TOPセキュリティ > メールのセキュリティ対策、SPF/DKIM/DMARCの勘所...

セキュリティ

メールのセキュリティ対策、SPF/DKIM/DMARCの勘所(下)

2018/03/09

Phillip Windley Computerworld

 フィッシングメールやスパムメールは、ハッカーが企業のネットワークに入り込むのにうってつけの手段だ。悪質な添付ファイルを社員1人がクリックするだけで、ランサムウエア、クリプトジャッキング(マシンの処理能力を仮想通貨のマイニングに無断利用する行為)、データ流出、アクセス権の昇格といった形で、社内全体に危険が及びかねない。

前回から続く)

SPF/DKIM/DMARCの導入と運用には苦労が付き物

 例えば、SPFとDMARCを適切に機能させるためには、所有するすべてのドメインに対応した設定が必要だ。数多くのドメインやサブドメインを運用している企業の場合、その作業はたちまち厄介になる。また、適切なDNSエントリですべてのサブドメインをきちんと保護する必要がある。

 Gmailを利用している場合なら、DKIMを使用する設定の方法ドメインキーを生成する方法の説明がGoogleのヘルプにある。また、ドメインの管理にcPanelを使用しているなら、こちらの方法で各種DNSレコードを設定できる。DKIMなどの設定作業が完了した後で、メールのヘッダーが正しく設定されているかどうかを検証するためのオンラインツールもある。

 設定の助けになる解説やツールもあるとはいえ、すべてを正しく設定するには専門的な技能が必要だ。それぞれで必要なコマンドは、社内にいるDNSの達人でもなじみがないかもしれない。知識不足だからということではなく、広く利用するものではないことや、構文を隅々まで正しく記述するのはかなり面倒な場合があるという理由からだ。そこで、SPF/DKIM/DMARCを決まった順序で導入していくようお勧めしたい。

 米Easy Solutionsのブログ記事では、まずSPF、次にDKIM、最後にDMARCという順番での導入を勧めている。SPFの導入は比較的簡単なので最初に済ませる。また、DMARCまで到達した時には、メールをブロックするモードにいきなり設定するのではなく、まずはモニタリングのみのモードにして、すべてを適切に設定できたかどうか確認するとよい。筆者も、自分のドメインでは、まさにこの順番で導入していった。

↑ページ先頭へ