DMARCとは何ですか?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) は、ISP が送信者の身元を確認し、ドメインのなりすましを防止するのに役立つ電子メール認証プロトコルです。

新しい DMARC レコードはどのくらいの頻度で生成する必要がありますか?

DMARC レコードを生成する必要があるのは、ドメインごとに 1 回だけです。電子メール送信プロバイダーを変更する場合、または認証ポリシーを調整する場合は、更新してください。

メインポリシーとサブドメインポリシーの違いは何ですか?

メインポリシーはルートドメインに適用され、サブドメインポリシーは「mail.example.com」などのサブドメインに適用されます。それぞれに異なるポリシーを設定できます。

「なし」、「隔離」、または「拒否」を使用する必要がありますか?

結果を監視するには「なし」から始めて、中程度の強制を行う場合は「隔離」に進み、SPF と DKIM の設定に自信がある場合にのみ「拒否」を使用します。

DMARCレコード作成

Q: メイン ポリシーとサブドメイン ポリシーの違いは何ですか?

メイン ポリシーはルート ドメインに適用され、サブドメイン ポリシーは「mail.example.com」などのサブドメインに適用されます。それぞれに異なるポリシーを設定できます。

無料のステップバイステップウィザードを使用して、ドメインのDMARC DNSレコードを作成します。

ドメインを入力

まず、DMARCレコードを作成したいドメインを入力してください。

ドメイン名 *

DMARCとは？

DMARC（Domain-based Message Authentication, Reporting & Conformance）は、RFC 7489で定義されています。SPFとDKIMを基盤に、2つの主要な機能を追加します。1つは、未認証メールの処理方法（監視、隔離、または拒否）を受信側に伝えるポリシー。もう1つは、誰があなたのドメインからメールを送信し、認証をパスしているかに関するXMLレポートを受け取るレポート機能です。

重要なのは、DMARCが**アライメント（整合性）**の概念を追加することです。メールの表示上の「From」ヘッダーのドメインは、SPFまたはDKIMによって認証されたドメインと一致しなければなりません。これにより、攻撃者が別のドメインでSPF/DKIMをパスさせつつ、Fromヘッダーであなたのドメインを偽装することを防ぎます。

なぜDMARCが必要なのか？

1ヘッダーFromの保護

SPFとDKIMだけでは表示上のFromアドレスを保護できません。DMARCはアライメントによってその隙間を埋めます。

2強制ポリシー

認証に失敗したメールを監視するか、スパムに送るか、あるいは完全に拒否するかを決定できます。

3集計レポート

日次のXMLレポート（RUA）により、自社ドメインで送信しているすべてのIPと、そのパス/フェイル率を確認できます。

4失敗レポート（フォレンジック）

失敗レポート（RUF）は、調査のために認証に失敗した個々のメッセージのコピー（一部伏せ字）を送信します。

5Google/Yahooの要件

2024年2月以降、大量送信者がGmailやYahooの受信トレイに届けるには、最低でも p=none のDMARC設定が必須となりました。

6ブランド保護

ブランドを騙るフィッシングメールが顧客に届くのを防ぎます。

DMARCの仕組み — ステップ・バイ・ステップ

ポリシーとレポート用アドレスを指定したDMARC TXTレコードを `_dmarc.yourdomain.com` に公開します。

メッセージが受信サーバーに到着します。サーバーはSPFとDKIMのチェックを個別に実行します。

DMARCアライメントを検証します。認証されたドメイン（SPFまたはDKIM）がヘッダーFromのドメインと一致するか確認します。

SPF+アライメント、またはDKIM+アライメントのいずれかがパスすれば、そのメッセージのDMARCはパスとなります。

両方が失敗した場合、受信側は指定されたポリシー（none: 配信、quarantine: スパム、reject: 拒否）を適用します。

受信側はドメインの認証データを収集し、指定されたアドレスに集計（RUA）または失敗（RUF）レポートを送信します。

DMARCレコードの構文

_dmarc.yourdomain.com のDNS TXTレコード

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@yourdomain.com;
            ruf=mailto:dmarc-failures@yourdomain.com;
            adkim=s; aspf=s; fo=1

タグ・リファレンス

v=DMARC1— バージョン、必須

p=— ドメインのポリシー

sp=— サブドメインのポリシー

pct=— ポリシーを適用する失敗メールの割合（%）

rua=— 集計レポートの送信先（mailto:）

ruf=— 失敗レポートの送信先（mailto:）

adkim=— DKIMアライメント：r=relaxed（緩和）、s=strict（厳格）

aspf=— SPFアライメント：r=relaxed（緩和）、s=strict（厳格）

fo=— 失敗レポートのオプション（0,1,d,s）

ri=— レポートの間隔（秒）（デフォルト 86400）

3つのDMARCポリシー

p=none

監視のみ。失敗したメールも通常通り配信されます。強制適用前にレポートを収集するために最初に使用します。

p=quarantine

失敗したメールはスパム/迷惑メールフォルダに振り分けられます。完全な拒否へのステップアップとして使用します。

p=reject

失敗したメールはSMTPレベルで拒否され、配信されません。最も強力な保護です。

DMARCアライメントの解説

緩和アライメント (デフォルト)

認証されたドメインが組織の親ドメインであれば許可されます。例：mail.yourdomain.com は yourdomain.com としてパスします。

厳格アライメント

認証されたドメインがFromドメインと完全に一致する必要があります。mail.yourdomain.com は yourdomain.com としてパスしません。

一般的なDMARCの失敗と解決策

SPFアライメントの失敗

エンベロープFrom（リターンパス）ドメインがヘッダーFromと一致していません。独自の元パスを使用するESP（メール配信サービス）でよく見られます。

DKIMアライメントの失敗

DKIM署名の d= ドメインが表示上のFromドメインと一致していません。自社ドメインで署名するようにESPを構成してください。

RUAアドレスの欠落

rua= がないとレポートが得られず、状況を可視化できません。必ず少なくとも1つのレポート用アドレスを含めてください。

サブドメインがカバーされていない

sp=reject を追加してポリシーをサブドメインに拡張するか、サブドメインごとに個別のDMARCレコードを公開してください。

よくある質問

よくある質問 (FAQ)

まずはp=noneで監視から始め、問題がなければp=quarantine、最終的にp=rejectへと段階的に移行することをお勧めします。

ruaは集計レポート（統計）の送り先、rufは失敗ごとの詳細なフォレンジックレポートの送り先を指定します。

ルートドメインのレコードに「sp」タグを含めることで、サブドメイン専用のポリシーを一括設定できます。

ポリシーを適用するメールの割合（％）を指定します。徐々に適用範囲を広げることで、誤ブロックのリスクを抑えられます。

ドメイン一致の厳格さを決めます。「r」（relaxed）はサブドメインを許容し、「s」（strict）は完全一致を求めます。