公開日:
更新日:
12 min read
技術革新あなたのドメインが狙われている!知らぬ間に起こるなりすましメールの脅威と対策
ドメインにメール認証を設定してから、ぽつぽつとDMARCレポートが届くようになりました。DMARCレポートは、ドメインのメール認証設定の有効性を確認するためのもので、メール送信元の認証状況や問題点を示す情報が含まれています。今回は、DMARCレポートの内容を解説し、メールセキュリティの向上について考察してみたいと思います。
予想外のDMARCレポート:AIによる解析
恐ろしいことに、私はメールを週に1~2通しか送らないのに、DMARCレポートはそれ以上のペースで届きます。1つをAIに解析してもらいました。
主な内容は以下の通りです:
1. レポートメタデータ:
- 組織名: docomo.ne.jp
- レポートID: 0fa82be0508dfbf0734d46e8472e525e
- 日付範囲: 2024年9月26日から2024年9月27日(UNIXタイムスタンプで表示)
2. 公開されたポリシー:
- ドメイン: aqz.jp
- DKIM設定: s (strict)
- SPF設定: r (relaxed)
- DMARC政策: none
- ポリシー適用率: 100%
3. 記録された問題:
- 複数のIPアドレスからのメールが報告されています(例:49.72.81.163, 49.64.241.80など)
- すべての記録でDKIMとSPFが失敗しています
- SPFの結果がすべて「permerror」(永続的なエラー)となっています
4. 評価結果:
- すべてのメッセージで disposition(処理)が「none」となっています。これは、DMARCポリシーが「none」に設定されているため、実際の制限は適用されていないことを示します。
このレポートは、aqz.jpドメインからのメールが適切に認証されていないことを示しています。全ての記録でDKIMとSPFの認証に失敗しており、これは潜在的なセキュリティリスクを示唆しています。
ドメイン所有者は以下の対策を検討する必要があります:
- SPFレコードの設定を確認し、修正する
- DKIMの設定を行い、適切に署名されたメールを送信する
- DMARCポリシーを段階的に強化する(例:noneからquarantineやrejectに)
これらの対策により、なりすましメールを防ぎ、ドメインの評判を守ることができます。
なりすましメールの実態:驚くべき発見
なんじゃ、こりゃあ?
私の大事な大事なドメインを無断使用して、なりすましメールを送りつけている輩がいるようです。これは、私のドメインの評判を損なうだけでなく、セキュリティリスクを引き起こす可能性があります。
送信元をwhoisコマンドで調べた結果をAIに解析してもらいました。
ありがとうございます。提供していただいた情報を基に、IPアドレス 49.72.81.163 について分析いたします。
-
IPアドレスの所属:
- このIPアドレスは中国テレコム(China Telecom)のネットワークに属しています。
- 具体的には、CHINANET-JS(江蘇省ネットワーク)に割り当てられています。
-
地理的位置:
- 中国の江蘇省に位置しています。
- 管理事務所は南京市(Nanjing)にあります。
-
ネットワーク範囲:
- このIPは49.64.0.0 - 49.95.255.255の範囲内にあります。
-
連絡先情報:
- abuse(不正使用)に関する連絡先: anti-spam@chinatelecom.cn
- 技術的な連絡先: jsipmanager@163.com
-
ネットワーク状態:
- status: ALLOCATED PORTABLE(割り当て済みで移植可能)
この情報から、以下のことが分かります:
-
このIPアドレスは正規のインターネットサービスプロバイダー(ISP)に属しており、個人や組織に割り当てられている可能性が高いです。
-
中国からのトラフィックであることが確認されました。これは、国際的なメール送信の観点から注意が必要かもしれません。
-
スパムや不正使用の報告先が明確に示されています(anti-spam@chinatelecom.cn)。
-
このIPアドレスが動的に割り当てられている可能性があるため、メール送信時の使用者と現在の使用者が異なる可能性があります。
対応策:
-
このIPアドレスからの不審なメールを受け取っている場合、提供されている abuse メールアドレスに報告することができます。
-
メールサーバーの設定で、この IPアドレス範囲からの接続に追加の認証や検証を要求することを検討してもよいでしょう。
-
継続的に問題が発生する場合は、中国テレコムの技術担当者(jsipmanager@163.com)に連絡を取り、詳細な調査を依頼することも可能です。
-
自社のメールセキュリティ設定(SPF、DKIM、DMARC)を再確認し、不正な送信元からのメールをより効果的にブロックできるようにすることをお勧めします。
なんと、なんと!私の知らぬところでなりすましメールがこれほどまでに送られているとは、驚愕である。
自分のドメインはなりすましとは無関係、と思われてる方が多いと思いますが、そういうドメインを世界中の悪い奴らが虎視眈々と狙っていたのだ。こしたんたん、こしたんたん。
しかも、多いときは1日に10通以上ものなりすましメールが中国から送信されているという現実。DMARCでブロックすれば、こいつらが送ったメールをメールサーバーが受信拒否するようになり、当社になりすましたメールを撲滅できるというものです。
これは、ドメインオーナー必見の情報なのです!!!
ドメインを守れ!具体的な対策
ドメインは持っているけど使っていない場合、なりすましを防ぐにはどうすれば?AIに助けを求めました。
使っていないドメインでもなりすましを防ぐことは重要です。以下の手順を取ることで、ドメインのセキュリティを強化し、なりすましを防ぐことができます:
1. SPFレコードの設定:
-
DNSレコードにアクセス: ドメインレジストラまたはDNSホスティングプロバイダーの管理パネルにログインします。
-
新しいTXTレコードを追加: ドメインのDNS設定で、新しいTXTレコードを作成します。
レコード種別 : TXT 名前(ホスト名): @ 値(コンテンツ): v=spf1 -allこの設定は、ドメインからのメール送信を一切許可しないことを示します。
-
変更を保存: 新しいDNSレコードを保存し、変更を適用します。
-
伝播を待つ: DNSの変更が世界中に伝播するまで、最大48時間かかる場合があります。
-
SPFレコードを確認: オンラインのSPFレコードチェッカーツールを使用して、設定が正しく反映されているか確認します。
SPFレコードを設定することで、誰もあなたのドメイン名を使ってメールを送信できないようになります。
2. DMARCポリシーの実装: DMARCレコードも同様にDNSに追加します。以下のような設定を使用できます:
レコード種別 : TXT
名前(ホスト名): _dmark.(ドメイン名)
値(コンテンツ): v=DMARC1; p=reject; rua=mailto:your-email@example.comこの設定は、SPFとDKIMの認証に失敗したメールを拒否し、レポートをあなたのメールアドレスに送信するよう指示します。
3. DKIMの設定: DKIMは通常、メール送信に使用されるため、使用していないドメインでは必須ではありませんが、設定しておくと追加のセキュリティレイヤーになります。
4. メールサーバーの無効化: ドメインに関連付けられたメールサーバーがある場合は、それらを無効化または削除します。
5. 定期的な監視: DMARCレポートを定期的にチェックし、ドメインが不正に使用されていないか確認します。
6. ドメインの更新: ドメインの登録を最新の状態に保ち、失効しないようにします。
7. 強力なレジストラロック: ドメインレジストラの提供する最高レベルのセキュリティロックを有効にし、不正な転送や変更を防ぎます。
これらの対策を実施することで、使用していないドメインのセキュリティを大幅に向上させ、なりすましのリスクを最小限に抑えることができます。特に、SPFとDMARCの設定は、なりすましメールの防止に非常に効果的です。
結論
ネットでは自分の資産が思わぬ形で悪用されていることを、まざまざと思い知らされました。ドメインを持っている方は、ぜひセキュリティ対策を行って、自分の資産を守っていただきたいと思います。
AIの助けを借りることで、複雑なDMARCレポートの解析や、IPアドレスの詳細な情報の理解、そして具体的な対策の立案まで、効率的に行うことができました。ドメインセキュリティは常に進化する脅威に対応する必要があり、最新の情報と適切な対策を講じることが重要です。
自分のドメインが安全だと思い込まず、定期的なチェックと必要な設定の更新を行いましょう。それが、インターネット全体のセキュリティ向上にもつながるのです。