メインコンテンツまでスキップ

2. Requirements (要件)

DMARCの仕様は、以下の高レベルの目標、セキュリティの依存関係、詳細な要件、およびスコープ外として文書化された項目によって導かれています。

2.1. High-Level Goals (高レベルの目標)

DMARCには以下の高レベルの目標があります:

  • ドメイン所有者 (Domain Owners) が、ドメイン内での作成者を主張するメッセージに対して、認証失敗の優先処理を主張できるようにする。

  • ドメイン所有者が自身の認証展開を検証できるようにする。

  • 送信者と受信者の両方の実装の複雑さを最小限に抑え、正当なメッセージの処理と配信への影響を最小限に抑える。

  • 配信に成功したなりすましメールの量を削減する。

  • インターネット規模で動作する。

2.2. Out of Scope (スコープ外)

いくつかのトピックと問題は、この作業の初期バージョンでは明確にスコープ外です。これには以下が含まれます:

  • 認証されていないメッセージと認証に失敗したメッセージの異なる扱い

  • RFC5322.From以外のものの評価

  • 複数の報告形式

  • DNS以外の方法によるポリシーの公開

  • 最終ホップIPアドレス以外の報告または評価

  • RFC5322.Fromフィールドへの攻撃(「表示名」攻撃としても知られる)

  • ドメイン以外のエンティティの認証(DMARCはドメインを認証するSPFおよびDKIMに基づいて構築されているため)

  • コンテンツ分析

2.3. Scalability (スケーラビリティ)

スケーラビリティは、現在のSMTPメールのように広く展開されたシステムで動作する必要があるシステムにとって重要な問題です。このため、DMARCは送信者と受信者間の第三者または事前送信合意の必要性を回避しようとします。これにより、現在のメールインフラストラクチャの肯定的な側面が保持されます。

DMARCはメール処理フローに第三者送信者(すなわち、オペレーターの代わりに送信することを許可された外部エージェント)を導入しませんが、それらを排除するものでもありません。そのような第三者は、DMARCと連携してサービスを提供することができます。

2.4. Anti-Phishing (フィッシング対策)

DMARCは、特にトランザクションメール(ビジネス取引に関する公式メール)の正当な送信者からのものであると主張するメールを、悪意のある行為者が送信することを防ぐように設計されています。この種のなりすましメールの主な用途の1つは、フィッシング(情報を要求する正当なサービスになりすまして、ユーザーを誘導して情報を提供させること)です。したがって、DMARCは、大規模でインターネット全体のフィッシング対策を実施するための継続的な取り組みによって大きく情報提供されています。

DMARCは、完全ドメインなりすましの特定の形態に直接対抗するためにのみ使用できますが、DMARCメカニズムは信頼性が高く防御可能なメッセージストリームの作成に有用であることがわかっています。

DMARCは、なりすましやその他の不正なメールに関するすべての問題を解決しようとするものではありません。特に、視覚的に類似したドメイン名(「いとこドメイン」)の使用や、RFC5322.Fromの人間が読める <display-name> の悪用には対処していません。

最終更新