DMARC導入の推奨について(続報)
令和5年11月24日
一般社団法人医療ISAC
代表理事 深津 博
平素は医療ISACの活動にご協力を賜りまして感謝申し上げます。
さて、11月10日になりすましメール対策の国際標準規格であるDMARC導入の推奨について投稿させていただきましたが、多くの方からお問合せや診断希望をいただいております。
DMARC導入の推奨について(初稿:2023年11月10日)
繰り返しになりますが、2024年2月以降、Gmailの個人ユーザおよびGoogle Workspaceを利用している法人・団体に対して送信されるメールについて、DMARC等のなりすましメール対策をしていない場合は受信しない方針を発表しており、現在利用中のメールシステムがDMARC対応していない場合、送信したメールが先方に届かないとといった問題が生じる可能性があります。さらに、職員を騙った大量のフィッシングメールが送信される被害事例が多数報告されており、医療機関もその例外ではありません。
また、11月10日の投稿で「1日の送信メール件数が5,000件未満の場合」の対応要件を下記の通りお知らせいたしましたが、1)の要件では、SPFかDKIMのどちらかが設定されていれば「大丈夫」と解釈することはできますが、3)の「Postmaster Toolの迷惑メール率が0.3%未満であること」はDKIMの設定が有効でないと現実的に達成困難な要件となっており、実は送信メール件数に関わらず、SPF/DKIM/DMARCの設定が必須になると思われます。
実際、これまでお問合せを頂き調査させていただいた医療機関等約70件中、DMARCまで正しく設定されたケースは2件、SPF/DKIMの設定はされていたもののDMARCが未設定であったケースが3件、残りは全てSPFのみの設定で、特にレンタルサーバをお使いの医療機関は全てSPFのみの設定となっており、おそらく多くの医療機関が未だDMARCの設定がなされていない状態であると考えられますので、是非この機会に自施設のDMARCの設定状態の診断を受けていただければと思います。
自施設のメールシステムがDMARCに対応しているかどうかがお分かりにならない場合は、医療ISACで無料診断を行っておりますので、ご希望の場合は下記の入力フォームのお問い合わせ内容に「DMARC診断希望」と記載してお問い合わせください。