■DMARC-Like認証と実行オプション

DMARC-Likeドメイン認証を実行する SMTP認証による接続は認証しない*1 LAN内からの接続は認証しない*2 メッセージヘッダにDMARC-Likeタグを付加する*3

*1 XMailへSMTP認証による接続を行ったユーザに対してDMARC-Like認証を行いません。 *2 アクセス元IPが 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 の場合は認証を行いません。 *3 拡張タグ "X-DMARC-Like" を追加します。値は "good" または "fail" です。

■DMARC-Like認証ステータスを選択

DKIM認証  　SPF認証　  アラインメント  　  DMARC-Like認証ステータス pass pass pass     good(pass) fail pass pass fail     good(pass) fail pass fail pass     good(pass) fail pass fail fail     good(pass) fail fail pass pass     good(pass) fail fail pass fail     good(pass) fail fail fail pass     good(pass) fail fail fail fail     good(pass) fail

"pass" は認証成功を "fail" は認証失敗を意味します。DKIM認証やSPF認証、アラインメント認証のそれぞれの認証結果に応じたDMARC-Like認証ステータスを "good(pass)" にするか "fail" にするかを選択してください。 ここで選択した値は受信メッセージのヘッダに "X-DMARC-Like: good" のように追加できます。 "アラインメント(アライメント)" は、メッセージヘッダの "From" アドレスと "Return-Path" アドレスとのドメイン名を比較するものです。そのさいサブドメインは無視します。一致すれば "pass" です。 成り済ましのチェックに有効とされます。 DMARC-Like認証ステータスが "good(pass)" になる受信メッセージは次のSMTP受信プロセスへ進みます。 "fail" の場合は次項で対応を選択してください。

■DMARC-Like認証ステータスが "fail" になるメッセージへの対応

K4スパムフォルダに格納*1 XMailCFGブラックホールに格納*2 受信拒否して廃棄(550エラーを送信)*3 そのままSMTPプロセスを続行

*1 あて先ユーザにK4アクセス許可がない場合は "受信拒否して廃棄" になります。 *2 ブラックホールが存在しない場合は "受信拒否して廃棄" になります。 *3 エラーメッセージは "550 Connection not accepted due to local policy" になります。

• インターネット標準のDMARC(Domain-based Message Authentication, Reporting & Conformance/ディーマーク)は送信ドメイン認証技術の一つです。DKIM認証やSPF認証、アラインメント認証等の結果をもとに詐欺やフィッシング攻撃、成り済ましメールなどの攻撃に対抗するもので、認証に失敗した受信メッセージをどう取り扱うかドメイン所有者のDNSポリシーに従う機能や認証結果等に関する統計情報を保存・活用できるようにするなど、信頼できるインターネットメッセージングを実現しようとするものです。perl環境では Mail::DMARC モジュールをシステムにインストールしてDMARC認証を実現します。
• XMailCFGのDMARC-LikeはDMARC認証機能の一部を実現するものです。DKIM認証やSPF認証とアラインメントの検証とでスパム判定を行います。本当は "Like" でない実装を行いたいところですが、それにはDNS問い合わせやデータベース運用等の課題があり実装が難しいので簡易機能を作成しました。Mail::DMARC モジュールは不要です。

• DMARC-Like認証ステータスを "pass" にするか "fail" にするかはあなたのメールサイトの運用ポリシーに合わせてください。セキュリティを重視するサイトでは "fail" が増えるでしょう。
• 前掲 [DMARC-Like認証ステータスが "fail" になるメッセージへの対応] において受信メッセージへの対応をどうするか選択できますが、DMARC-Like運用の当初は "そのままSMTPプロセスを続行" にすることをすすめます。 DKIMやSPF等の認証ステータスがすべて "fail" でも実際には問題のないメッセージもあるからです。運用を続けながら再検討しましょう。実験目的や特殊用途の場合は自由に試してみてください。
• 前掲実行オプション "メッセージヘッダにDMARC-Likeタグを付加する" をオンにすると、メッセージヘッダに "X-DMARC-Like: good" のように拡張タグがつけられます。ステータスが "fail" の場合は "X-DMARC-Debug" タグもつきます。スパム監視に役立てることができます。

• 特定ユーザについて本ページの内容と異なるDMARC-Like認証を行うことができます。たとえば foo@bar.com ユーザについて厳しいスパムチェックを行いたい場合は以下のようにします。
  1. MailRoot/domains/bar.com/foo/XMailCFG 内に dmarc.tab 名のテキストファイルを作成します。
  2. 内容は以下のようにします(サンプル)。

     ob_dmarc = 1 ob_dmarc_auth = 0 ob_dmarc_lan = 0 ob_dmarc_tag = 1 ob_dmarc_111 = pass ob_dmarc_110 = pass ob_dmarc_101 = pass ob_dmarc_100 = pass ob_dmarc_011 = fail ob_dmarc_010 = fail ob_dmarc_001 = fail ob_dmarc_000 = fail ob_dmarc_reject = 1

     個々の項目は前掲フォームの表示内容と順序に対応しています。 実行する場合は "1"、実行しない場合は "0"、 ステータス部分は "pass" または "fail”、 "ob_dmarc_reject = 3" でK4スパムフォルダへの格納、 "ob_dmarc_reject = 2" でブラックホールへの格納、 "ob_dmarc_reject = 1" で受信拒否して廃棄、 "ob_dmarc_reject = 0" でSMTPプロセス続行 になります。 (順不同の保存でも問題ありません)

• 所定の場所に dmarc.tab ファイルが存在する場合、DMARC-Like認証はその内容に従います。

• 本機能はローカルアカウントへの受信メッセージに対するDMARC認証を行うものです。あなたのローカルドメインからインターネットへ送信される電子メールについてDMARC-Like認証を行うものではありません。
• ローカルXMailからインターネッへ送信される電子メールがあて先システムの正規のDMARC認証で正しく取り扱われるようにするためには個々のローカルドメインについて DNS(Domain Name System) に DMARC TXT レコードを登録する必要があります。