MailData

DMARC評価とは何か?

DMARC評価とは何か?

DMARC評価エラーの対処方法を学ぶ

2024年4月1日
著者: Ahona Rudra
翻訳: 永 香奈子

この記事はPowerDMARCのブログ記事 What is DMARC Evaluation? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メールセキュリティは常に課題となっています。
メールを暗号化してハッカーやスパマーによる悪用を防ぐだけでは不十分です。
ここで、DMARC評価が何であるかという概念が登場します。

DMARCは、DNSを使用して、SPFDKIM、またはその両方の認証に失敗したメールをどのように処理するかを指定します。
本ブログでは、DMARCとは何か、なぜそれが必要なのか、そして「521 5.2.1 DMARC評価失敗」エラーの解決方法について解説します。

DMARCとは何か?

DMARCは、Domain-based Message Authentication, Reporting & Conformanceの略で、SPFおよびDKIMプロトコルを基盤としたメール認証プロトコルです。
DMARC対応ドメインのSPFレコードまたはDKIM署名を使用して、認可されたサーバからメッセージが送信されます。
いずれかのチェックに成功した場合、メッセージは配信されます。

しかし、SPFまたはDKIMの要件を満たさない場合、メッセージは配信されず未達として戻されます。
2021年時点で、有効なDMARCポリシーの使用件数は2020年と比較して84%増加し、約500万件のユニークレコードが観測されています。

SPFとは何か?

SPFは、Senders Policy Frameworkの略で、メールのなりすましを検出してそのセキュリティを提供する、メール認証プロトコル
です。
SPFでは、DNSのTXTレコードを作成し、あなたのドメインを使用してメールを送信することを許可されたIPアドレスを一覧化します。
これにより、SPFはISPやメールサーバが特定のドメインから送信されたメッセージを検証するのに役立ちます。

DKIMとは何か?

DKIMは、DomainKeys Identified Mailの略で、メールをデジタル署名することを可能にするプロトコルです。
この署名は、IPアドレスではなく公開鍵暗号方式を使用したユニークな識別子を用いて行われます。
受信サーバは、秘密鍵と公開鍵のハッシュ値を常に比較し、一致するかどうかを確認します。

ハッシュ値が一致すればメッセージは検証され、そうでない場合はスパムとしてマークされます。

DMARCはSPFとDKIMにどう依存しているか?

DMARCは、SPFおよびDKIMというメール認証プロトコルの両方に依存しています。
これにより、あなたのドメインから送信された未認証のメールを受信者のサーバがどのように処理するべきかを指定できます。
DMARCは、送信ドメインの公開鍵を格納するための別のDNSレコードを定義します。

これらのレコードは、受信メールサーバが以下を実行することを可能にします:

メールシステムの管理者は、認証されていないメールに対して慎重であろうとしますが、DMARCはそれらをどのように扱うかを決定する助けとなります。
これは、3つのポリシー(「none」「reject」「quarantine」)のいずれかを設定することで機能します。
しかし、リスクを軽減するためには、フィッシングやBEC(ビジネスメール詐欺)攻撃を防ぐ方法についてチームを訓練する必要があります。

DMARCがメッセージを制限する理由

以下は、DMARC評価が失敗した際に表示される可能性のあるメッセージの例です。 


521 5.2.1 failed DMARC evaluation: This message failed DMARC evaluation and is being refused due to provided DMARC policy.

(521 5.2.1 DMARC評価に失敗しました: このメッセージはDMARC評価に失敗し、指定されたDMARCポリシーにより拒否されています。) 


550 5.7.1- Unauthenticated email from domain.tld is not accepted due to domain’s DMARC policy.
Please contact the administrator of the domain.tld domain if this was a legitimate mail.
Please visit https://support.google.com/mail/answer/2451690 to learn about the DMARC initiative.
62si14044909itw.103 – gsmtp

(550 5.7.1 - domain.tld からの未認証メールは、ドメインのDMARCポリシーにより受け入れられません。
これは正当なメールである場合は、domain.tld ドメインの管理者に連絡してください。
DMARCイニシアチブについては、https://support.google.com/mail/answer/2451690 をご覧ください。
62si14044909itw.103 – gsmtp)

これらのメッセージは、DMARCエラーが原因で発生しています。
通常これはメールプロバイダが、「From」ドメインが自身のアドレスでありながら、認可されていないメールドメインサービスプロバイダから送信された場合に、承認できないとして発生します。
そのため、Twilio SendGridのアカウントでは、Gmail、AOL、またはYahooのFromアドレスを使用して、事前にDMARCを検証するドメインにメッセージを送信することが許可されていません。

これらの問題があるため、DMARC評価の仕組みを理解し、評価の失敗を解決する方法を把握することが非常に重要となります。
それでもメールを送信したい場合は、保護されていない別のメールアドレスに変更する必要があります。
自身のメールドメインを使用するのが最適です。これは正当なドメインであるためです。

また、正当なベンダーのメールドメインを使用することも可能です。
その上で、Reply-Toフィールドを、以前Fromアドレスとして設定されていた元のアドレスに設定することができます。
注意すべき点として、DMARC評価が失敗したメールは破棄され、Blockedとして記録される可能性があります。

確実に送信したい場合は、上記のようにFromアドレスを調整し再度送信をお試しください。

構文エラーについて

DMARC評価を学ぶ際には、DNSレコードにおける構文エラーについても理解しておくことが重要です。
一般的なSMTPエラーは、トランザクションの失敗を示す554コードで始まります。

554 5.7.5 Permanent Error Evaluating DMARC Policy(ProtonMail)
リモートサーバーからの応答は以下の通りです。 

554 5.7.5 permanent error evaluating dmarc policy
(554 5.7.5 DMARCポリシーの評価中に永続的なエラーが発生しました。)
521 5.2.1 error evaluating dmarc policy
このメッセージは次のように記載されます。 

This message failed DMARC Evaluation and is being refused due to provided DMARC Policy
(このメッセージはDMARC評価に失敗し、指定されたDMARCポリシーにより拒否されています。)
550 5.7.1 error evaluating dmarc policy
このメッセージは次のように記載されます。 

Unauthenticated email from example.com is not accepted due to the domain’s dmarc policy
(example.comからの未認証のメールは、ドメインのDMARCポリシーにより受信できません。)

521 5.2.1 DMARC評価エラーを解決する方法は?

「DMARC評価に失敗」というエラーを解決するためにどんな手順を取れば良いでしょうか?

DMARCを使用するためには、SPFとカスタムDKIM署名を整合させる必要があります。
次に、あなたのドメインを使用するすべてのメールサーバが更新されていることを確認してください。
これには、会社内でローカルに使用しているサーバも含まれます。

DMARCポリシーを公開する前にこれらの設定を完了させることが重要です。 SPFまたはDKIMの整合性が取れずにDMARC評価に失敗し、バウンスメッセージを受信した場合には、ポリシーを更新する必要があります。
適切なガイダンスや設定のためには、当社のDMARC専門チームにご相談いただけます。