概要
このドキュメントでは、Eメールセキュリティアプライアンス(ESA)でドメインベースのメッセージ認証、レポートおよび準拠(DMARC)チェックをバイパスする方法について説明します。 「電子メール認証の概要」を参照してください。
DMARCの確認
DMARCは、Eメールベースの悪用の可能性を減らすために作成された技術仕様です。DMARCは、Sender Policy Framework(SPF)およびDomainKeys Identified Mail(DKIM)メカニズムを使用して、電子メール受信者が電子メール認証を実行する方法を標準化しています。DMARC検証に合格するには、電子メールがこれらの認証メカニズムの少なくとも1つを通過する必要があり、認証ID(CID)がRFC 5322に準拠している必要があります。
このアプライアンスでは、次のことが可能です。
- DMARCを使用して受信メールを確認します。
- ドメイン所有者のポリシーを上書きする(許可、検疫、または拒否する)プロファイルを定義します。
- ドメイン所有者にフィードバックレポートを送信します。これにより、認証導入の強化に役立ちます。
- DMARC集約レポートサイズが10 MBを超える場合、またはDMARCレコードの集約レポート(RUA)タグで指定されたサイズを超える場合は、ドメイン所有者に配信エラーレポートを送信します。
AsyncOSは、2013年3月31日にInternet Engineering Task Force(IETF)に提出されたDMARC仕様に準拠した電子メールを処理できます。詳細については、http://tools.ietf.org/html/draft-kucherawy-dmarc-base-02を参照してください。
注:アプライアンスは、不正なDMARCレコードを持つドメインからのメッセージのDMARC検証を実行しません。ただし、アプライアンスはそのようなメッセージを受信して処理できます。
DMARCバイパスの設定
管理者として、特定の送信者からのメッセージのDMARC検証を省略することが要件である場合、バイパスを正常に行うには、いくつかの手順に従う必要があります。手順の概要は、次のリンクから参照できます。
注:完全な電子メールアドレスまたはドメインを使用して作成されたアドレスリストは、DMARC検証をバイパスするためにのみ使用できます。アドレス一覧を使用するには、上のすべてオプションを指定してください。ただし、ドメイン/完全な電子メールアドレスまたは部分的なドメインアドレスを持つエントリは例外として機能します。Fromヘッダーに記載されているドメイン/完全な電子メールアドレスを使用する必要があります。
- 関連するメールフローポリシーのDMARC Verificationがオンになっていることを確認します。
- [Mail Policies] > [Address List]に移動します。
- [Add Address List]をクリックします。
- 詳細を入力してアドレスリストを作成します。
- [Submit] をクリックします。
- アドレスリストを作成したら、そのリストをDMARC Specific Senders Bypass Address Listに呼び出す必要があります。
バイパス設定の設定方法とロギングの方法の例を次に示します。
アドレス一覧は、例として「ドメインのみ」を使用して作成され、Fromヘッダーの詳細に追加されます。
必要なすべてのエントリを使用してアドレス一覧が正常に作成されたら、DMARC Specific Senders Bypass Address Listの下のアドレス一覧を呼び出す必要があります。次に示すように、[Mail Policies] > [DMARC] > [Edit Global Settings]に移動し、ドロップダウンをクリックして新しく作成したアドレスリストを呼び出す必要があります。
Mail_Logsの違い
mail_logsの例を以下に示します。これは、ロギングの違い、ドメインのDMARCが検証された場合、およびスキップするように設定されている場合に役立ちます。
DMARCがチェックされている場合のメールログ:
Sat Mar 20 21:14:22 2021 Info: ICID 57 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS rfc1918 country not applicable
Sat Mar 20 21:14:22 2021 Info: Start MID 76571 ICID 57
Sat Mar 20 21:14:22 2021 Info: MID 76571 ICID 57 From:
Sat Mar 20 21:14:22 2021 Info: MID 76571 ICID 57 RID 0 To:
Sat Mar 20 21:14:23 2021 Info: MID 76571 DMARC: Verification skipped (No record found for the sending domain)
Sat Mar 20 21:14:23 2021 Info: MID 76571 DMARC:
Sat Mar 20 21:14:23 2021 Info: MID 76571 Message-ID '<613a1e1b-998a-6375-8887-ab2c6d430256@whitelist.com>'
Sat Mar 20 21:14:23 2021 Info: MID 76571 Subject 'Test 4'
注:ドメイン@whitelist.comに対して公開されたレコードがないため、「No record found for the sending domain」と表示される理由です。
バイパスDMARCチェックのメールログ
Sat Mar 20 21:15:36 2021 Info: ICID 58 ACCEPT SG UNKNOWNLIST match sbrs[none] SBRS rfc1918 country not applicable
Sat Mar 20 21:15:37 2021 Info: Start MID 76572 ICID 58
Sat Mar 20 21:15:37 2021 Info: MID 76572 ICID 58 From:
Sat Mar 20 21:15:37 2021 Info: MID 76572 ICID 58 RID 0 To:
Sat Mar 20 21:15:37 2021 Info: MID 76572 DMARC: Verification skipped (Local bypass configuration)
Sat Mar 20 21:15:37 2021 Info: MID 76572 Message-ID '<2ba742a2-f8ba-9ff0-7dc9-362421f5177e@whitelist.com>'
Sat Mar 20 21:15:37 2021 Info: MID 76572 Subject 'Test Bypass DMARC'
関連情報