SecurityGateway for Email Servers 11.0

DMARC検証処理の一部として、SecurityGatewayは受信メールのFrom:ヘッダ内のドメインに対してDMARC DNSクエリを実行します。これで、ドメインがDMARCを使っているかどうかと、もしも使っている場合は、ポリシーやその他DMARC関連情報が含まれているDMARC DNSレコードの取得を行います。 更に、DMARCはDMARC検証を通過するためのテストとして、各メールのSPFとDKIMを利用しており、DMARC検証を通過するには最低どちらかの検証を通過する必要があります。メールが検証を通過すると、SecurityGatewayは対象のメールについて、残りの配送とフィルタリングの処理を通常通りに行います。もしも検証に通過しなかった場合は、ドメインのDMARCポリシーとSecurityGateway側の設定との組み合わせで、その後の処理を決定します。

メールがDMARC検証に失敗し、DMARCドメインのポリシーが"p=none"の場合、対処される事なく、メールは通常通り配信されます。反対に、DMARCドメインが"p=quarantine"や"p=reject"のポリシーを定義していた場合、 SecurityGatewayはメールを拒否したり、各ユーザの隔離フォルダ へ自動振り分けしたり、件名へ文字列を追加したり、メッセージスコアを調整する事ができます。 更に、制限ポリシーで検証に失敗したメールについて、SecurityGatewayはポリシーに応じて"X-SGDMARC-Fail-policy: quarantine" や "X-SGDMARC-Fail-policy: reject" ヘッダを挿入します。これにより、メールを特定のフォルダへ配信するといった処理を、Sieveスクリプトやメールサーバーのコンテンツフィルタでヘッダの有無を元に行う事ができます。

DMARC検証

DMARC検証とレポートを有効にする

このオプションを有効にすると、SecurityGatewayは受信メールのFrom:ヘッダ内のドメインに対してDMARC DNSクエリを実行し、DMARCレポート で設定されていれば、統計及び失敗レポートを送信します。DMARCはメールの検証にSPF とDKIM を使用しているため、最低どちらかの機能が有効になっている必要があります。DMARC検証とDMARCレポートはデフォルトで有効で、ほとんどのSecurityGateway設定で使用されています。

認証済み受信チェーン（ARC）検証を有効にする

ARC検証を有効にするには、このボックスにチェックを入れます。ARCは、中間メールサーバーがメッセージの認証結果にデジタル署名できるようにする電子メール認証プロトコルで、リダイレクトやメーリングリストの変更によってSPFまたはDKIMの検証が失敗しても、メッセージが最終宛先に送られるときに検証できます。ARC検証では、ARCの結果を信頼するドメインを指定できるため、SecurityGatewayはこれらの結果を確認することで、メッセージを受け入れるかどうかを判断できます。ARCプロトコルの詳細については、以下を参照してください：RFC 8617: The Authenticated Received Chain (ARC) ProtocolAuthenticated参照してください。

信頼済みARCシーラーの管理

このボタンをクリックすると、信頼するARCシーラー（ARC結果を信頼するドメイン）を管理できます。信頼できないドメインからのARC結果は、DMARC検証時に無視されます。

検証結果が REJECT だった場合には:

受信メールがDMARC検証に失敗し、送信元ドメインのDMARC DNSレコードでp=rejectが定義されていた場合はここで指定した処理が行われます。

...メッセージを拒否

DMARC検証処理でREJECTが返された場合、このオプションでメッセージをSMTP処理中に拒否します。このオプションがデフォルトで選択されています。

...メッセージを隔離

DMARC検証処理でREJECTが返された場合、拒否するのではなくメールを 隔離 する場合はこのオプションを選択します。このオプションと併せて、「...次の文字を件名に付ける」や「...この値をスコアに追加 [xx] ポイント」を使用する事もできます。

...メッセージを受け入れる

DMARC検証処理でREJECTが返された場合、このオプションを選択すると、SecurityGatewayはメール受信を許可しますが、件名へ文字列を追加したり メッセージスコアの調整を行う事ができます。

...次の文字を件名に付ける

DMARC検証処理でREJECTが返されたメールを受け付けたり隔離する場合、このオプションを有効にしメールのSubjectヘッダへ追加する文字列を指定する事ができます。 有効にした場合、Subjectに追加されるデフォルトテキストは"*** FRAUD ***"です。このオプションで、受信者のメールサーバまたはクライアントで、文字列を元にしたメールのフィルタリングが行えます。このオプションはデフォルトで無効です。

...この値をスコアに追加 [xx] ポイント

DMARC検証処理でREJECTが返されたメールを受け付けたり隔離する場合、このオプションを有効にし メッセージスコア へ指定したポイントを付与します。最終的なスコアがメッセージスコアで指定した閾値に到達すると、メールは設定に沿って隔離されるか拒否されます。デフォルトではメッセージスコアへ5.0ポイントが追加されます。

 

検証結果が QUARANTINE だった場合には:

受信メールがDMARC検証に失敗し、送信元ドメインのDMARC DNSレコードでp=QUARANTINEが定義されていた場合はここで指定した処理が行われます。

...メッセージを拒否

DMARC検証処理で隔離が返された場合、このオプションでメッセージをSMTP処理中に拒否します。

...メッセージを隔離

DMARC検証処理で隔離が返された場合、このオプションを選択しメールを拒否するのではなく 隔離 します。このオプションと併せて、「...次の文字を件名に付ける」や「...この値をスコアに追加 [xx] ポイント」を使用する事もできます。

...メッセージを受け入れる

DMARC検証処理で隔離が返された場合、このオプションを選択すると、SecurityGatewayはメール受信を許可しますが、件名へ文字列を追加したり メッセージスコアの調整を行う事ができます。

...次の文字を件名に付ける

隔離ポリシードメインからのDMARC検証に失敗し、SecurityGatewayが対象メールを受信または隔離するよう設定していた場合、 このオプションを有効にしメールのSubjectヘッダへ追加する文字列を指定する事ができます。 有効にした場合、Subjectに追加されるデフォルトテキストは"*** FRAUD ***"です。このオプションで、受信者のメールサーバまたはクライアントで、文字列を元にしたメールのフィルタリングが行えます。このオプションはデフォルトで無効です。

...この値をスコアに追加 [xx] ポイント

デフォルトで、隔離ポリシードメインからのDMARC検証に失敗し、SecurityGatewayが対象メールを受信または隔離するよう設定していた場合、このオプションで メッセージスコア へ指定したポイントを付与します。最終的なスコアがメッセージスコアで指定した閾値に到達すると、メールは設定に沿って隔離されるか拒否されます。デフォルトではメッセージスコアへ5.0ポイントが追加されます。

例外

許可リストに登録されたIPアドレスからのメッセージは除外する

デフォルトでは、許可リストIPアドレスからのメッセージはDMARC検証の対象外となります。送信者が許可リストにある場合でもDMARC検証を使用する場合は、このチェックボックスをオフにします。

認証されたセッションからのメッセージを除外する

デフォルトで、認証済SMTPセッションで届いたメールは、DMARC検証から免除されます。認証済SMTPセッションで届いたメールの場合でもDMARC検証を行う場合はチェックボックスを解除します。

ドメインメールサーバからのメッセージを除外する

ドメインメールサーバから到着しているメッセージは、デフォルトでDMARC検証から免除されます。差出人がドメインメールサーバからの場合でもDMARC検証を行う場合はチェックボックスを解除します。