ServiceNow でのクラウドメールサービス向け DMARC の実装Issue ServiceNow は、DMARC (RFC 7489) 標準に従ってメールのセキュリティをさらに強化しています。お客様が DMARC ポリシーを利用するために、既存のインスタンスのメール設定を変更する必要はありません。また、ServiceNow の DMARC ポリシーにより、お客様はメールインフラストラクチャの構成を変更する必要もありません。 ServiceNow の DMARC ポリシーを最大限に活用するには、お客様のメールサービスの変更が必要となる場合があります。必要に応じて、メールアドミニストレーターに問い合わせることをお勧めします。 DMARC の概要 DMARC (Domain-based Message Authentication, Reporting, and Conformance) は、メール認証プロトコルです。DMARC はメールドメインの所有者が、一般にメールスプーフィングと呼ばれる不正使用からドメインを保護できるように設計されています。DMARC を実装する目的と主な成果は、ビジネスメールのセキュリティ侵害攻撃、フィッシングメール、メール詐欺などのサイバー脅威活動にドメインが使用されるのを防ぐことです。 DMARC DNS エントリが公開されると、すべての受信メールサーバーは、DNS エントリ内でドメイン所有者が公開した指示に基づいて受信メールを認証できます。メールが認証に合格すると、配信され、信頼できるようになります。メールがチェックに失敗した場合、そのメールは DMARC レコード内の指示に応じて配信、隔離、または拒否されます。 DMARCは、送信者ポリシーフレームワーク (Sender Policy Framework, SPF) とドメインキー識別メール (DomainKeys Identified Mail, DKIM)という 2 つの既存のメカニズムを拡張します。これにより、ドメインの管理所有者は DNS レコードでポリシーを公開して、そのドメインからのメールの送信に使用されるメカニズム (DKIM、SPF、またはその両方) を指定できます。つまり、エンドユーザーに表示される From: フィールドを確認する方法、受信者が失敗に対応する方法、およびそれらのポリシーで実行されるアクションのレポートメカニズムを指定することができます。ReleaseすべてのバージョンRelated LinksServiceNow の DMARC ポリシー ServiceNow の DMARC ポリシーは、@service-now.com ドメインを含む From: アドレスから送信されたメールにのみ適用されます。このポリシーは、service-now.com ドメインの次の txt (_dmarc.service-now.com) レコードで構成されます。 v=DMARC1; p=none; rua=mailto:dmarcaadmin@service-now.com; ruf=mailto:dmarcfadmin@service-now.com; sp=none; fo=1; ri=86400 ポリシーの各フィールドの説明 v=DMARC1; これは、受信サーバーがメッセージを受信したドメインの DNS レコードをスキャンする際に検索する識別子です。ドメインに v=DMARC1 で始まる txt レコードがない場合、受信サーバーは DMARC チェックを実行しません。 p=none; この部分は DMARC に失敗したメッセージの処理方法を受信サーバーに指示します。この場合、ポリシーは「none」に設定されています。これは、メッセージが DMARC に失敗した場合、受信サーバーはアクションを実行しないことを意味します。DMARC は DMARC の失敗があったことをドメインアドミニストレーターに警告するレポートを送信するため、このポリシーは送信者にとっては有用です。 rua=mailto:dmarcaadmin@service-now.com; この部分は、DMARC 失敗の集計レポートを送信する場所を受信サーバーに指示します。これらの集計レポートは、DMARC レコードが属するドメインのアドミニストレーターに毎日送信されます。こうしたレポートには DMARC 失敗に関する概要情報が含まれていますが、各インシデントに関する詳細は提供されていません。送信先は任意のメールアドレスを選択できます。 ruf=mailto:dmarcfadmin@service-now.com; DMARC レコードのこの部分は、DMARC 失敗のフォレンジックレポートを送信する場所を受信サーバーに指示します。こうしたフォレンジックレポートは、DMARC レコードが属するドメインのアドミニストレーターにリアルタイムで送信されます。こうしたフォレンジックレポートには、それぞれの失敗に関する詳細が含まれています。このメールアドレスは、DMARC レコードの公開対象であるドメインのものである必要があります。 sp=none; この部分は、受信サーバーに対してサブドメインに適用する DMARC ポリシーを指示します。 fo=1; 送信 MTA が受信 MTA に要求するエラーレポートポリシーを定義します。 ri=86400 レポート間隔を秒単位で定義します。 DMARC ポリシーの今後の変更 「none (なし)」から「quarantine (隔離)」へのポリシーの変更 通知:ServiceNow は、2020 年 2 月 3 日までにポリシーが「none」から「quarantine」に変更されたことをお客様に通知します。 変更:ServiceNow は、2020 年 4 月 3 日に DMARC ポリシーを「none」から「quarantine」に変更します。 「quarantine」から「reject」へのポリシーの変更 通知:ServiceNow は、2020 年 4 月 4 日までにポリシーが「quarantine」から「reject」に変更されたことをお客様に通知します。 変更: ServiceNow は、2020 年 6 月 4 日に DMARC ポリシーを「quarantine」から「reject」に変更します。 これらのポリシーの変更が DMARC ポリシーに与える影響 ポリシー:NONE NONE が使用されている場合、ポリシーはメール受信者に対するアクションを指示しないため、メールは変更なしで受信者のメールボックスに到達すると予期されます。このポリシーは、DMARC に準拠していないメールの数と送信元を報告するために使用されます。 ポリシー:Quarantine QUARANTINE では、ポリシーにより、準拠していないメール (つまり、ServiceNow のレコードに記載されていない送信元から送信されたメール) は、迷惑メールフォルダーやスパムフォルダーなどの特殊な隔離の対象となるように指定されます。メール受信者の構成によっては、メールの件名に警告テキストを含めるように変更するなど、その他のアクションも設定できます。このようにして受信されたメールは、メールアドミニストレーターが分析して発信元を追跡する必要があります。 ポリシー:Reject REJECT の場合、ポリシーは準拠していないメール (つまり、ServiceNow レコードに記載されていない送信元からのメール) をすべて拒否し、受信者のメールボックスに配信しないように指定します。これらのメールはバウンスされ、送信者に返されます。