DMARCレポートの読み方

近年、なりすまし（フィッシング）や不正メール対策として注目されているのがDMARC（Domain-based Message Authentication, Reporting & Conformance）です。DMARCを導入すると「DMARCレポート」と呼ばれるレポートが送られますが、「XML形式で送られてきて読めない」「何を確認すればよいのかわからない」といった課題を感じる方も多いです。本記事では、DMARCレポートの読み方と、DMARCレポートの解析ができるツールを紹介します。

＋ 目次

DMARCレポートの種類
- Agreage Report（集約レポート）
- Forensic Report（失敗レポート）
DMARCレポートの読み方
DMARCレポートの課題
DMARC解析のソフトウェア
DMARCレポート可視化ツールのアプライアンス
- DMARCレポート可視化ツールの仕組み
デージーネットでは
「情報の一覧」

DMARCレポートの種類

DMARCレポートイメージ

DMARCは、送信ドメイン認証の1つで、SPFやDKIMといった既存のメール認証技術を組み合わせ、なりすましメールを受信側で制御する仕組みです。DMARCを導入すると、「DMARCレポート」と呼ばれるレポートが、GmailやMicrosoft 365などのメール受信事業者からドメイン所有者に対して定期的に送られてきます。

DMARCレポートには、大きく分けて次の2種類があります。

Aggreage Report（集約レポート）

Aggregate Report（アグリゲートレポート）は、ruaレポートとも呼ばれ、DMARC運用の中心となるレポートです。特徴は以下の通りです。

通常、1日1回送信される
XML形式
認証結果を集計データとして確認できる
実際のメール本文は含まれない

このレポートから、以下のような情報が確認できます。

どの送信元IPアドレスから
どのFROMドメインを使って
PF/DKIMがPassまたはFailしたか
その件数や割合
参照したDMARCポリシーの内容

Aggreage Reportは、DMARCの導入状況や、なりすましメールの有無を客観的な数値（件数・率）として把握できるため、DMARC運用には不可欠なレポートです。

Forensic Report（失敗レポート）

Forensic Report（フォレンジックレポート）は、rufレポートとも呼ばれ、DMARC認証に失敗したメールの詳細を通知するレポートです。主な特徴は以下の通りです。

DMARC認証に失敗した個別のメール単位で送信される
メールヘッダや一部本文が含まれることがある
プライバシーの観点から送信されないケースも多い

近年は、個人情報保護の影響もあり、Forensic Reportを送信しないメール事業者も増えています。そのため、実運用ではAggregate Reportを中心に解析するケースが一般的です。

DMARCレポートの読み方

DMARCレポートを正しく読むことで、自社メールの認証状況を理解したり、フィッシングやなりすましの脅威を把握したりすることができます。ここでは、Aggregate Report（XML形式）を例に、DMARCレポートの基本的な読み方を解説します。

XMLのサンプル構造

DMARC Aggregate Reportは、以下のようなXML構造になっています（簡略化しています）。

XML構造イメージ

送信元IP・FROMドメインの確認

まずは以下の部分を確認することが重要です。

source_ip
メールを送信しているサーバのIPアドレス
header_from
メールのFROM（送信元）ドメイン

上記からは、「自社が利用している正規のメールサーバか」「見覚えのないIPアドレスが含まれていないか」を確認します。

SPF/DKIMのPass/Fail

次に重要なのが、SPFとDKIMの認証結果です。

SPF：送信元IPが許可されているか
DKIM：電子署名が正しいか

DMARCでは、SPFまたはDKIMのどちらかがPass（合格）し、かつFROMドメインとアラインメント（調整）が取れていることが重要です。

例えば、DKIMは「pass」、SPFが「fail」でも、DKIMが正しく設定されていればDMARCとしては問題ないケースもあります。

数や割合の解釈

countの値は、その条件に該当するメール数を示します。特に以下のポイントを確認することが重要です。

Failしているメールが全体の何％か
特定のIPからFailが集中していないか
正規メールがFailしていないか

もしFail件数が多い場合は、SPF/DKIM設定ミスや外部サービス（MAツール等）の未登録、なりすましメールの可能性などが考えられます。

DMARCレポートの課題

DMARCは導入だけでなく、レポート分析と運用改善が必須です。しかし、DMARCレポートの運用では、以下のような課題を感じる場合が多く存在します。

XMLファイルが複雑で分かりにくい

DMARCレポートはXML形式で送信されるため、そのままでは内容を一覧で把握しづらい、技術的な知識がないと解析が難しいという問題があります。詳しい担当者でなければ、何を確認すればよいのかわからないといった状態にもなりがちです。

Excel等での手作業集計は現実的でない

XMLをCSVに変換し、Excelで集計することも可能ですが、レポートは毎日大量に届き、ドメイン・IP・件数の突合も煩雑であるといった理由から、手作業での解析・チェックは現実的ではありません。また、解析や運用が属人化する可能性もあります。

DMARC解析のソフトウェア

こうした課題を解決するために、DMARCレポート解析ツールの活用が有効です。DMARC解析ツールを利用することで、以下のメリットがあります。

XMLレポートの自動取り込み
グラフやダッシュボードでの可視化
SPF/DKIM/DMARCの結果を一元管理
なりすましメールの早期発見

さらに、オープンソースソフトウェアのDMARC解析ツールを使うことで、ライセンスコストを抑えて運用ができる、自社のオンプレミス環境で管理できるといったメリットもあります。

DMARCレポート可視化ツールのアプライアンス

デージーネットは、DMARCレポートの解析ツール「parsedmarc」とBIツールを組み合わせた、「DMARCレポート可視化ツール」をアプライアンスで提供しています。

「DMARCレポート可視化ツール」利用画面イメージ

DMARCレポート可視化ツールの仕組み

DMARCレポート可視化ツールは、以下の仕組みでDMARCの結果を可視化します。

parsedmarcでDMARCレポートを解析
OpenSearchやElasticsearchにデータを保管
BIツールのGrafanaを使って、画面上にグラフや表として結果を表示

DMARCレポート可視化ツールを導入することで、DMARCレポート結果の解析や可視化を効率よく行うことができるようになります。またparsedmarcで取得データは、CSVやJSON形式などに変換して他のシステムで利用する機能もあります。

なお、DMARCレポート可視化ツールで使用しているソフトウェアは全てオープンソースソフトウェアであるため、ライセンスコストは一切かかりません。また、アプライアンスサーバとして提供しているため、お客様の要件を聞いて１から構築する場合と異なり、必要なOSの設定やソフトウェアが既にインストールされた状態で納品します。そのため、短納期かつ低コストで導入することが可能です。詳しくは以下のページで説明しています。

「DMARCレポート可視化ツールのアプライアンスサーバ」の詳細へ

デージーネットでは

デージーネットでは、DMARCレポート可視化ツールのアプライアンスのほか、送信ドメイン認証を設定したメールサーバーの構築や保守サービスも提供しています。デージーネットで導入したシステムは、Open Smart Assistanceという保守サポートに加入することもできます。利用方法に関するQ＆Aやセキュリティ情報の提供を行うため、運用後も安心して利用ができます。導入に関するご相談や構築費用の無料見積は以下よりお問い合わせください。

お問い合わせはこちら