対象プラン
本記事は、自動診断機能の発見課題
「DMARCの設定がないSoftfailを含むSPFレコード/SPF Record Contains a Softfail without DMARC」について、SecurityScorecard社が公開している解説記事の日本語訳です。
本課題の解決にご活用ください。
検知課題について │ 検出方法 │ 修正方法 │ 解決申請の流れ
1. 「DMARCの設定がないSoftfailを含むSPFレコード」について
SPFレコードの「Soft Fail」とは、疑わしい電子メールや不正なサーバーからの電子メールが拒否されず、スパムフォルダに保存されたり、”疑わしい”とマークされたりすることを指します。
これにより、組織内のユーザーになりすまされ、悪意のある電子メールを開封するリスクがございます。
注意
組織内のドメインがメールを送信しない場合でも、パークされたドメインと同様に、そのドメインに対してSPFレコードを作成する必要があります。
※The Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG)も推奨しており、悪意のある攻撃者は、あらゆるドメインを模倣してなりすましや悪意のあるメールを送信することができるためです。
SPF failures、hard fails、soft failsについて
- SPF failure
送信者のIPアドレスがSPFレコードに見つからない場合に発生します。この場合、電子メールは迷惑メールフォルダに送られるか、拒否されます。 - hard fail
不正な送信者からの電子メールのみが削除されることを意味します。
以下のSPFレコードの例では、IPアドレス192.168.0.1のみが電子メールの送信を許可されています。アドレスに続く“-all”フラグは、レコードに記載されていない他のすべての送信者が不正であることを意味し、それらの電子メールは破棄されます。
v=spf1 ip4:192.168.0.1 -all
- soft fail
不正な送信者からのメールを破棄せず、迷惑メールフォルダに転送したり、”疑わしい”とマークされることを意味します。この場合、“all”の引数の前にはハイフン(-)ではなく、チルダ(~)を付けます。
以下の例では、Microsoft Office 365のみが電子メールの送信を許可されていますが、他の送信者からのメールは拒否されません。
v=spf1 include:spf.protection.outlook.com ~all
DMARCとSPFはどのように連携するのか
DMARCはSPFを補完する重要なコントロールであり、SPFでfailしたメールを処理するためのポリシーを設定するメール認証プロトコルです。
- none - 何もしない。
- quarantine - failした電子メールは、受信者の隔離メールボックスに配信され、メールサーバーがメールを配信するか拒否するかを決定します。
- reject - failした電子メールは受信者に届かないようになっており、受信者はこれらの電子メールに気づくことはありません。
次の例では、SPFチェックでfailした電子メールを拒否するDMARCポリシーが設定されています。
v=DMARC1; p=reject; rua=mailto:dmarc_agg@vali.email,mailto:dmarc_agg@dmarc.everest.email; ruf=mailto:dmarc_fr@dmarc.everest.email
2. 検出方法
登録ドメインのデジタルフットプリントの各ドメインに対して、以下2つを検証しています。
- SPFレコードが不正なメール送信者をどのようにfailさせるかを評価します。soft failのレコードは、“検出”としてフラグが立てられます。通常、SPFレコードは約48時間ごとに更新がなされます。
- DMARCポリシーが有効で、“quarantine”または“Reject”に設定されていることを確認します。有効なポリシーが設定されていない場合、または値が空または“none”に設定されているポリシーがある場合は、本課題が検出されます。
3. 修正方法
課題を修正するためには、以下の対策を実施してください。
- ドメインの代わりに電子メールを送信する権限を持つ電子メールサーバーのリストを作成します。正しい電子メールの承認リストでSPFレコードを更新し、hard failの“-all” フラグを使用してください。
- DMARCポリシーを有効にし、不正な送信元からのメールに対して“quarantine”または“Reject”するように設定してください。
4. 解決申請の流れ
解決申請する際、解決方法を以下の3つより選択して申請をしてください。
解決申請の提出方法は、こちらをご参照ください。
-
発生している課題に対処済み(I have fixed this)
ドメインにSPFレコードを追加したのち、 SPF Checkerなどのツールで検証した場合、解決申請によりSecurityScorecard社に対し、レコードを検査するように依頼してください。
-
代替管理策で対処済み(I have a compensating control)
DMARCで” quarantine” または”Reject”に設定することで、SPF soft failの有効な補完コントロールになります。
-
誤検知であった(I cannot repuroduce this issue and I think it's incorrect)
SPF CheckerなどのツールでSPFレコードを検証し、その結果を示してください。
Tips
検出された発見課題に紐づいたドメイン/IPアドレスが自社保有の資産ではない場合、登録されているデジタルフットプリントに自社が保有していない(自社管理外の)資産が登録されている可能性があります。
以下資料の[ Step.2 デジタルフットプリントの精査 ]ご確認いただき、デジタルフットプリントの精緻化を推奨いたします。