当方の携帯電話サービスはDoCoMo。
なので、このドメインアカウント taskmoher.jp から当方ドコモアドレスにメール送信して、DMARCレポートを確認してみた。
環境
エックスサーバーで、
DKIM設定:ON
SPF設定:ON(標準設定)
DMARC設定:ON、DMARCポリシー:何もしない、レポート設定:ON
1.DocomoのDMARCレポートの形式
届くメールの件名:
Report Domain: taskmother.jp Submitter: docomo.ne.jp Report-ID: <2ca5ca5507c57c1c7xxxx231d19xxxx>(xxxxは任意の数字)
添付ファイル:gzファイル、ファイル名:docomo.ne.jp! taskmother.jp!開始日!終了日!レポートid.xml.gz(開始日、終了日は秒単位の数字)
※Windowsの標準の展開では解凍できないので、フリーの解凍ソフトを利用する。
このファイルを展開するとxmlファイルが表示される。
2.DocomoのDMARCレポートxmlファイル
当方の携帯アドレスにてメールを正常受信、その後届いたDMARCレポートである。
Docomoのxmlは、改行されず1行として表示される。非常に見づらい!
なので、以下のレポートは、見やすいように改行編集している。
エックスサーバー経由のDMARCレポート(taskmother.jp)
<?xml version="1.0" encoding="utf-8"?>
<feedback>
<report_metadata>
<org_name>docomo.ne.jp</org_name>
<email>reporting@dmarc25.jp</email>
<report_id>2ca5ca5507c57c1c7xxxx231d19xxxx</report_id> (xxxxは任意の数字)
<date_range>
<begin>1715817600</begin>
<end>1715903999</end>
</date_range>
</report_metadata>
<policy_published>
<adkim>r</adkim>
<domain>taskmother.jp</domain>
<aspf>r</aspf>
<p>none</p>
<pct>100</pct>
<sp>none</sp>
</policy_published>
<record>
<row>
<source_ip>IPv4のIPアドレス</source_ip> svxxxx.xserver.jpのIPアドレス
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>taskmother.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>taskmother.jp</domain>
<selector>default</selector>
<result>pass</result>
</dkim>
<spf>
<domain>taskmother.jp</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>届いたドコモメールのヘッダー情報を確認したところ、ソース(コード)表示であるが、DKIM、SPF、DMARCともPASSであることを確認できる。
ちなみに、プロバイダ(au)メール、Gmailからもdocomoメールに送信したところ、同様に正常に受信でき、届いたドコモメールのヘッダー情報を確認したところ、ソース(コード)表示で、DKIM、SPF、DMARCともPASSであることを確認できた。
3.Docomoのfail、softfailのDMARCレポート
2のDMARCレポート、当方の環境では意図的にテストしたときに初めて受信したレポートである。実際、ドコモのDMARCレポートは設定してから4か月以上経過するが、一度もメールは届かない。
ただ、経過観察している別ドメイン、メールアカウント30個の環境では、設定以来、Google、Outlook、GMO、Docomoなどがほぼ毎日届いている。
そして、当方ドメインと同じエックスサーバー環境であるが、DocomoのDMARCレポートはほとんどが fail、softfailの結果となっている。
エックスサーバー経由のDMARCレポート2(ある運用ドメイン)
<?xml version="1.0" encoding="utf-8"?>
<feedback>
<report_metadata>
<org_name>docomo.ne.jp</org_name>
<email>reporting@dmarc25.jp</email>
<report_id>c74a89cb50940114886f934b68f0xxxx</report_id> (xxxxは任意の数字)
<date_range>
<begin>1714348800</begin>
<end>1714435199</end>
</date_range>
</report_metadata>
<policy_published>
<adkim>r</adkim>
<domain>運用ドメイン</domain>
<aspf>r</aspf>
<p>none</p>
<pct>100</pct>
<sp>none</sp>
</policy_published>
<record>
<row>
<source_ip>175.xxx.xxx.xxx</source_ip> 逆引き出来ないIPアドレス
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>運用ドメイン</header_from>
</identifiers>
<auth_results>
<spf>
<domain>運用ドメイン</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>119.xxx.xxx.xxx</source_ip> 逆引き出来ないIPアドレス
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>運用ドメイン</header_from>
</identifiers>
<auth_results>
<spf>
<domain>運用ドメイン</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>42.xx.xxx.xxx</source_ip> 逆引き出来ないIPアドレス
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>運用ドメイン</header_from>
</identifiers>
<auth_results>
<spf>
<domain>運用ドメイン</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>27.xxx.x.xx</source_ip> 逆引き可能IPアドレス
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>運用ドメイン</header_from>
</identifiers>
<auth_results>
<spf>
<domain>xxx.xxx.ne.jp</domain> 逆引き可能ドメイン
<result>pass</result>
</spf>
</auth_results>
</record>
・・・
上記4レコード目のデータは、auth_results の SPFがpassとなっている。
このレコードのように、IPアドレスを逆引きできるものは他のレポートでもpassになっている。
とはいえ、毎日受信するDMRACレポートのほとんどが逆引き不可能のIPアドレスで、SPFがsoftfailとなっている。(2月計測では、PASSは2.6%)
auth_results softfailになっているので、一応送信済みとなっている可能性があり、
となると、この運用ドメイン、なりすましメールとして送信されているということか?
このあたり根本的なDMARCレポートを理解していないので、なんとも判断できない。
更に情報収集していきたい。