は、ド メ イ ン保護において非常に早い段階で行 う 手順の一つです。こ れは、Cisco Domain Protection ポー タ ルへの最初のデー タ フ ロ ーを実現す る 手法で も あ り ま す。ま た、こ れに よ っ て間接的に、ユーザが ド メ イ ン の所有者で あ る こ と を シ ス コ に示す こ と がで き ま す。DMARC ポ リ シーは、DNS でテ キ ス ト (TXT) リ ソ ー ス レ コ ー ド (RR) と し て公開 さ れ、特定の ド メ イ ン か ら 受信 し た電子 メ ールが非適合 メ ールで あ っ た場合に電子 メ ール受信者が実行す る 必要の あ る ア ク シ ョ ン を通知 し ま す。 保護す る 予定の ド メ イ ン ご と に、「none」フ ラ グが設定 さ れた ポ リ シーで DMARC レ コ ー ド を公 開 し ま す。こ の レ コ ー ド は、受信者か ら シ ス コ へのデー タ レ ポー ト の送信を要求 し ま す。その後、 Cisco Domain Protection を使用 し てデー タ を 分析 し 、必要に応 じ て メ ール ス ト リ ー ム を 変更す る
こ と がで き ま す。 (注) ポ リ シーに「none」フ ラ グが設定 さ れた DMARC レ コ ー ド は、メ ール フ ロ ーや、その ド メ イ ン か ら 送信 さ れ る メ ッ セージの配信可能性に影響を与え ま せん。「none」フ ラ グは ド メ イ ン か ら の電子 メ ール を認証す る プ ロ セ ス の手始めの手順で あ り 、こ れに よ っ て分析用のデー タ を収集で き る よ う にな り ま す。こ の後、ド メ イ ン の SPF と DKIM を実装 し 、送信者を認可す る ( こ のガ イ ド の以 降の手順) こ と で、DMARC ポ リ シーの フ ラ グ を よ り 厳格な も の(「検疫」や最終的には「拒否」)に 変更で き ま す。
2a:DMARC Builder を使用 し て レ コ ー ド を作成する
シ ス コ の DMARC Builder に よ り 、任意の ド メ イ ン の DMARC ポ リ シー レ コ ー ド を検索す る こ と がで き ま す。次に、DMARC Builder を使用 し て、その ド メ イ ン の有効な DMARC レ コ ー ド のテ キ ス ト を変更 ま たは作成す る こ と がで き ま す。最後に、DMARC Builder は、ド メ イ ン の DNS プ ロ バ イ ダー と 、DMARC レ コ ー ド の公開方法に関す る 情報を提供 し ま す。
ス テ ッ プ 1 Cisco Domain Protection ポー タ ルに ロ グ イ ン し 、[ ツ ール(Tools)] > [DMARC] ページ に移動 し て
第 2 章 Cisco Domain Protection の実装プ ロ セス
手順 2:DMARC レ コ ー ド を モ ニ タ ポ リ シーで公開する
図2-3 DMARC Builder の手順 1
ス テ ッ プ 2 ド メ イ ン名を入力 し 、[検索(Look up)] を ク リ ッ ク し て ド メ イ ン の現在の DMARC レ コ ー ド を表
示す る か新 し い ド メ イ ン を作成 し ま す。
ド メ イ ン に DMARC ポ リ シーがない場合は、新 し い DMARC レ コ ー ド を作成す る かシ ス コ で新 し い DMARC レ コ ー ド を ホ ス ト す る ためのオプシ ョ ン が表示 さ れ ま す。
[新 し い DMARC レ コ ー ド の作成(Create new DMARC record)] を ク リ ッ ク し て、新 し い レ コ ー ド を作成 し ま す。
( こ のガ イ ド では、独自の DNS イ ン フ ラ ス ト ラ ク チ ャ を編集す る こ と を前提 と し てい ま す。シ ス コ で DMARC レ コ ー ド を ホ ス ト す る 方法については、シ ス コ サポー ト にお問い合わせ く だ さ い) 次に例を示 し ま す。
第 2 章 Cisco Domain Protection の実装プ ロセス
手順 2:DMARC レ コ ー ド を モ ニ タ ポ リ シーで公開す る
こ の例では、ド メ イ ン は「foo.com」、ポ リ シーは「モニ タ 」、レ ポー ト デー タ を送信す る シ ス コ の電 子 メ ール ア ド レ ス は「[email protected]」 と 「[email protected]」 です。
以下は、DMARC Builder で編集で き る さ ま ざ ま な DMARC ポ リ シー レ コ ー ド フ ィ ール ド の説明 です。 [ ド メ イ ン(Domain(s))]:DMARC レ コ ー ド を作成 ま たは変更す る ド メ イ ン の名前。1 つの ド メ イ ン名や ド メ イ ン名の カ ン マ区切 り リ ス ト を入力で き ま す。 [ポ リ シー(Policy)]:ヘ ッ ダーの送信元ア ド レ ス に ド メ イ ン 所有者の ド メ イ ン が含 ま れて い る メ ッ セージ で DMARC チ ェ ッ ク に合格 し なか っ た も のに関 し て、ド メ イ ン所有者が電子 メ ール 受信者に実行す る こ と を要求す る ア ク シ ョ ン。 [な し (None)]: こ れは、DMARC チ ェ ッ ク に合格 し な か っ た メ ッ セージ に関 し て特別な ア ク シ ョ ン を実行せず、ド メ イ ン の DMARC レ コ ー ド で指定 さ れてい る レ ポー ト ア ド レ ス に DMARC デー タ を送信す る よ う に、受信者に指示 し ま す。注: こ れは、こ の手順で選択す る こ と が推奨 さ れ る ポ リ シーです。 [検疫(Quarantine)]: こ れは、DMARC チ ェ ッ ク に合格 し な か っ た メ ッ セージ を 受信者の ス パ ム フ ォ ルダ( ま たはその他の、不審な メ ッ セージ を確認で き る 隔離 さ れたエ リ ア)に入れ る よ う に、 受信者に要求 し ま す。 [拒否(Reject)]: こ れは、DMARC チ ェ ッ ク に合格 し なか っ たすべての メ ッ セージ を 拒否 し 、その ア ク シ ョ ン を DMARC デー タ で レ ポー ト す る よ う に、受信者に要求 し ま す。受信者は、拒否 さ れ た メ ッ セージ を入手で き ま せん。
[集約デー タ の送信先(Send Aggregate Data to)]:DMARC 集約デー タ が送信 さ れ る 電子 メ ール ア ド レ ス 。シ ス コ の DMARC Builder では、シ ス コ の レ ポー ト ア ド レ ス がデフ ォ ル ト で設定 さ れて い ま す。シ ス コ の ア ド レ ス に加え て、別の レ ポー ト ア ド レ ス を指定す る こ と も で き ま す。ど ち ら も DMARC レ コ ー ド に表示 さ れ ま す。DMARC 受信者は両方のア ド レ ス に レ ポー ト デー タ を送 信す る 必要が あ り ま す。
[ フ ォ レ ン ジ ッ ク デー タ の送信先(Send Forensic Data to)]:DMARC フ ォ レ ン ジ ッ ク デー タ が送信 さ れ る 電子 メ ール ア ド レ ス 。シ ス コ の DMARC Builder では、シ ス コ の レ ポー ト ア ド レ ス がデ フ ォ ル ト で設定 さ れてい ま す。シ ス コ の ア ド レ ス に加え て、別の レ ポー ト ア ド レ ス を指定す る こ と も で き ま す。ど ち ら も DMARC レ コ ー ド に表示 さ れ ま す。DMARC 受信者は両方のア ド レ ス に レ ポー ト デー タ を送信す る 必要が あ り ま す。 警告 フ ォ レ ン ジ ッ ク デー タ は、DMARC チ ェ ッ ク に合格 し なか っ た メ ッ セージの リ アル タ イ ム フ ロ ーです。そのデー タ 量は非常に多 く な る 場合が あ り 、ま た非常に散発的で あ る 場合 も あ り ま す。こ の フ ィ ール ド で独自の レ ポー ト ア ド レ ス を追加す る と 、ロ ーカル メ ール サーバで問題が 発生す る 可能性が あ り ま す。 [詳細設定(Advanced Settings)] [詳細設定(Advanced Settings)] の レ コ ー ド 要素はオプ シ ョ ン で あ り 、デ フ ォ ル ト で推奨設定に な っ てい ま す。 (注) 最初は、こ れ ら の設定を変更 し ない こ と をお勧め し ま す。 サブ ド メ イ ン ポ リ シーに関す る 注意事項:デフ ォ ル ト では、ド メ イ ン の DMARC ポ リ シーは、す べてのサブ ド メ イ ン に適用 さ れ ま す。DMARC 仕様では、必要に応 じ てサブ ド メ イ ン に異な る ポ リ シーを適用で き ま す。指定 し たすべてのサブ ド メ イ ン ポ リ シーが、「すべて」のサブ ド メ イ ン に 適用 さ れ ま す。特定のサブ ド メ イ ン に異な る ポ リ シーを適用す る 場合は、そのサブ ド メ イ ン専用 の DMARC レ コ ー ド を公開で き ま す。
第 2 章 Cisco Domain Protection の実装プ ロ セス 手順 2:DMARC レ コ ー ド を モ ニ タ ポ リ シーで公開する ス テ ッ プ 3 [続行(Continue)] を ク リ ッ ク し ま す。 次の よ う な DMARC レ コ ー ド が表示 さ れ ま す。 図2-5 DMARC Builder の手順 3 こ の「bar.com」 ド メ イ ン の DMARC レ コ ー ド は、次のパ ラ メ ー タ を定義 し ま す。
• [DNS レ コ ー ド の場所(DNS Record Location)]:_dmarc.bar.com 用に DNS テ キ ス ト レ コ ー ド が イ ン ス ト ール さ れてい る 必要が あ り ま す。 • v=DMARC: こ れは DMARC 仕様のバージ ョ ン 1 です。 • p=none: こ の レ コ ー ド のポ リ シー(p=)は「な し 」(モ ニ タ 専用ポ リ シー)です。 • ri=3600: レ ポー ト 間隔(ri=)は 3600 秒(1 時間に 1 回)で あ る 必要が あ り ま す。 • [email protected]:集約情報が送信 さ れ る レ ポー ト ユーザ電子 メ ール ア ド レ ス (rua=)です。こ のア ド レ ス は組織に固有の も ので あ り 、シ ス コ がデー タ を受信す る ための メ カ ニ ズ ム です。 • [email protected]:フ ォ レ ン ジ ッ ク 情報が送信 さ れ る レ ポー ト ユーザ電 子 メ ール ア ド レ ス(ruf=)です。こ のア ド レ ス は組織に固有の も ので あ り 、シ ス コ がデー タ を 受信す る ための メ カ ニ ズ ム です。 ス テ ッ プ 4 [指示の作成(Create Instructions)] を ク リ ッ ク し て次の手順で使用す る テ キ ス ト フ ァ イ ル(.txt)を ダ ウ ン ロ ー ド し ま す。
(注) Cisco Domain Protection で保護す る 予定の ド メ イ ン ご と に、こ のセ ク シ ョ ン の手順 を 繰 り 返 し て く だ さ い。
第 2 章 Cisco Domain Protection の実装プ ロセス 手順 3: ド メ イ ン を ポー タ ルに追加す る
2b:DNS で レ コ ー ド を公開する
ド メ イ ン用の適切な形式の DMARC レ コ ー ド が作成 さ れたので、ド メ イ ン の DNS レ コ ー ド を更 新す る 必要が あ り ま す。 DMARC レ コ ー ド を 公開す る 正確な手順は、ド メ イ ン の DNS の管理方法に よ っ て異な り ま す。た だ し 、DNS 変更の要求を送信す る 場合、こ の DMARC レ コ ー ド を TXT リ ソ ー ス レ コ ー ド と し て 公開す る よ う に要求す る 必要が あ り ま す。前の手順の リ ス ト に あ る [DNS レ コ ー ド の場所(DNS Record Location)] セ ク シ ョ ン に示 さ れて い る よ う に、「_dmarc」を前に付け る こ と に よ っ て作成さ れたサブ ド メ イ ン で レ コ ー ド を公開す る 必要が あ り ま す。引用符内のすべて を含む完全な DMARC レ コ ー ド (引用符自体は不要)が含 ま れて い る こ と を 確認 し て く だ さ い。その後の レ コ ー ド に明示的に示 さ れてい る ス ペー ス 以外の折 り 返 し 文字、改行文字、ま たは空白文字が含 ま れない よ う に し て く だ さ い。 (注) • オ ン ラ イ ン DNS 管理ツールに よ る ダ イ レ ク ト ア ク セ ス に よ っ て ド メ イ ン の DNS を管理す る 場合は、TXT レ コ ー ド を公開す る ためのセ ク シ ョ ン ま たは DMARC レ コ ー ド に固有のセ ク シ ョ ン を探 し て く だ さ い。 • Web ホ ス テ ィ ン グ オ ン ラ イ ン 管理 イ ン タ ー フ ェ イ ス に よ る ア ク セ ス に よ っ て ド メ イ ン の DNS を 管理す る 場合は、DNS 設定 と 、TXT レ コ ー ド ま たは DMARC レ コ ー ド を 入力す る 場 所を探 し て く だ さ い。 • ユーザの社内で DNS を管理 し てい る 場合は、社内の DNS 管理チーム を通 じ て DNS レ コ ー ド の公開要求を送信す る 必要が あ る 可能性が あ り ま す。 • サー ド パーテ ィ が ド メ イ ン の DNS を ホ ス ト し てい る 場合は、ド メ イ ン の DNS 設定を更新す る ためにサー ド パーテ ィ にチ ケ ッ ト を送信す る 必要が あ る 可能性が あ り ま す。 おめで と う ご ざいます。
DNS プ ロ バ イ ダーに よ っ て DMARC レ コ ー ド を 公開 し た後、Cisco Domain Protection 内で変更が 反映 さ れ る ま でに最大 24 ? 48 時間かか る 場合があ り ま す。
手順 3: ド メ イ ン をポー タルに追加する
(注) Cisco Domain Protection で保護す る 予定のすべて の ド メ イ ン 用の p=None ポ リ シーで DMARC レ コ ー ド を公開 し た場合は、こ の手順を ス キ ッ プで き ま す。こ れ ら の ド メ イ ン は、シ ス コ に よ っ て自動的に追加 さ れ、検証 さ れ ま す。p=None ポ リ シーを公開 し ていない追加の ド メ イ ン があ る 場合は、こ の手順を確認 し て く だ さ い。
ド メ イ ン を ポー タ ルに追加す る 必要が あ り ま す。Cisco Domain Protection では、ほ と ん ど のア ク テ ィ ビ テ ィ がド メ イ ンを中心に行われ ま す。組織に よ っ ては、非常に多 く の ド メ イ ン が あ る 場合 も 、ド メ イ ン が管理 し やすい数で あ る 場合 も あ り ま す。
いずれの場合 も 、こ の手順の ア ク テ ィ ビ テ ィ に よ り 、Cisco Domain Protection は、組織に関連付け ら れてい る ド メ イ ン を認識 し ま す。
ポー タ ルに ア ク セ ス す る と 、認証後に最初に表示 さ れ る ページは [ ス テー タ ス(Status)] > [保護 (Protection)] ページです。
第 2 章 Cisco Domain Protection の実装プ ロ セス
手順 3: ド メ イ ン をポー タ ルに追加する
図2-6 [ステー タ ス(Status)] > [保護(Protection)] ページの [ド メ イ ンの追加(Add Domains)] ボ タ ン
ス テ ッ プ 1 [ ド メ イ ン の追加(Add Domains)] ボ タ ン を ク リ ッ ク し ま す。 ス テ ッ プ 2 ダ イ ア ロ グ ページで、ド メ イ ン入力のオプシ ョ ン を選択 し ま す。 • 基本(テ キ ス ト フ ィ ール ド ):表示 さ れ る テ キ ス ト フ ィ ール ド に 1 つの ド メ イ ン ま たは複数 の ド メ イ ン(カ ン マ区切 り )を入力 し ま す。 • CSV ア ッ プ ロ ー ド : ド メ イ ン の リ ス ト が含 ま れて い る ロ ーカ ル テ キ ス ト フ ァ イ ル ま たは カ ン マ区切 り 値 フ ァ イ ル を選択 し ま す。 高度な ト ピ ッ ク : ド メ イ ン グループ こ のダ イ ア ロ グ の [詳細設定(Advanced)] セ ク シ ョ ン では、新たにア ッ プ ロ ー ド さ れた ド メ イ ン ご と に ド メ イ ン グループ と シ ス コ の区別を指定で き ま す。ド メ イ ン グループについては、次の セ ク シ ョ ン を参照 し て く だ さ い。
第 2 章 Cisco Domain Protection の実装プ ロセス
手順 3: ド メ イ ン を ポー タ ルに追加す る
ス テ ッ プ 3 [ ド メ イ ン の追加(Add your domains)] を ク リ ッ ク し ます。次の よ う な ダ イ ア ロ グが表示 さ れ ます。
未検証 ド メ イ ン と は ポ リ シーを指定 し 、検証済み ド メ イ ン のデー タ のみを表示す る こ と がで き ま す。 シ ス コ の担当者は、シ ス テ ム ド メ イ ン にア ッ プ ロ ー ド さ れたすべての ド メ イ ン を管理す る 準備 が整っ てい る こ と を確認す る ア ク シ ョ ン を実行 し ま す。こ れが、ド メ イ ン の「検証」です。シ ス コ では、すべての未検証 ド メ イ ン を定期的にチ ェ ッ ク し て、それ ら を「検証済み」にで き る 変更が行 われてい る か ど う か を確認 し ま す。検証対象の ド メ イ ン を再送信 し て、ド メ イ ン の再チ ェ ッ ク を 早め る こ と がで き ま す。 ド メ イ ン を最 も 迅速に検証済みにす る 方法は、前のセ ク シ ョ ン の説明に従っ て ド メ イ ン の DMARC レ コ ー ド を 公開す る こ と です。こ の方法の使用す る こ と を 強 く お勧め し ま す。 ド メ イ ン の DMARC レ コ ー ド を公開す る には、ド メ イ ン の DNS エ ン ト リ を変更す る 必要があ り ま す。こ れは、ユーザが ド メ イ ン に対す る 権限を持っ てい る こ と を示す も う 一つの方法です(シ ス コ は、シ ス テ ム に入力 さ れたすべての ド メ イ ン を検証す る こ と に よ り 、間違っ て ま たは不注意 に よ っ て入力 さ れた ド メ イ ン がない こ と を確認で き ま す)。 DNS と 検証に関する追加のオプ シ ョ ン ド メ イ ン の DNS ネーム サーバ レ コ ー ド (NS レ コ ー ド )を更新 し ま す。こ れに よ り 、シ ス コ は、そ れ を組織に関連付け る こ と がで き る よ う にな り ま す。ド メ イ ン の DNS が外部 DNS プ ロ バ イ ダー に よ っ て管理 さ れてい る 場合は、こ れ を実行で き ない可能性が あ り ま す。 例:ユーザが cat.com を シ ス コ のシ ス テ ム に登録 し よ う と し てい る と し ます。ユーザの組織に 関 し て dog.com がシ ス コ に よ っ てすでに承認 さ れてお り 、cat.com の NS レ コ ー ド が ns1.dog.com であ る 場合、シ ス コ は、ユーザが cat.com に対す る 権限を持っ てい る こ と を信 用で き ま す(ユーザの も ので あ る と シ ス コ が把握 し てい る ド メ イ ン に よ っ て cat.com が制御 さ れてい る ため)。 ド メ イ ン の DNS メ ール エ ク ス チ ェ ン ジ ャ レ コ ー ド (MX レ コ ー ド )を更新 し ま す。こ れに よ り 、 シ ス コ は、それ を組織に関連付け る こ と がで き る よ う にな り ま す。こ れは、実行で き ない場合が あ り ま す( ド メ イ ン に関 し て電子 メ ールが ど の よ う に ホ ス ト さ れてい る かに よ っ て異な る )。 例:ユーザが cat.com を シ ス コ のシ ス テ ム に登録 し よ う と し てい る と し ます。ユーザの組織に 関 し て dog.com がシ ス コ に よ っ てすでに承認 さ れてお り 、cat.com の MX レ コ ー ド が mail1.dog.com であ る 場合、シ ス コ は、ユーザが cat.com に対す る 権限を持っ てい る こ と を 信用 し ま す(cat.com に送信 さ れ る すべての電子 メ ールが、ユーザの も のであ る と シ ス コ が把 握 し てい る ド メ イ ン に向け ら れ る ため)。
![図 2-6 [ ステー タ ス( Status ) ] > [ 保護( Protection ) ] ページの [ ド メ イ ンの追加( Add Domains ) ] ボ タ ン](https://thumb-ap.123doks.com/thumbv2/123deta/8589941.935917/28.918.167.835.117.466/ステータス保護ページドメイン追加Domainsボタン.webp)
![図 3-2 「 Active Domains 」グループの [DMARC の傾向( What’s my DMARC Trend Look Like? ) ] ビ ュ ー](https://thumb-ap.123doks.com/thumbv2/123deta/8589941.935917/35.918.218.747.369.883/図32ActiveDomainsグループのDMARCの傾向WhatsmyDMARCTrendLookLikeビュー.webp)
![図 3-3 [ 把握 し ていない正当な ド メ イ ン( What Legitimate Subdomains Don’t I know about? ) ] ビ ュ ー](https://thumb-ap.123doks.com/thumbv2/123deta/8589941.935917/36.918.190.794.117.596/3把握していない正当なドメインWhatLegitimateSubdomainsビュー.webp)
