OpenDMARC
ナビゲーションに移動
検索に移動
インストール
sudo apt install opendmarc
設定
主な設定ファイルは/etc/opendmarc.confです 以下のオプションを修正または追加します
AuthservID OpenDMARC RejectFailures true Socket local:/run/opendmarc/opendmarc.sock
ソケットディレクトリを追加してSMTPサーバの実行ユーザ(postfix)がアクセスできるようにします
# mkdir /run/opendmarc # chown opendmarc:postfix /run/opendmarc
Postfixとの連携
/etc/postfix/main.cf に追加します
smtpd_milters = unix:/run/opendkim/opendkim.sock,unix:/run/opendmarc/opendmarc.sock non_smtpd_milters = $smtpd_milters milter_default_action = accept milter_protocol = 6
DMARC milterがDKIM milterの後に宣言されていることを確認してください
DMARC レコード
ドメインに対してDMARCを有効にするには、そのDNSゾーンに新しいTXTレコードを追加します。 以下は、DMARCポリシーの例で、段階的に処理されます。
最初のテストでは、(サブ)ポリシーが「none」なので害はありませんが、集約されたレポートと失敗レポート(SPFとDKIM)を受信するようになります。
_dmarc.example.com TXT v=DMARC1; rua=mailto:postmaster@example.com; ruf=mailto:forensic@example.com; adkim=s; fo=1
一定時間後、これらのレポートを分析した後、例えば電子メールのトラフィックの10%に対してポリシーを有効にします。
_dmarc.example.com TXT v=DMARC1; p=quarantine; rua=mailto:postmaster@example.com; ruf=mailto:forensic@example.com; adkim=s; fo=1; pct=10
その後、徐々に割合を上げ、最終的にはポリシーを100%有効にして、失敗したレポートのみを表示するようにします。
_dmarc.example.com TXT v=DMARC1; p=quarantine; ruf=mailto:forensic@example.com; adkim=s; fo=1
オプションの詳細
必須の v オプション以外は省略できます
| Tag name |
Purpose | Sample |
|---|---|---|
| v | Protocol version | v=DMARC1 |
| p | Policy for organizational domain (default "none") | p=quarantine |
| sp | Policy for subdomains (default value of "p" field) | sp=reject |
| rua | Reporting URI of aggregate reports | rua=mailto:postmaster@example.com |
| ruf | Reporting URI for forensic reports | ruf=mailto:forensic@example.com |
| adkim | Alignment mode for DKIM (default "r") | adkim=s |
| aspf | Alignment mode for SPF (default "r") | aspf=r |
| ri | Reporting interval of aggregate reports (default "86400" ; often disregarded to default value) | ri=86400 |
| fo | Forensic report options (default "0") | fo=1 |
| rf | Reporting format. (default "afrf") | rf=afrf |
| pct | Percentage of messages subjected to filtering (default 100) | pct=20 |
DKIMとSPFの整合性のモードは、次のようにすることができる
- "s" は "strict" を意味する。From: のドメインはDKIM/SPFの識別子と一致しなければならない
- "r" は "relaxed" を意味する。From: の組織ドメインとDKIM/SPFは一致しなければならない。
ここで、後者は "From "ヘッダーにサブドメインを許容するが、前者は許容しない。
ドメインのポリシー (p) と サブドメインのポリシー (sd) は以下のどれか
- "none" (for monitor mode)get at
- "quarantine"
- "reject"
The forensic report options are:
- "0" to generate reports if all underlying authentication mechanisms (SPF and DKIM) fail to produce a DMARC pass result
- "1" to generate reports if any mechanisms (SPF or DKIM) fail
- "d" to generate report if the DKIM signature failed to verify
- "s" if SPF failed