MailData

2024年に「DMARC policy is not enabled」エラーを修正する方法

2024年に「DMARC policy is not enabled」エラーを修正する方法

DMARCを有効化するための修正方法

2024年1月2日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 How do I fix “DMARC policy is not enabled” in 2024? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

「DMARC policy not enabled」エラーは、逆引きDNSルックアップ中にあなたのドメインのDMARCレコードに定義されたポリシーが存在しないことを示しています。
このエラーが存在する場合、あなたのドメインはなりすましや偽装といった脅威から保護されていません。

この記事を通して、あなたがDMARCを設定し、あなたのドメインに適切なポリシーを設定するために実施する必要があるさまざまなステップを説明します。
そうすることで、二度と「DMARC policy is not enabled」プロンプトに直面することがないようにしましょう!

ステップ1: DMARCレコードのためのポリシーを定義する

「DMARC Policy not enabled」エラーを修正するためには、どのポリシーが何を行い、DMARC認証システムに対してどのような異なるタイプを設定できるかを理解する必要があります。

認証されていないメールを拒否する
認証に失敗したすべてのメールを拒否することによって、最大限の実施を行うように設定できます。
これは、DMARCレコードのp=タグを「reject」と設定することで達成できます。
認証されていないメールを後でレビューするために保留する
認証されていないメールを完全に廃棄したくない場合は、受信者の隔離ボックスで保留にしておくことができます。
これは、p=タグを「quarantine」と設定することで達成できます。
何もしない、認証されていないメールに関与しない
DMARCに失敗したメールに対して何も行動をとりたくない場合は、単純にp=タグを「none」と設定します。

これらのモードの主な要件は、ドメイン所有者が悪意のあるメールや特定の権限が付与されていないソースからのメールに対して、受信者がどのように反応するかを選択する柔軟性を提供することです。
これは、ドメインのなりすましを防ぐための重要なステップです。

ステップ2 - 選択したポリシーでレコードを再公開/公開する

選択したポリシーモードに満足したら、今度は「p」パラメータを記入して確実にすることを確認しながら、DMARCレコードを公開します。
このパラメータを定義すると、メール受信サーバーは、認証されていないメッセージに対してどのようなアクションを取るべきかの指示を受け取るためにレコードを解析できるようになります。
これで、あなたのドメインに対する「DMARCポリシーが有効ではない」というエラーは解決されるはずです。

なぜ最初にDMARCポリシーを有効にする必要があるのでしょうか?

DMARCは、Domain-based Message Authentication, Reporting, and Conformanceの略であり、BEC(ビジネスメール詐欺)や直接ドメインスプーフィングの試みに対してドメインが十分に保護されることを保証するために、発信メールメッセージの認証を行うための標準です。
DMARCはReturn-pathドメイン(バウンスアドレス)、DKIM署名ドメイン、およびFromドメインを照合し、一致を探します。
これにより、送信元の真正性を検証し、あなたのものであるかのように見えるメールを不正なソースが送信するのを防ぎます。

あなたの会社のドメインは、あなたのデジタルアイデンティティを担うデジタルストアフロント(※)です。
あらゆる規模の組織がリーチを広げ、クライアントとの関係を築くためにメールマーケティングを利用しています。

しかし、あなたのドメインがなりすまされ、攻撃者があなたの顧客にフィッシングメールを送り出した場合、それはあなたのメールマーケティングキャンペーンにのみ影響を及ぼすだけでなく、あなたの組織の評判や信頼性にも影響を与えます。
これが、あなたのアイデンティティを保護するためにDMARCを採用することが不可欠である理由です。

※訳注: デジタルストアフロントは、インターネット上での企業や組織のオンラインプレゼンスを指します。
具体的には、企業のWebサイト、電子商取引サイト、ソーシャルメディアのページやプロファイルなど、インターネット上で顧客と接触し、自社のブランド、製品、サービスを紹介・販売するためのすべてのデジタルチャネルを含みます。
デジタルストアフロントは、物理的な店舗と同様に、企業の「顔」として機能し、顧客体験、ブランド認識、売上の向上に重要な役割を果たします。

ドメインのDMARCを実装するための手順

  1. DNS管理コンソールを開く
  2. レコードセクションに移動する
  3. 無料のDMARCレコードジェネレーターツールを使用して簡単に生成できるDMARCレコードを公開し、ドメインに対して有効化するためのDMARCポリシーを指定する
    (このポリシーは、認証チェックに失敗したメッセージに対して受信MTAがどのように応答するかを指定します)
  4. これらの変更がDNSによって処理されるには24~48時間かかる場合がありますが、これで完了です!
  5. ドメインに設定した後、無料のDMARCレコードルックアップツールを使用してレコードの正確さを確認することができます。

「DMARC Quarantine/Reject Policy Not Enabled」を修正する方法

「DMARC Quarantine/Reject policy not enabled」という警告が出た場合、または時々「DMARC policy not enabled」や「No DMARC protection」と表示される場合、それは単にあなたのドメインが監視のみを許可する「none」というDMARCポリシーで設定されていることを示しています。

もしあなたがメール認証の道を始めたばかりで、ドメインやメールフローを監視し、スムーズなメール配信を確実にしたい場合は、「none」というDMARCポリシーから始めることをお勧めします。
しかしながら、「none」ポリシーは偽装行為に対してゼロの保護を提供するため、「DMARC policy not enabled」という頻繁なプロンプトに遭遇することになり、ドメインが不正利用やなりすましから適切に保護されていないことを思い出されることになります。

これを修正するためには、DMARCレコード内のポリシーメカニズム(p)をp=noneからp=reject/quarantineに変更するだけで、DMARC強制へと移行します。

現在のDMARCレコードが以下のようであった場合、 


v=DMARC1; p=none; rua=mailto:example@domain.com; ruf=mailto:example@domain.com;

最適化されたDMARCレコードは以下のようになります。 


v=DMARC1; p=reject; rua=mailto:example@domain.com; ruf=mailto:example@domain.com;

または、 


v=DMARC1; p=quarantine; rua=mailto:example@domain.com; ruf=mailto:example@domain.com;

「DMARC Policy Not Enabled Cloudflare」を修正する

CloudflareをDNSホスティングプロバイダーとして使用していて、「DMARC Policy Not Enabled Cloudflare」というエラーを修正するには、ポリシーパラメータが定義されたDMARCレコードを公開するためにCloudflare DNS管理コンソールにアクセスする必要があります。
自動ツールを使用してレコードを生成すると、最適な結果が得られます。

  1. CloudflareアカウントにログインしてDNS管理コンソールを表示する
  2. ドメイン名を選択する
  3. 左側のメニューバーから「DNS」を選択する
  4. ドメインのDNS管理セクションで、「レコード追加」をクリックする
    DMARCジェネレーターツールを使用してレコードを生成しましょう。
    数秒で完了します!
    (生成した後にレコード値をコピーします)
    注: DMARCレコードを作成する際は、適切なポリシーモードを選択してください。
    レコードのp=フィールドは空白であってはなりません。
  5. レコード追加セクションで、タイプを「TXT」とし、TTLを「Auto」、名前を「_dmarc」と設定し、値フィールドにツールで生成した値を貼り付けます。
  6. 変更を保存する

「DMARC Policy Not Enabled」を修正したら、次に何をするか?

「DMARC Policy Not Enabled」を修正した後、DMARCの導入がメール配信に影響を与えないようにドメインの監視は継続的なプロセスである必要がありますが、むしろ配信率を改善してくれます。
DMARCレポートは、何が起こっているのかを見逃さないように、すべてのメールチャネルに対する可視性を得るのに役立ちます。

DMARC強制ポリシーを選択した後、PowerDMARCは、誰でも理解できる簡単な形式のDMARC集約レポートで、メール認証結果を表示するのに役立ちます。
これにより、時間の経過とともにメール配信率が10%向上する可能性があります。

さらに、DNSルックアップが多すぎるためにSPFが破損しないようにする必要があります。
これはSPFの失敗を引き起こし、メールの配信に影響を与える可能性があります。
PowerSPFは、SPFの厳格な制限を遵守し、あなたのESP(Email Service Provider)によって行われた変更に常に更新された状態を維持するための簡単な解決策です。

今日、無料のDMARCアナライザーにサインアップして、DMARC導入プロセスを可能な限りスムーズにしましょう!