知らないメールサービスからDMARCのレポートが届いたのでセキュリティを強化した話
概要
DMARCのレポートについて、心当たりがない内容の書かれた、レポートが届きました。
私がレポートの内容を元に行った事について紹介します。
何があったのか
私は、独自ドメインでメールを利用しています。このメールは、セキュリティ強化のために、SPFやDKIM、さらにはDMARCを設定しています。
SPFやDKIMは、それぞれ送信者が詐称されていないかを確認するために利用するものです。DMARCは、SPFやDKIMの情報をもとにメールを受信するサーバーが、メールが詐称されていないかを確認した結果を、特定のメールアドレス宛に送るものです。
SPFや、DKIMや、DMARCは、メールサーバーが対応している必要がありますが、GmailやMicrosoft 365メールなど、主要なメールサービスで対応しています。
今回、このSPFやDKIMの情報をもとにメールを確認した結果がロシアのメールサービス(Mail.Ru
)から送られてきました。
送られてきたDKIMのレポートを確認してみると、mail.ru
ドメイン宛へ送られたメールに、私のドメインが使われており、さらにSPFやDKIMの確認の結果、詐称されている(fail)ということが分かりました。
私は、これまでに一度もロシアのメールサービス宛にメールを送ったことはなかったので、このようなレポートに心当たりはありません。おそらく、何者かが私のドメインを騙ってこのドメインのメールアドレス宛にメールを送ったものと考えられます。つまり、スパムメールとして使われている可能性があるということです。
対策の実施
もしも、スパムメールなどとして使われているとすると、ドメインがブラックリストに入れられたり、私を騙って何か変なことをされるなど、不利益を被る可能性があります。
そこで、SPFやDMARCの検証に失敗して、メールが詐称されている可能性がある場合に、メールを破棄するように、DMARCの設定を少し変えました。
v=DMARC1; p=reject; rua=mailto:メールアドレス
p=none
としていたところを、p=reject
に変更しました。p=none
では、検証に失敗したとしても何もしませんが、p=reject
では、検証に失敗した場合、メールを破棄します。
これで、私のドメインを騙っているメールアドレスのメールが破棄されるため、スパムメールとして利用しようとしても、DMARCに対応したメールサーバー、メールサービスでは、メールが届かないようになります。
さいごに
最初は、ロシアの知らないメールサービスからDMARCのレポートが届き、驚きました。
今回の設定はあくまでも、SPFやDKIM、DMARCに対応したメールサーバー、メールサービスで設定が適用されるものなので、それらに対応していない場合は、メールが破棄されません。しかし、主要なメールサービスはこれらに対応しているので、一定の効果はあるものと思います。
ひとまず、様子を見たいと思います。