加强 DMARC 政策。您所需要的只是报告分析和对策实施。

[suhasini523]

--我听说DMARC也包含在PCI DSS v4.0的要求中。

泷村：　是这样的。 PCI DSS v4.0 合规截止日期为 2024 年 3 月底，但作为最佳实践，要求合规截止日期推迟一年。它包括“实施流程和自动化机制来检测网络钓鱼攻击并保护个人”的要求（编号：5.4.1）。如果您可以完成同样的事情，则不必使用 DMARC，但实际上，您应该支持 DMARC。

作为信用卡安全服务提供商，我们将从 PCI DSS v4.0 合规性的角度向业界宣传 DMARC 的必要性，并且我们还将与 Hishinuma 先生等电子邮件专家进行合作。由 提供的“Bare Mail”，我们计划专门针对信用卡行业提供一项促进 DMARC 引入和运营的服务。

这是因为，虽然将设置设置为“无”并接收 DMARC 报告很容易，但需要具有专业知识的人员来分析报告并提出“拒绝”或“隔离”的策略，如果没有他们，这绝对是困难的。我认为我们需要支持这一点。

菱沼：　我们支持了几家公司实施 DMARC，起初每个人都说，“我希望在几个月内将其‘隔离’”，但实际上需要的时间是这个时间的两倍以上。

之所以需要这么长时间，是因为您不完全了解谁从您公司的域发送了哪些电子邮件。


菱沼：　一个常见的例子是，当您问某人“您对公司的外发电子邮件环境了解多少？”时，答案通常是“我的部门管理它，所以我知道有关它的一切。”但是，当我查看 DMARC 报告时，我看到很多电子邮件，但我不知道是谁发送的。因此，我们再次在公司内部进行调查，发现另一个部门与营销自动化 SaaS 服务签订了发送电子邮件的合同，并且我们正在为营销活动 菲律宾赌博数据 创建一个网站，并从那里发送大量自动回复电子邮件。很多事情都会出来。如果您在未检查此状态的情况下将其设置为“隔离”，您需要的电子邮件将被判断为欺骗电子邮件，而不会到达客户。

在这种情况下，您需要查看 DMARC 报告并检查您不知道的电子邮件是否确实来自您的公司还是欺骗性电子邮件。最重要的是，您必须确保所有电子邮件发送环境都可以通过身份验证。如果你是一家大公司，每个品牌都有一个域名，或者有大量的子域名，那么你就必须为所有域名做这个工作，所以即使我们支持你，我想也需要半年以上的时间。

DMARC报告本身是很难分析的，即使你能分析出来，我想还是依靠专家来决定事后具体采取什么行动会更好，这样会节省你的时间和精力。

　必须在 2025 年 3 月之前满足Takimura最佳实践要求。考虑到这一点，剩下的时间已经不多了。到目前为止，我认为有很多情况是人们想要引入和运营 DMARC，但不知道该向谁咨询。我们有完善的支持系统，因此请随时与我们联系。

菱沼：　DMARC 的目的是“消除网络钓鱼犯罪”，所以我认为没有不引入它的选择。关于Gmail的发件人准则，目前将政策设置为“无”还可以，但除非将政策提升为“拒绝”或“隔离”，否则欺骗电子邮件不会消失，因此未来标准将逐步修订。应该变得更严格。毫无疑问，不仅 Gmail，其他电子邮件服务也会效仿。为了避免陷入无法在任何地方发送电子邮件的情况，最好立即开始实施和操作 DMARC。我们在帮助公司改善电子邮件分发环境方面拥有良好的记录，因此您可以放心地信赖我们。