イベントレポート

JPAAWG 3rd General Meeting

受信サーバー側のDMARC対応負荷を軽減、メールフィルター「DMARC/25 Reporter」

国内外のDMARCレポート規模についても解説

  • 小林 哲雄

2020年11月24日 11:50

 メールセキュリティーベンダーである株式会社TwoFiveの加瀬正樹氏が、DMARCの運用においてメール受信サーバー側に必要な「milter」について、11月11日・12日に行われたイベント「JPAAWG 3rd General Meeting」の一部セッションにて、解説を行った。

 milterは「mail filter(メールフィルター)」の略でMTA(メールサーバー)に追加機能を付加するプラグインだ。DMARCのmilterは送信者ドメインに宣言に基づいたレポートデータを提供するためにある。

株式会社TwoFiveの加瀬 正樹氏

 DMARCのmilterとしてThe Trusted Domain ProjectがOSSとして提供している「OpenDMARC」が広く知られており、利用実績も多い。いったんテキストファイルを作成したのち、定期的なスクリプト実行によってデータベース化とドメイン管理者が指定したURIにレポート送信を行う。

 しかし、DMARCの実装をメール受信者サイドから見た場合、メール受信サービス提供に必要のない追加リソース(追加のストレージとSQLサーバー)などの負担がかかる。結果として日本国内のメールサーバーの大半はDMARCレポート送信を行っていないと加藤氏は指摘する。

 一方、送信側はMTAからのレポートがなければ(正しく送信したはずの)メールが確実に届いているのか、自社ドメインを詐称したメールが送られていないかなどが把握できず、DMARCの効果的な運用に支障が出てしまう。

OSSのOpenDMARCが広く使われているが、受信サーバー側がレポート送信を行うために追加リソースが必要なので、日本国内ではレポートに対応したメールサーバーは少ない

 このような背景からTwoFiveが11月10日に無償提供を開始したものが「DMARC/25 Reporter」だ。このmilterはREST API経由でTwoFiveのクラウドにデータを送るだけなので受信サーバー側の負担が軽い。設定などもGUIによるダッシュボードが用意されている。データの蓄積とレポート送信はTwoFive側が行い、これによって「日本のDMARC普及に寄与したい」(加瀬氏)と言う。

TwoFiveのDMARC/25 ReporterはREST APIを使用してTwoFiveのクラウドにデータを送るだけで、無償で利用できる
DMARC/25 Reporterの管理画面はGUI化されており、差出人のドメイン分布なども把握が容易だ
ドメインに送るXMLの確認も可能だ

海外と国内のDMARCレポート規模

 最後にDMARCの規模感と今後の方向性について解説を行った。TwoFiveはドメイン管理者向けのDMARC分析サービス「DMARC/25 Analyze」を提供している。

 同サービスの10月の集計データによると、DMARCレポートを送信するドメインは米国が非常に多く、ヨーロッパ各国が続く。日本は昨年よりも対応ドメインが増えたものの、現在は53ドメインに過ぎないという。DMARCに対応したメール数は米国が2位のロシアの1000倍超と他国を圧倒している。

 DMARCの方向性に関しては規定しているRFC7489に対し、3つのサブワーキンググループに分かれて次バージョンへの議論がされている。

 Base specに関しては、タグ仕様の変更や不要タグの除去、ARC(Authenticated Received Chain)関連で議論が行われている。Failure reportは海外でも利用しているところがまだ少ない。データ量やプライバシー問題もあるため簡素化やPII問題などについて議論されている。

DMARCのRFC7489の今後に関してはBase spec、Aggregate repot、Failure reportに分けて議論されている

 Aggregate reportに関してはARCの記載が定まっておらず、現状はlocal_policyのコメントに自由記述で記載されているため、ここにアップデートがあると加瀬氏は予測していた。

 またDKIM Selectorが現在オプションとなっており、実際OpenDMARCや米Yahoo!では記載がない。DKIM Selectorの表記があればどのサーバーが送付したか推測しやすくなり、今後必須となるという可能性がある。DKIMの署名方式も将来RFC8563を採用する動きがあるが、現在利用されているのはrsa-sha256のみで「RFC8563の署名はサンプルでしか見たことがない」という。過渡期が過ぎたという判断もレポートがあれば可能になるとしてセッションを終了した。

Aggregate reportに関してはARC結果の記述が甘く、現状はPolicyに自由表記
DKIM Selectorの表記はオプションだが、今後必須となるかもしれない
DKIMの署名方式もed25519-sha256に変わる可能性がある

 DMARCによるなりすましメール撲滅への取り組みはドメイン管理者がトライ&エラーを繰り返してメール送信環境を整える必要があるが、効果的な設定にはメール受信サーバー側のレポートが不可欠だろう。TwoFiveはドメイン管理者側のDMARC集計・可視化サービスDMARC/25 Analyzeを提供しているが、メール受信サーバー側がレポートを送信しなければ意味がない。

 DMARC/25 Reporterがなぜ無償提供されるのかという背景に関して、加瀬氏はセッション中明言していなかったが、メール受信サーバー側の負担を軽減して無理なくDMARCレポート普及を促すことができれば、DMARCの普及に対して大きな意義があるだろう。日本のDMARCレポート送信対応ドメイン数が来年飛躍していることを期待したい。