DMARCレポートの分析方法とは？ チェックすべきポイントと解析ツールの選び方

Gmailの新しい送信者ガイドラインの影響もあり、普及の遅れていた日本においてもDMARCの導入が進みつつあります。しかし、DMARCは設定しただけでは十分ではありません。ドメインの信頼性の向上、なりすましの防止といったDMARCの真価を発揮するためには、DMARCレポートを分析し、状況に応じた適切な対応を行うことが重要です。本記事では、DMARCレポートを分析する必要性、分析の手順と見るべきポイント、DMARC分析ツールの選定ポイントなどを解説します。

DMARCレポートの分析の必要性

DMARCを導入したものの、レポートの分析はできていない…という方も多いのではないでしょうか。あるいは、DMARCをポリシー=”none”で設定して、それでDMARC対応が完了だと思っている方もいるかもしれません。しかし、DMARCの効果を発揮するためには、DMARCレポートの分析が不可欠です。
ここでは、まずDMARCレポートを分析するメリットについて解説します。

リスクの評価と優先順位の決定

DMARCレポートは、自社ドメインを使用して配信されているメールに関する詳細なデータを提供します。送信元IPアドレスやエンベロープFromに設定されているドメイン、送信ドメイン認証の結果などを分析することで、リスクの高い送信元やメールの種類を特定することができます。送信ボリュームや認証状況などによって優先順位をつけることで、効率よく改善対応を進められます。

認証プロセスの改善と到達率向上

DMARCレポートの分析は、送信ドメイン認証の改善にも役立ちます。ある送信環境から配信されているメールが認証に失敗しているのは、SPF・DKIMの設定に問題があるのか、あるいはアライメントが失敗しているのかなど、DMARCレポートを通じて詳しい原因を特定することで、改善のための対処が可能になります。認証を改善することで、メールの到達率も向上させることができます。

DMARCポリシー引き上げの判断

DMARCレポートを分析し、認証に失敗している送信環境とその原因を特定し、修正対応を行うことで、DMARCポリシーをより厳格なものに引き上げることが可能になります。もしそのプロセスを経ず、いきなりDMARCポリシーを「quarantine（隔離）」や「reject（削除）」といった強固なものに切り替えてしまうと、意図せず認証に失敗してしまった自社の正規メールも隔離／削除されてしまい、メールが届かないトラブルを引き起こしてしまいます。

不正メールの防止とブランド保護

DMARCレポートでは、自社のドメインになりすましている不正なメールの情報も得ることができます。もし身に覚えのない海外IPから大量のメール配信が行われていた場合、なりすましメールの可能性が高いため、早急にDMARCポリシーを引き上げる必要があります。「quarantine」や「reject」ポリシーに引き上げることで、自社ドメインになりすます不正なメール送信を防ぎ、ドメインやブランドの信頼性を維持することができます。

DMARCレポートの分析方法

このようにDMARCレポートの分析は、正当なメールの認証を改善し、不正ななりすましメールを防止するために不可欠なステップです。それでは、DMARCレポートを分析するには具体的にどのようにすれば良いのでしょうか？　ここではDMARCレポートの種類、分析の手順と見るべきポイントついて解説します。

DMARCレポートの種類

DMARCレポートには、集計レポート（ruaレポート）とフォレンジックレポート（rufレポート）の2種類があります。提供される情報や送信タイミングなどが異なり、分析に主に使用するのは集計レポートとなります。

集計レポート（Aggregate Reports）

集計レポートは、対象のドメインが差出人（ヘッダFrom）に設定されたメールについて、一定期間内に受信側が受け取った通数や送信元IP、認証結果などの情報を集計したものです。
集計レポートに含まれる主な情報は以下の通りです。

• レポートを送信した組織情報（受信側サーバのこと）
• メールの送信元IPアドレス
• 受信したメールの通数
• 参照したDMARCポリシーの内容
• SPF、DKIMの認証結果
• SPF、DKIMのアライメントの認証結果

集計レポートは通常1日ごとに生成され、メールにてXML形式で提供されます。集計レポートを分析することで、どの送信元IPから送信されたメールが認証に成功し、どのメールが失敗したかを把握できます。

フォレンジックレポート（Forensic Reports）

フォレンジックレポートは、認証に失敗した個々のメールの詳細な情報を提供するものです。認証に失敗した理由などの情報と共に、該当のメールそのものがレポートに含まれる場合があります。
送信メールの認証失敗をリアルタイムに通知するための仕組みですが、プライバシー上の懸念やサイバー攻撃防止の観点からフォレンジックレポートを送信しない組織も多いです。

DMARCレポートの分析手順

DMARCレポートの分析に使用するのは、主に集計レポートです。しかし、集計レポートは各メールプロバイダから毎日XML形式のファイルとして送られてくるので、全体像を把握するにはそれらのレポートを分析しやすいよう処理する必要があります。
まずはDMARCレポートを分析するための基本的な手順を解説します。

1. レポートの収集

まず、DMARCレポートを収集する必要があります。集計レポートは、DMARCレコードの”rua”タグで指定したメールアドレスに送信されるため、専用のメールアカウントを設定しておくと便利です。メールアドレスは複数のアドレスを指定できますが、DMARCを導入するドメインとは別のドメインで受信したい場合は、受信するドメインのDNSで追加の設定を行う必要があります。

詳しくはこちらのブログで解説していますので、ご参照ください。
DMARCレポートとは？ 設定方法や集計レポートの読み方、解析ツールを解説 | ベアメールブログ

2. レポートの可視化

次に、収集したレポートを分析しやすいように処理します。XML形式の集計レポートは、目視で内容を理解するのは難しいため、可視化するための何らかの仕組みを導入することをお勧めします。自前で構築するか、有償サービスを利用する方法があります。

①XMLファイルを集計・可視化するためのシステムを構築する
完全に自前でDMARCレポートを集計・可視化するためのシステムを構築する方法です。柔軟性・カスタマイズ性に優れますが、構築には大幅な労力と時間がかかります。
　
②オープンソースのDMARCレポート解析ツールを使用する
「persedmarc」というDMARCレポートを解析するオープンソースのツールがあります。PythonモジュールとCLIのユーティリティで構成されており、XMLファイルを集計しシンプルなJSONまたはCSVで出力することができます。
解析したDMARCレポートのデータはElasticsearchやOpenSearch、Kafkaなどの外部ツールに連携して保存でき、GrafanaやKibana、Splunkなどのツールを使用して可視化することができます。
DMARCレポートの取り込み方や、データの連携先、可視化の方法も選択できるため、1から仕組みを設計・構築する手間を省きながら、自前の分析環境を用意することができます。

「parsedmarc documentation – Open source DMARC report analyzer and visualizer」https://domainaware.github.io/parsedmarc/

③有償のDMARC分析サービスを利用する
自前でDMARCレポートの分析・可視化の仕組みを構築することが難しい、あるいはその労力を省きたい場合はDMARC分析サービスを利用するのがお勧めです。
DMARC分析サービスは、DMARCレポートをシステムが代行受信し、自動的に集計してダッシュボードで分かりやすく可視化します。サービスによってダッシュボードの見せ方や機能に多少の差異はありますが、利用者はほとんど手間をかけることなく、すぐにDMARCレポートを分析することが可能です。

3. 問題点の特定

レポートを可視化できたら、認証に失敗しているメールの送信元IPアドレスやエンベロープFromのドメインから、問題が発生している環境を特定します。DMARCレポートでは認証に失敗した原因も確認できるため、その情報をもとに改善の対応を行います。

DMARCレポートを分析するポイント

DMARCレポートの可視化はできたものの、ダッシュボードで何に着目し、そして何から手をつけていくべきかよく分からない…と新しい悩みが生まれるかもしれません。分析する際には、いくつかのポイントに注目することで、対応の必要な環境の特定と、対応の優先順位づけを行うことができます。この章では、DMARCレポートを分析するポイントについて詳しく解説します。

認証失敗になっている環境はどこ？

認証失敗が発生している環境を特定することは、最初の重要なステップです。以下の点に注目して分析を行います。

送信元IPアドレス

DMARCレポートでは、各メールの送信元IPアドレスを確認することができます。認証失敗が頻発しているIPアドレスを特定し、それが自社で管理しているIPアドレスか、あるいは利用中の外部サービスのIPアドレスであるかを確認します。身に覚えのない海外のIPアドレスなどであった場合は、なりすましメールが送信されている可能性が高いと考えられます。

この送信元IPアドレスの把握と管理がDMARC分析の鍵であり、苦労するポイントでもあります。企業規模が大きくなるにつれ、さまざまなツールやサーバーからのメール配信が増え、把握できていないIPアドレスが多数存在することが多くなります。
DMARCレポートと自社の送信元IPアドレスを照合し、不明なIPアドレスを調査する作業は非常に手間がかかるため、DMARCレポート分析ツールに送信元IPアドレスを管理する機能があると、負担を大幅に軽減できるでしょう。

逆引きドメイン

逆引きドメインの確認は送信環境の特定に役立ちます。DMARCレポート自体には記載されていませんが、送信元IPアドレスからDNSを逆引きすることで調べることができます。DMARCレポート分析ツールによっては、送信元IPアドレスの逆引きドメインを自動的に表示してくれる機能が備わっています。

認証失敗になっている原因は何？

認証失敗の原因を特定することで、具体的な対策を講じることができます。DMARC認証がエラーとなる要因は以下の4つが挙げられます。

SPF認証失敗

SPF（Sender Policy Framework）認証がNGになる原因は、主に以下の3つが考えられます。

• SPFレコードが設定されていない
• SPFレコードの記述方法に誤りがある
• SPFレコードに該当のIPアドレスが含まれていない

SPFレコードを確認し、IPアドレスを正しく追加することで、認証を合格させることができるでしょう。

SPFレコードの書き方については、詳しくはこちらの記事で解説しています。
SPFレコードの書き方とは？ 記述例を総まとめ | ベアメールブログ

DKIM認証失敗

DKIM（DomainKeys Identified Mail）認証が失敗する原因としては、主に以下の3つが考えられます。

• DKIM署名が行われていない
• DKIMレコードの記述方法に誤りがある
• メールの配送経路の途中でメールデータが変更されている

DKIM署名やDKIMレコード、秘密鍵と公開鍵の設定を確認し、正しい署名が適用されるように修正します。また、メールゲートウェイサービスによる添付ファイルの変更やスパムチェックなどの影響で、意図せずメールデータが変更されてしまいDKIM認証に失敗するケースもあります。その場合はどこでDKIMが失敗してしまっているのか確認した上で、DKIM署名をゲートウェイ側で対応したり、ARCに対応したりするなど、対応を検討する必要があります。

DKIM認証の失敗の修正方法について詳しくはこちらの記事で解説しています。
DKIM認証が失敗する原因とは？ DKIM failの修正方法 | ベアメールブログ

SPFアライメント（DMARC SPF）の失敗

SPFアライメントとは、エンベロープFrom（＝Return-Path）とヘッダFromのドメインが一致しているかチェックするものです。SPFアライメントを成功させるためにはヘッダFromのドメインにエンベロープFromを一致させる必要がありますが、クラウドサービスを利用している場合、エンベロープFromを変更できないケースがあります。どうしてもエンベロープFromを変更できない場合、SPFアライメントではなくDKIM認証とDKIMアライメントを合格させることで対処しましょう。

アライメントについて詳しくはこちらの記事で解説しています。
DMARCのアライメントとは？ SPF・DKIMアライメントをPassするためのポイント | ベアメールブログ

Return-PathとエンベロープFromの関係、Return-Pathの仕組みについてはこちらの記事をご参照ください。
Return-Pathとは？ 到達率との関係や設定方法について解説 | ベアメールブログ

DKIMアライメントの失敗

DKIMアライメントとは、DKIM署名の”d=” で指定したドメインとヘッダFromのドメインが一致しているかチェックするものです。DKIMアライメントを成功させるためには、ヘッダFromのドメインでDKIM署名を行う必要があります。ただし、こちらもクラウドサービスを利用している場合はDKIM署名が第三者署名（ヘッダFromとは異なるドメインで署名を行うもの）になっているケースが多くあります。ヘッダFromのドメインで署名を行う設定への変更が可能かどうか、クラウドサービス事業者に確認してみてください。

対応の優先順位が高い環境はどこ？

限られたリソースで効率的に対処していくためには、対応の優先順位をつけることが重要です。以下の点に注目して、優先順位を決定します。

高頻度の認証失敗

まず、認証失敗が頻発している環境を優先的に対応する必要があるでしょう。特にそれが自社で管理・利用しているIPアドレスであることが確実な場合、正規のメールであるにも関わらず認証に失敗してしまっているため、到達率の改善、信頼性の向上のためにも優先して対処したいところです。

高頻度の認証失敗が生じているものの、該当の送信元IPアドレスを把握できていない場合は、まずそのIPアドレスが自社で利用しているものなのか調査を優先するようにしましょう。

ビジネスクリティカルな送信元

ビジネスにとって重要なメール送信元が認証に失敗している場合、その環境に対する対応を優先します。例えば、顧客への重要な通知メールを送信している環境や、取引先との重要なコミュニケーションに使用される環境などです。

不明な送信元

調査の結果、自社で利用しているIPアドレスではなく、なりすましメールを送信している可能性が高い環境が見つかった場合、DMARCポリシーの強化を迅速に進めるべきです。自社の正規のメール送信環境全てが認証に合格していることを確認した上で、DMARCポリシーを「quarantine」や「reject」に引き上げることで、不正ななりすましメールの送信を防ぐことができます。

DMARC分析ツールを選ぶポイント

DMARCレポートの分析を効率的に行うには、使い勝手の良いツールを選ぶことも重要です。適切なツールを選ぶことで、分析作業を効率化し、認証失敗の原因を迅速に特定することができます。この章では、DMARC分析ツールを選ぶ際に注意したいポイントについて解説します。

送信元IPアドレスを管理できるか

DMARCレポートの分析において、送信元IPアドレスの管理は非常に重要です。ツール選定の際には、以下の点を確認します。

IPアドレスの管理機能

ツール上でIPアドレスの管理ができるか確認します。例えば、ツール上でIPアドレスにタグなどを付けて識別できるようにしたり、自社が管理しているIPアドレスのリストをアップロードしたりする機能があると、DMARCレポートの分析を進めやすくなるでしょう。

IPアドレスの詳細情報

ツールが送信元IPアドレスに関する詳細な情報を提供できるかを確認します。例えば、IPアドレスの逆引き情報や、所有国、ブラックリストへの掲載有無などです。これにより、不正な送信元を特定しやすくなります。

フィルタリングや分析の機能

フィルタリングや分析機能があれば、DMARCレポートの分析をより効率的に進めることができます。

ダッシュボードの見やすさ

多くのDMARC分析ツールは、分析結果をグラフやチャートなどの視覚的な形式で表示できる機能を備えています。その上で、知りたい情報を簡単に確認できるか、直感的に理解でき操作しやすい管理画面かなどは、実際に活用する上で重要な要素です。可能であれば契約前にトライアルを実施するなど、実際の管理画面を確認してみると良いでしょう。

カスタムフィルター

特定の条件に基づいてレポートをフィルタリングできる機能があるかを確認します。例えばドメインやIPアドレス、認証結果などに基づいてレポートを抽出することができれば、特定の条件を満たす環境を特定したり、優先順位を検討するのに役立つでしょう。

分析機能

独自の切り口で分析する機能を備えているDMARC分析サービスもあります。例えば、送信元IPアドレスの管理機能と組み合わせて、管理している送信環境別のエラー傾向を分析したり、把握できていないIPアドレスの中で送信数の多い環境を特定したりする機能などがあります。分析機能があるか、どのような切り口で分析が可能か確認することをお勧めします。

アラート機能があるか

認証失敗や不正なメール送信が発生した際に、迅速に対応するためには、アラート機能が不可欠です。

アラート機能

特定の条件を満たした際にアラートを通知する機能があるかを確認します。アラートを設定することで、毎日管理画面を確認しなくても、異常が発生した場合に速やかに検知することが可能になります。

カスタマイズ可能なアラート

アラートの条件をカスタマイズできる機能があるかを確認します。特定の認証失敗や特定の送信元からのメールに対して、個別にアラートを設定できると便利です。

料金体系

ツールの選定にあたっては、コストパフォーマンスも重要な要素です。以下の点に注目して、課金体系を確認します。

ドメイン数

ツールで管理できるドメイン数に制限があるかを確認します。自社が運用するドメイン数に応じて、適切なプランを選びます。また、サブドメインはどのような扱いになるのかについても確認が必要です。

配信通数

サービスやプランによっては、ツールが処理できるメールの配信通数に制限がある場合があります。大量のメールを配信している場合、配信通数が無制限となっているツールを選ぶと良いでしょう。

サポート

ツールを活用し、DMARCのポリシー強化を推進するためにはサポートの有無も重要です。DMARC分析ツールには海外製のサービスも多いため、まず日本語のサポートがあるか確認をお勧めします。また、無償サポートの範囲や、DMARCの導入やポリシー強化のための有償支援サービスがあるかなども確認すると良いでしょう。

まとめ

DMARCの効力を発揮するためには、DMARCレポートの分析が不可欠です。レポートの分析を効率的に行うためには、適切なツールの選定も重要です。DMARCレポートを分析するポイントも踏まえ、自社のニーズに最適なツールを選び、DMARCレポートの分析を効率化しましょう。