BIMIにおけるDMARC p=reject要件の解説
BIMIにおけるDMARC p=reject要件の解説
BIMIの導入失敗の多くは、単一の原因に帰着します。それはDMARCポリシーの設定ミスです。多くの組織がSVGロゴファイルの生成に注力する一方で、ロゴが表示されるかどうかを左右する認証要件を見落としています。
BIMIはブランディング機能ではなく、セキュリティプロトコルです。メールボックスプロバイダーは、メッセージがあなたのドメインから送信されたことを暗号学的に検証した後にのみ、ロゴを表示します[1]。
本記事では、BIMIに必要なDMARCの前提条件を説明し、3つの適用ポリシーを比較した上で、ドメインの準備方法を具体的に解説します。
DMARCとは
Domain-based Message Authentication, Reporting, and Conformance(DMARC)は、権限のない送信者がFromヘッダーであなたのドメインを使用することを防止するメール認証標準です。
DMARCは、以下の2つの基盤プロトコルの上に構築されています:
- SPF (Sender Policy Framework): 送信元IPアドレスがドメイン所有者によって承認されているかを検証します。
- DKIM (DomainKeys Identified Mail): 各メッセージに暗号署名を適用し、受信者がメッセージが転送中に改ざんされていないことを確認できるようにします。
DMARCレコードは、GmailやYahooなどの受信サーバーに対して、SPFとDKIMの両方に失敗したメッセージをどのように処理すべきかを指示します。
3つのDMARCポリシー
DMARCレコードは、DNSゾーンにTXTレコードとして公開します。p=タグが適用ポリシーを定義します。
1. p=none(監視モード)
受信サーバーは認証に失敗したメッセージを受信トレイに配信し、指定したアドレスに集計レポートを送信します。このポリシーは、強制適用に移行する前に正当な送信元を特定するために使用します。
BIMIステータス: ❌ 不可。 メールボックスプロバイダーは、p=noneのドメインに対してBIMIロゴを表示しません。
2. p=quarantine(強制適用モード)
受信サーバーは認証に失敗したメッセージを迷惑メールフォルダに振り分けます。
BIMIステータス: ✅ 可。 これはBIMIの資格を得るための最低限のポリシーです。ポリシーはメッセージの100%に適用される必要があります。pct=100を含めるか、pctタグを省略してください(デフォルトは100です)。
3. p=reject(厳格な強制適用モード)
受信サーバーは認証に失敗したメッセージを破棄します。配信されません。 BIMIステータス: ✅ 可。 これはBIMIにおける推奨ポリシーです。
BIMIが強制適用を要求する理由
この要件は、視覚的ななりすましを防止するために存在します。メールボックスプロバイダーがメッセージの横にあなたのロゴを表示するとき、それは受信者に対してそのメッセージが正当であることを保証しているのです[2]。
もしBIMIがp=noneを受け入れた場合、攻撃者はあなたのドメインを詐称し、フィッシングメッセージの横にあなたのロゴを表示させることが可能になります。p=quarantineまたはp=rejectを要求することで、ロゴが付与される前にドメイン所有者が未認証メールをブロックしていることが保証されます。
サブドメインに関する考慮事項
企業は、marketing.company.comやreceipts.company.comなど、異なるメール配信用にサブドメインを使用することがよくあります。BIMIでは、組織ドメインが強制適用状態にある必要があります。
組織ドメインがp=rejectを公開していても、サブドメインをsp=noneでオーバーライドしている場合、それらのサブドメインから送信されるメールに対してBIMIは失敗します。強制適用は、組織ドメインとそのサブドメインの両方に適用される必要があります。
インフラストラクチャの監査方法
SVGファイルを生成したり、Verified Mark Certificate(VMC)を申請したりする前に、DMARCのステータスを確認してください。
makeBIMIを使用してドメインを監査できます。このツールはDNSレコードを照会し、SPFおよびDMARC設定を評価して、ドメインがBIMIの強制適用要件を満たしているかどうかを報告します。
ドメインが監査に合格したら、準拠したSVGファイルを生成し、veriBIMIなどの認証局仲介サービスを利用して証明書を取得してください。
参考文献
[1] M. Blank, et al. "Brand Indicators for Message Identification (BIMI)." IETF Datatracker, RFC 9091, https://datatracker.ietf.org/doc/html/rfc9091 [2] DMARC.org. "Overview." DMARC, https://dmarc.org/overview/