DMARC集計レポートを受信して可視化するツールを探す
DMARCはEメールの送信ドメイン認証技術と呼ばれているものの一つで、なりすましやフィッシングへの保護対策をします。
※ 送信元アドレス(Header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断する
DMARCはSPF、DKIMという2つのメール認証と一緒に使われます。 SPFかDKIMの認証を合格できないとDMARCも合格となりません。
参考:
DMARCでは認証に失敗した時にそのメッセージをどのように処理してもらうかの定義をすることになります。
※ 送信側は、DMARCのDNSレコードを公開し、認証に失敗したメールをどうするかを受信者に伝えるためのポリシーを作成
none(何もしない), quarantine(隔離させる)、reject(受信を拒否させる) を定めることができます。
また、レポート用のメールアドレスを指定して、ドメイン上の送信メールに関する定期的なレポートを受信することもできます。
※ rua(集計用レポート), ruf(認証失敗レポート)
DMARCに対応していない受信サーバもありますが、主要なISPは対応しています。
※ メールはISPから送信されてきます
受信タイトル例)
Report domain: hogehoge.mori Submitter: google.com Report-ID: 1111111111
SubmitterがISPですね、
DMARCのDNSレコード例を挙げますと、以下のように設定できます。
v=DMARC1; p=quarantine; rua=mailto:[email protected]
※ v=DMARC1
から始まるTXTレコードがないと、受信サーバはDMARCを確認できません。
レポートの受信
前置きが長くなりましたが、今回の本題であるDMARC集計レポートを受信して可視化してみようと思ったのが、
実際に集計レポートを受け取ることがあったのですが、xmlファイルで送られてきてわかりにくいと思ったためです。
ファイルはこんな感じ
このレポート自体は、DMARCの設定をしたら受信した方が良いとされています。
ドメインから送信されたどのメールがSPFとDKIMで認証されているかがわかります。 メールの送信元をチェックし、悪いことに使っている奴らを特定していくこともできます。
しばらく運用していたのですが、メール送信が発生しているとIPS(google.comやmicrosoft.comなど)から1日1回は必ず送られてきました。
レポートの可視化
MxToolboxのDmarc Report Analyzer
MxToolboxはメールサーバやDNSの設定などが正しいか確認できるサイトです。使っている人も多いのではないでしょうか?
このサイトの中にある
がDMARCのレポートを可視化できるツールです。
このツールは、DMARC Aggregate XML レポートを解析し、IPアドレスごとに集計して、読みやすいレポートにするものです。
使い方は簡単で、受信したxmlファイルをアップロードするだけです。
上記のように送信IPごとにSPF認証、DKIM認証の結果、数がわかりやすく可視化されるようになります。
便利です。
dmarcianのDMARC Report Analyzer
DMARC SaaS Platformのdmarcianにもレポート解析のツールが存在していました。
規模の大きいサービスであればdmarcianを使って管理していくのもありかと思います。
DMARCXMLレポートは非常に読みにくい
これにより、発生する可能性のある電子メールの配信可能性の問題を解決することは事実上不可能になります
DMARCレポートを視覚化しないと、DMARCの実装を開始するのは困難です
と言った課題を解決する助けとなるツールです。
※ dmarcianアカウントは過去のレポートを保存するため、傾向を観察し、新しい脅威が発生したときにアラートを受け取ることができます
サインアップ
現在、14日間の無料利用ができるので サインアップページからアカウントを作ってみます。
アカウントのメールアドレス、ログインパスワード、使用ドメイン名、プラン等を入力します。
セットアップ
作成したアカウントでログイン後、DMARCの設定を行うように促されます。
今回はすでにDMARCの設定をしていたので、アカウントのレポート用アドレス(@ag.jp.dmarcian.com)をレコードに追加するように言われます。
DNSの設定に追加後、画面下部のpublishボタンを押して設定完了です。
すべてのドメインの状態の概要と、メールの送信元のソースを、最近の不正アクセスの地理的な場所と一緒に表示するDomain Overview
、
どのソースがあなたのドメインの代わりにメールをアクティブに送信しているか、そしてソースがDMARC準拠のメールを送信するように設定されているかどうかを、素早く消化できるように表示するSource Viewer
等、さまざまな機能が提供されています。
※ レポートの設定をしたばっかでデータがまだ集まっていないので、しばらく観察して別記事にてこのツールの使用感などを書こうと思います
~~~~~~~~~~~~~~
DMARCの導入で組織内のユーザーを守る、組織のクライアントへのなりすましやフィッシングメールの脅威からの保護を高めることができます。
DMARCレポートを解析・可視化をすることで、自身のドメインを使ったメール送信者を把握でき、適切な対策を取っていくことが可能になります。
気になった方は是非使ってみてください。