DMARCレポートの見方と活用(その3)Docomoの場合

当方の携帯電話サービスはDoCoMo。

なので、このドメインアカウント taskmoher.jp から当方ドコモアドレスにメール送信して、DMARCレポートを確認してみた。

環境
エックスサーバーで、
DKIM設定:ON
SPF設定:ON(標準設定)
DMARC設定:ON、DMARCポリシー:何もしない、レポート設定:ON

1.DocomoのDMARCレポートの形式

届くメールの件名:
Report Domain: taskmother.jp Submitter: docomo.ne.jp Report-ID: <2ca5ca5507c57c1c7xxxx231d19xxxx>(xxxxは任意の数字)
添付ファイル:gzファイル、ファイル名:docomo.ne.jp! taskmother.jp!開始日!終了日!レポートid.xml.gz(開始日、終了日は秒単位の数字)
 ※Windowsの標準の展開では解凍できないので、フリーの解凍ソフトを利用する。
このファイルを展開するとxmlファイルが表示される。

2.DocomoのDMARCレポートxmlファイル

当方の携帯アドレスにてメールを正常受信、その後届いたDMARCレポートである。

Docomoのxmlは、改行されず1行として表示される。非常に見づらい!
なので、以下のレポートは、見やすいように改行編集している。

エックスサーバー経由のDMARCレポート(taskmother.jp)

<?xml version="1.0" encoding="utf-8"?>
<feedback>
  <report_metadata>
  <org_name>docomo.ne.jp</org_name>
  <email>reporting@dmarc25.jp</email>
	<report_id>2ca5ca5507c57c1c7xxxx231d19xxxx</report_id> (xxxxは任意の数字)
  <date_range>
    <begin>1715817600</begin>
    <end>1715903999</end>
  </date_range>
  </report_metadata>
  <policy_published>
    <adkim>r</adkim>
    <domain>taskmother.jp</domain>
    <aspf>r</aspf>
    <p>none</p>
    <pct>100</pct>
    <sp>none</sp>
  </policy_published>
  <record>
   <row>
     <source_ip>IPv4のIPアドレス</source_ip> svxxxx.xserver.jpのIPアドレス
     <count>1</count>
     <policy_evaluated>
       <disposition>none</disposition>
       <dkim>pass</dkim>
       <spf>pass</spf>
     </policy_evaluated>
   </row>
   <identifiers>
     <header_from>taskmother.jp</header_from>
   </identifiers>
   <auth_results>
     <dkim>
       <domain>taskmother.jp</domain>
       <selector>default</selector>
       <result>pass</result>
     </dkim>
     <spf>
       <domain>taskmother.jp</domain>
       <result>pass</result>
     </spf>
   </auth_results>
 </record>
</feedback>

届いたドコモメールのヘッダー情報を確認したところ、ソース(コード)表示であるが、DKIM、SPF、DMARCともPASSであることを確認できる。

ちなみに、プロバイダ(au)メール、Gmailからもdokomoメールに送信したところ、同様に正常に受信でき、届いたドコモメールのヘッダー情報を確認したところ、ソース(コード)表示で、DKIM、SPF、DMARCともPASSであることを確認できた。

3.Docomoのfail、softfailのDMARCレポート

2のDMARCレポート、当方の環境では意図的にテストしたときに初めて受信したレポートである。実際、ドコモのDMARCレポートは設定してから4か月以上経過するが、一度もメールは届かない。

ただ、経過観察している別ドメイン、メールアカウント30個の環境では、設定以来、Google、Outlook、GMO、Docomoなどがほぼ毎日届いている。

そして、当方ドメインと同じエックスサーバー環境であるが、DocomoのDMARCレポートはほとんどが fail、softfailの結果となっている。

エックスサーバー経由のDMARCレポート2(ある運用ドメイン)

<?xml version="1.0" encoding="utf-8"?>
<feedback>
  <report_metadata>
	<org_name>docomo.ne.jp</org_name>
	<email>reporting@dmarc25.jp</email>
	<report_id>c74a89cb50940114886f934b68f0xxxx</report_id> (xxxxは任意の数字)
	<date_range>
	  <begin>1714348800</begin>
	  <end>1714435199</end>
	</date_range>
  </report_metadata>
  <policy_published>
	<adkim>r</adkim>
	<domain>運用ドメイン</domain>
	<aspf>r</aspf>
	<p>none</p>
	<pct>100</pct>
	<sp>none</sp>
  </policy_published>
  <record>
  	<row>
  	  <source_ip>175.xxx.xxx.xxx</source_ip> 逆引き出来ないIPアドレス
  	  <count>1</count>
  	  <policy_evaluated>
  	    <disposition>none</disposition>
  	    <dkim>fail</dkim>
  	    <spf>fail</spf>
  	    </policy_evaluated>
  	  </row>
  	  <identifiers>
  	    <header_from>運用ドメイン</header_from>
  	  </identifiers>
  	  <auth_results>
  	  	<spf>
  	  	  <domain>運用ドメイン</domain>
  	  	  <result>softfail</result>
  	  	</spf>
  	  </auth_results>
  	</record>
	<record>
	  <row>
	    <source_ip>119.xxx.xxx.xxx</source_ip>  逆引き出来ないIPアドレス
	    <count>1</count>
	    <policy_evaluated>
	      <disposition>none</disposition>
	      <dkim>fail</dkim>
	      <spf>fail</spf>
	    </policy_evaluated>
	  </row>
	<identifiers>
	  <header_from>運用ドメイン</header_from>
	</identifiers>
	<auth_results>
	  <spf>
	    <domain>運用ドメイン</domain>
	    <result>softfail</result>
	  </spf>
	</auth_results>
  </record>
  <record>
    <row>
      <source_ip>42.xx.xxx.xxx</source_ip>  逆引き出来ないIPアドレス
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>運用ドメイン</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>運用ドメイン</domain>
        <result>softfail</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>27.xxx.x.xx</source_ip>  逆引き可能IPアドレス
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>運用ドメイン</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>xxx.xxx.ne.jp</domain>  逆引き可能ドメイン
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  ・・・

上記4レコード目のデータは、auth_results の SPFがpassとなっている。

このレコードのように、IPアドレスを逆引きできるものは他のレポートでもpassになっている。

とはいえ、毎日受信するDMRACレポートのほとんどが逆引き不可能のIPアドレスで、SPFがsoftfailとなっている。(2月計測では、PASSは2.6%)

auth_results softfailになっているので、一応送信済みとなっている可能性があり、
となると、この運用ドメイン、なりすましメールとして送信されているということか?

このあたり根本的なDMARCレポートを理解していないので、なんとも判断できない。

更に情報収集していきたい。