DMARCレポートの見方と活用（その３）Docomoの場合

当方の携帯電話サービスはDoCoMo。

なので、このドメインアカウント taskmoher.jp から当方ドコモアドレスにメール送信して、DMARCレポートを確認してみた。

環境
エックスサーバーで、
DKIM設定：ON
SPF設定：ON（標準設定）
DMARC設定：ON、DMARCポリシー：何もしない、レポート設定：ON

１．DocomoのDMARCレポートの形式
２．DocomoのDMARCレポートxmlファイル
３．Docomoのfail、softfailのDMARCレポート

１．DocomoのDMARCレポートの形式

届くメールの件名：
Report Domain: taskmother.jp Submitter: docomo.ne.jp Report-ID: <2ca5ca5507c57c1c7xxxx231d19xxxx>（xxxxは任意の数字）
添付ファイル：gzファイル、ファイル名：docomo.ne.jp! taskmother.jp!開始日!終了日!レポートid.xml.gz（開始日、終了日は秒単位の数字）
　※Windowsの標準の展開では解凍できないので、フリーの解凍ソフトを利用する。
このファイルを展開するとxmlファイルが表示される。

２．DocomoのDMARCレポートxmlファイル

当方の携帯アドレスにてメールを正常受信、その後届いたDMARCレポートである。

Docomoのxmlは、改行されず1行として表示される。非常に見づらい！
なので、以下のレポートは、見やすいように改行編集している。

エックスサーバー経由のDMARCレポート(taskmother.jp)

<?xml version="1.0" encoding="utf-8"?>
<feedback>
　　<report_metadata>
　　<org_name>docomo.ne.jp</org_name>
　　<email>reporting@dmarc25.jp</email>
	<report_id>2ca5ca5507c57c1c7xxxx231d19xxxx</report_id> （xxxxは任意の数字）
　　<date_range>
　　　　<begin>1715817600</begin>
　　　　<end>1715903999</end>
　　</date_range>
  </report_metadata>
  <policy_published>
    <adkim>r</adkim>
    <domain>taskmother.jp</domain>
    <aspf>r</aspf>
    <p>none</p>
    <pct>100</pct>
    <sp>none</sp>
  </policy_published>
  <record>
　  <row>
　    <source_ip>IPv4のIPアドレス</source_ip>　svxxxx.xserver.jpのIPアドレス
　    <count>1</count>
　    <policy_evaluated>
　      <disposition>none</disposition>
　      <dkim>pass</dkim>
　      <spf>pass</spf>
　    </policy_evaluated>
　  </row>
　  <identifiers>
　    <header_from>taskmother.jp</header_from>
　  </identifiers>
　  <auth_results>
　    <dkim>
　      <domain>taskmother.jp</domain>
　      <selector>default</selector>
　      <result>pass</result>
　    </dkim>
　    <spf>
　      <domain>taskmother.jp</domain>
　      <result>pass</result>
　    </spf>
　  </auth_results>
　</record>
</feedback>

届いたドコモメールのヘッダー情報を確認したところ、ソース（コード）表示であるが、DKIM、SPF、DMARCともPASSであることを確認できる。

ちなみに、プロバイダ（au）メール、Gmailからもdokomoメールに送信したところ、同様に正常に受信でき、届いたドコモメールのヘッダー情報を確認したところ、ソース（コード）表示で、DKIM、SPF、DMARCともPASSであることを確認できた。

３．Docomoのfail、softfailのDMARCレポート

２のDMARCレポート、当方の環境では意図的にテストしたときに初めて受信したレポートである。実際、ドコモのDMARCレポートは設定してから4か月以上経過するが、一度もメールは届かない。

ただ、経過観察している別ドメイン、メールアカウント30個の環境では、設定以来、Google、Outlook、GMO、Docomoなどがほぼ毎日届いている。

そして、当方ドメインと同じエックスサーバー環境であるが、DocomoのDMARCレポートはほとんどが fail、softfailの結果となっている。

エックスサーバー経由のDMARCレポート2（ある運用ドメイン）

<?xml version="1.0" encoding="utf-8"?>
<feedback>
  <report_metadata>
	<org_name>docomo.ne.jp</org_name>
	<email>reporting@dmarc25.jp</email>
	<report_id>c74a89cb50940114886f934b68f0xxxx</report_id> （xxxxは任意の数字）
	<date_range>
	  <begin>1714348800</begin>
	  <end>1714435199</end>
	</date_range>
  </report_metadata>
  <policy_published>
	<adkim>r</adkim>
	<domain>運用ドメイン</domain>
	<aspf>r</aspf>
	<p>none</p>
	<pct>100</pct>
	<sp>none</sp>
  </policy_published>
  <record>
  	<row>
  	  <source_ip>175.xxx.xxx.xxx</source_ip>　逆引き出来ないIPアドレス
  	  <count>1</count>
  	  <policy_evaluated>
  	    <disposition>none</disposition>
  	    <dkim>fail</dkim>
  	    <spf>fail</spf>
  	    </policy_evaluated>
  	  </row>
  	  <identifiers>
  	    <header_from>運用ドメイン</header_from>
  	  </identifiers>
  	  <auth_results>
  	  	<spf>
  	  	  <domain>運用ドメイン</domain>
  	  	  <result>softfail</result>
  	  	</spf>
  	  </auth_results>
  	</record>
	<record>
	  <row>
	    <source_ip>119.xxx.xxx.xxx</source_ip> 　逆引き出来ないIPアドレス
	    <count>1</count>
	    <policy_evaluated>
	      <disposition>none</disposition>
	      <dkim>fail</dkim>
	      <spf>fail</spf>
	    </policy_evaluated>
	  </row>
	<identifiers>
	  <header_from>運用ドメイン</header_from>
	</identifiers>
	<auth_results>
	  <spf>
	    <domain>運用ドメイン</domain>
	    <result>softfail</result>
	  </spf>
	</auth_results>
  </record>
  <record>
    <row>
      <source_ip>42.xx.xxx.xxx</source_ip> 　逆引き出来ないIPアドレス
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>運用ドメイン</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>運用ドメイン</domain>
        <result>softfail</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>27.xxx.x.xx</source_ip> 　逆引き可能IPアドレス
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>運用ドメイン</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>xxx.xxx.ne.jp</domain> 　逆引き可能ドメイン
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  ・・・

上記4レコード目のデータは、auth_results の SPFがpassとなっている。

このレコードのように、IPアドレスを逆引きできるものは他のレポートでもpassになっている。

とはいえ、毎日受信するDMRACレポートのほとんどが逆引き不可能のIPアドレスで、SPFがsoftfailとなっている。（2月計測では、PASSは2.6%）

auth_results softfailになっているので、一応送信済みとなっている可能性があり、
となると、この運用ドメイン、なりすましメールとして送信されているということか？

このあたり根本的なDMARCレポートを理解していないので、なんとも判断できない。

更に情報収集していきたい。