DMARC集計レポートを受信して可視化するツールを探す

2022.06.16

DMARCはEメールの送信ドメイン認証技術と呼ばれているものの一つで、なりすましやフィッシングへの保護対策をします。

※ 送信元アドレス(Header-from)のドメインがなりすまされていないか、信頼できるものかどうかを判断する

DMARCはSPF、DKIMという2つのメール認証と一緒に使われます。 SPFかDKIMの認証を合格できないとDMARCも合格となりません。

参考:

DMARCでは認証に失敗した時にそのメッセージをどのように処理してもらうかの定義をすることになります。

※ 送信側は、DMARCのDNSレコードを公開し、認証に失敗したメールをどうするかを受信者に伝えるためのポリシーを作成

none(何もしない), quarantine(隔離させる)、reject(受信を拒否させる) を定めることができます。

また、レポート用のメールアドレスを指定して、ドメイン上の送信メールに関する定期的なレポートを受信することもできます。

※ rua(集計用レポート), ruf(認証失敗レポート)

DMARCに対応していない受信サーバもありますが、主要なISPは対応しています。

※ メールはISPから送信されてきます

受信タイトル例) 

Report domain: hogehoge.mori Submitter: google.com Report-ID: 1111111111

SubmitterがISPですね、

DMARCのDNSレコード例を挙げますと、以下のように設定できます。

v=DMARC1; p=quarantine; rua=mailto:hogehoge@mail.example.commmm

v=DMARC1から始まるTXTレコードがないと、受信サーバはDMARCを確認できません。

レポートの受信

前置きが長くなりましたが、今回の本題であるDMARC集計レポートを受信して可視化してみようと思ったのが、

実際に集計レポートを受け取ることがあったのですが、xmlファイルで送られてきてわかりにくいと思ったためです。

ファイルはこんな感じ

このレポート自体は、DMARCの設定をしたら受信した方が良いとされています。

ドメインから送信されたどのメールがSPFとDKIMで認証されているかがわかります。 メールの送信元をチェックし、悪いことに使っている奴らを特定していくこともできます。

しばらく運用していたのですが、メール送信が発生しているとIPS(google.comやmicrosoft.comなど)から1日1回は必ず送られてきました。

レポートの可視化

MxToolboxのDmarc Report Analyzer

MxToolboxはメールサーバやDNSの設定などが正しいか確認できるサイトです。使っている人も多いのではないでしょうか?

このサイトの中にある

Dmarc Report Analyzer

がDMARCのレポートを可視化できるツールです。

このツールは、DMARC Aggregate XML レポートを解析し、IPアドレスごとに集計して、読みやすいレポートにするものです。

使い方は簡単で、受信したxmlファイルをアップロードするだけです。

上記のように送信IPごとにSPF認証、DKIM認証の結果、数がわかりやすく可視化されるようになります。

便利です。

dmarcianのDMARC Report Analyzer

DMARC SaaS Platformのdmarcianにもレポート解析のツールが存在していました。

規模の大きいサービスであればdmarcianを使って管理していくのもありかと思います。

Dmarc Report Analyze

DMARCXMLレポートは非​​常に読みにくい

これにより、発生する可能性のある電子メールの配信可能性の問題を解決することは事実上不可能になります

DMARCレポートを視覚化しないと、DMARCの実装を開始するのは困難です

と言った課題を解決する助けとなるツールです。

※ dmarcianアカウントは過去のレポートを保存するため、傾向を観察し、新しい脅威が発生したときにアラートを受け取ることができます

サインアップ

現在、14日間の無料利用ができるので サインアップページからアカウントを作ってみます。

アカウントのメールアドレス、ログインパスワード、使用ドメイン名、プラン等を入力します。

セットアップ

作成したアカウントでログイン後、DMARCの設定を行うように促されます。

今回はすでにDMARCの設定をしていたので、アカウントのレポート用アドレス(@ag.jp.dmarcian.com)をレコードに追加するように言われます。

DNSの設定に追加後、画面下部のpublishボタンを押して設定完了です。

すべてのドメインの状態の概要と、メールの送信元のソースを、最近の不正アクセスの地理的な場所と一緒に表示するDomain Overview

どのソースがあなたのドメインの代わりにメールをアクティブに送信しているか、そしてソースがDMARC準拠のメールを送信するように設定されているかどうかを、素早く消化できるように表示するSource Viewer

等、さまざまな機能が提供されています。

※ レポートの設定をしたばっかでデータがまだ集まっていないので、しばらく観察して別記事にてこのツールの使用感などを書こうと思います

~~~~~~~~~~~~~~

DMARCの導入で組織内のユーザーを守る、組織のクライアントへのなりすましやフィッシングメールの脅威からの保護を高めることができます。

DMARCレポートを解析・可視化をすることで、自身のドメインを使ったメール送信者を把握でき、適切な対策を取っていくことが可能になります。

気になった方は是非使ってみてください。