知らないメールサービスからDMARCのレポートが届いたのでセキュリティを強化した話

2023-02-21 (最終更新: 2023-02-21)

概要

DMARCのレポートについて、心当たりのない内容が書かれたレポートが届きました。

私がレポートの内容を元に行った事について紹介します。

私は、独自ドメインでメールを利用しています。このメールは、セキュリティ強化のために、SPFやDKIM、さらにはDMARCを設定しています。

SPFやDKIMは、それぞれ送信者が詐称されていないかを確認するために利用するものです。DMARCは、SPFやDKIMの情報をもとにメールを受信するサーバーがメールが詐称されていないかを確認した結果を、特定のメールアドレス宛に送るものです。

SPFやDKIMやDMARCはメールサーバーが対応している必要がありますが、GmailやMicrosoft 365メールなど、主要なメールサービスで対応しています。

今回、このSPFやDKIMの情報をもとにメールを確認した結果がロシアのメールサービス(Mail.Ru)から送られてきました。

送られてきたDKIMのレポートを確認してみると、mail.ruドメイン宛に送られたメールに、私のドメインが使われており、さらにSPFやDKIMの確認の結果、詐称されている(fail)ということが分かりました。

私は、これまでに一度もロシアのメールサービス宛にメールを送ったことはなかったので、このようなレポートに心当たりはありません。おそらく、何者かが私のドメインを騙ってこのドメインのメールアドレス宛にメールを送ったものと考えられます。つまり、スパムメールとして使われている可能性があるということです。

もしも、スパムメールなどとして使われているとすると、ドメインがブラックリストに入れられたり、私を騙って何か変なことをされるなど、不利益を被る可能性があります。

そこで、SPFやDMARCの検証に失敗して、メールが詐称されている可能性がある場合に、メールを破棄するように、DMARCの設定を少し変えました。

v=DMARC1; p=reject; rua=mailto:メールアドレス

p=noneとしていたところを、p=rejectに変更しました。p=noneでは、検証に失敗したとしても何もしませんが、p=rejectでは、検証に失敗した場合にメールを破棄します。

これで、私のドメインを騙っているメールアドレスのメールが破棄されるため、スパムメールとして利用しようとしても、DMARCに対応したメールサーバー、メールサービスでは、メールが届かないようになります。

最初は、ロシアの知らないメールサービスからDMARCのレポートが届き、驚きました。

今回の設定はあくまでも、SPFやDKIM、DMARCに対応したメールサーバー、メールサービスで設定が適用されるものなので、それらに対応していない場合は、メールが破棄されません。しかし、主要なメールサービスはこれらに対応しているので、一定の効果はあるものと思います。

ひとまず、様子を見たいと思います。