DMARC設定ガイド:2024年にDMARCを構成する方法(メールを壊さずに)
2024年 p=rejectまでのDMARC構築術
2024年5月22日
著者: Maitham Al Lawati
翻訳: 岩瀨 彩江
この記事はPowerDMARCのブログ記事 DMARC Setup Guide: How to Configure DMARC in 2025 (Without Breaking Email) の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
世界中の企業のうち、ドメインにDMARCを設定しているのはわずか53.8%であり、残りはメールを利用した脅威にさらされています。
メール認証は、最初の防御手段です。
DMARC、SPF、そしてDKIMは、なりすましやフィッシング攻撃を防ぐためのメール認証プロトコルです。
SPFは、認可されたIPのみがあなたに代わって送信できることを保証し、DKIMはメッセージの完全性を検証するためにデジタル署名を追加し、DMARCは両方を基盤として、これらのチェックに失敗したメールを受信サーバにどのように処理させるかを指示します。
DMARCがなければ、たとえSPFやDKIMを導入していても、ドメインは依然としてなりすましの被害を受ける可能性があります。
手間を省いて、数分でPowerDMARCを使ってDMARCを設定し、今日からあなたのドメインを保護しましょう!
重要なポイント
- DMARC設定は、SPF/DKIMに依存してメールのなりすましやフィッシングを防ぎ、ドメインの評判を保護します。
- DNSにおけるDMARCレコードは、不正なメールをどのように処理するか(none、quarantine、reject)を定義します。
- 正しいDMARCレコード形式(例:必須の v=DMARC1、p=policy タグ)は、効果的な運用と配信問題の回避に不可欠です。
- DMARCレポート機能(rua、ruf)を有効にすることで、メールの流れや認証結果を監視するための有益な情報を得ることができます。
- 定期的にツールを使用して設定を検証することが重要であり、p=rejectを使用することで最大限の保護が得られます。
DMARC設定の前提条件
DMARCの設定手順に進む前に、次の項目が準備されていることを確認してください。
- 1.DNS管理コンソールへのアクセス
- これはDNSレコードを作成・公開するために不可欠です。
- 2.認可されたメール送信者の一覧
- 意図せぬブロックを避けるために、あなたに代わってメールを送信するすべてのサービスやサーバを特定してください。
- 3.DNSに既存のSPFまたはDKIMレコード
-
これらのうち少なくとも1つはすでにDNSに設定されている必要があります。DMARCはメール認証においてそれらに依存しているためです。
SPF(Sender Policy Framework)は、受信サーバにどのドメインからのメールであるべきかを伝え、DKIM(DomainKeys Identified Mail)は、送信者の正当性を検証するためにメールにデジタル署名を付与する方法です。
警告:SPFやDKIMを省略すると、DMARCは機能しません。
次の手順に進む前に、どちらか一方、できれば両方が正しく設定されていることを必ず確認してください。
DMARC設定のステップバイステップの追加手順
DMARCのDNS設定を開始するには、以下の設定手順に従ってください。
ステップ1:DMARCレコードを作成します。
まず、ポリシーを定義し実装を確立するDNS TXTレコードを作成します。
このレコードはドメインのDNSゾーンファイルに追加されます。
無料でレコードを作成するには、上のスクリーンショットに示されているDMARCジェネレーターツールを使用してください。
ツール画面を開くと、入力が必須の項目がいくつか表示されます。
ステップ2:メールに適したDMARCポリシーを選択します。
p= ポリシータグは、DMARC設定で必ず構成しなければならない必須タグです。
これを省略すると、レコードは無効になります。
ステップ3:レポートを有効にして「Generate」をクリックします。
メールの流れや認証結果を監視するために、DMARC集計レポート(rua)を設定し、レポートを受け取りたいメールアドレスを指定してください。
最後に「Generate」ボタンを押します。
ステップ4:レコード設定を公開して検証します。
TXTレコードの作成が完了したら、「コピー」ボタンを使って構文を直接コピーし、DNS管理コンソールに移動してください。
- 新しいTXTレコードを作成します。
- Host/Nameフィールドには _dmarc(またはDNSプロバイダによっては _dmarc.yourdomain.com)を入力します。
- Value/Dataフィールドには、生成したDMARCレコードの構文を貼り付けます。
- レコードを保存してDNSに公開し、DMARC設定を完了させます。
DNSにDMARCレコードを公開する方法については、当社の詳細ガイドをお読みください。
DNSの変更が反映されるまでには、プロバイダによって最大48時間かかる場合があります。
DMARC設定の検証
DMARCを設定した後は、構成を検証し、「No DMARC record found(DMARCレコードが見つかりません)」というよくあるエラーに遭遇しないようにする必要があります。
設定を検証するには、PowerDMARCのDMARCチェッカーツールを無料で使用できます。
使用方法は以下のとおりです。
- 宛先ボックスにドメイン名を入力します(例:WebサイトのURLが https://company.com の場合、ドメイン名は company.com になります)。
- 「Lookup」ボタンをクリックします。
- 結果が画面に表示されます。
この検証方法は、手動による検証の代替手段としておすすめします。
より迅速で正確、かつ手間がかかりません。
DMARCの拡張設定に関するヒント
基本的な設定が完了したら、実装を改善するために以下の拡張設定に関するヒントを参考にしてください。
DMARCポリシーの解説(どれを選ぶべきか?)
メールがなりすまされるのを防ぐためには、DMARCポリシーを設定する必要があります。
選択できる主なポリシーは3種類あります。
- None(p=none)
- DMARC認証に失敗したメールに対しては何も処理を行いません。初期設定時にメールトラフィックを監視するのに最適です。
- Quarantine(p=quarantine)
- 認証に失敗したメールは不審と見なされ、迷惑メール/スパムフォルダに送られます。
- Reject(p=reject)
- 認証に失敗したメールはブロックされ、まったく配信されません。
注意:本格的な適用(p=quarantine または p=reject)に進む前に、まずnoneポリシーを選択してメールを監視することをおすすめします。
アライメントモード( Relaxed と Strict )
緩和(Relaxed)アライメント
- SPFの緩和アライメント
-
Return-Path(SPF認証されたドメイン)のドメインが、Fromアドレスのドメインと同じ組織ドメインを共有していれば合格となります。
例)aspf=r; From: user@marketing.example.com Return-Path: bounce@example.com
両方が組織ドメイン example.com を共有しているため、緩和SPFアライメントに合格します。 - DKIM 緩和アライメント
-
DKIM 署名の d= ドメインが From アドレスのドメインと同じ組織ドメインを共有している場合に合格します。
例)adkim=r; From: sales@example.com DKIM-Signature: d=alerts.example.com
同じ組織ドメイン example.com を共有しているため、緩和 DKIM アライメントに合格します。
厳格(Strict)アライメント
- SPFの厳格アライメント
-
Return-Path(SPF認証されたドメイン)のドメインが、Fromアドレスのドメインと完全に一致している場合にのみ合格となります(同じ組織ドメインであるだけでは不十分です)。
例)aspf=s; From: user@marketing.example.com Return-Path:user@marketing.example.com
両方が同じドメイン example.com であるため、厳格SPFアライメントに合格します。
もしReturn-Pathが bounce.mail.example.com であれば、厳格アライメントは失敗します。 - DKIMの厳格アライメント
-
DKIM署名の d= ドメインが、Fromアドレスのドメインと完全に一致している場合にのみ合格となります。
例)adkim=s; From: sales@example.com DKIM-Signature: d=sales@example.com
両方が同じドメイン example.com であるため、厳格DKIMアライメントに合格します。
もし d= ドメインが bounce.mail.example.com であれば、厳格アライメントは失敗します。
DMARC設定の例
以下はシンプルなDMARC設定の例です。
v=DMARC1; p=reject; rua=mailto:mymail@domain.com;
注意:メール認証を始める際は、厳格なポリシーに移行する前に、DMARCポリシー(p)をreject ではなく、noneに設定しておくことで、メールの流れを監視し、問題を解決することができます。
DMARCレコードの構文とオプションタグ
DMARC設定の構文は、メールがどのように認証され、検証後にどのような処理が行われるかを決定します。
ここでは主な仕組みについて見ていきましょう。
- v(必須)
-
DMARCのバージョンを指定します。
必ず DMARC1 でなければならず、レコード内の最初に記載します。 - p(必須)
- DMARC認証に失敗した場合のポリシーを定義します(none、quarantine、reject)。
- rua(任意)
-
集計レポートを受け取るメールアドレスを
mailto:形式で指定します。 - ruf(任意)
-
フォレンジックレポート(失敗レポート)を受け取るメールアドレスを
mailto:形式で指定します。 - adkim(任意)
-
DKIMアライメントモードを
r緩和)またはs(厳格)に設定します。
定義しない場合はデフォルトで緩和モードになります。 - aspf(任意)
-
SPFアライメントモードを
r(緩和)またはs(厳格)に設定します。
定義しない場合はデフォルトで緩和モードになります。 - pct(任意)
- DMARCポリシーを適用する失敗メールの割合を定義します(デフォルトは100%)。
- fo(任意)
-
フォレンジックレポートを送信する条件を制御します。
オプションには0、1、d、sがあります。
DMARCタグについての詳細は、当社の詳細ブログでご確認いただけます。
タグはセミコロンで区切り、余分なスペースを入れないようにして、正しいフォーマットを維持してください。
DMARC設定後:次にすべきことは?
DMARCの設定が成功した後は、レポートを継続的に監視し、段階的に強制モードへ移行しながら、発生するエラーを適宜トラブルシューティングしていくことが重要です。
DMARCレポートの読み方
上記はDMARC RUAレポートの一部抜粋です。手動で分析する場合は次の手順に従ってください。
- <domain> および <source_ip> フィールドを確認し、送信元が正しいかを検証します。
- <adkim> および <aspf> フィールドを確認し、ドメインに設定されているアライメントモードを確認します。
- <p> フィールドでDMARCポリシーを確認します。
- <policy_evaluated> セクションを確認し、メール認証の結果(合格/失敗)を確認します。
DMARCレポートアナライザーを使用する
複雑なXMLファイルを読む手間を省き、DMARCレポートを簡単に表示・分析するには、PowerDMARCにサインアップしてください。
当社のDMARCレポートアナライザーは、レポートを人が読みやすい形式で可視化し、詳細な分析を可能にします。
p=reject への安全な移行
DMARCを設定する際には、配信の問題を防ぐために、p=reject ポリシーへ安全に移行することが重要です。
そのためには、次の手順に従ってください。
- まずは p=none で開始し、DMARCレポートを有効にしてメールトラフィックを監視します。
- 数週間後、p=quarantine に移行し、pct=50 タグを使ってメール全体の50%に適用します。
- その後、pct=100 を設定する(またはデフォルトのままにする)ことで、段階的に100%のメールに適用します。
- 設定に自信が持てたら、p=reject に移行し、まずは pct=50 でメール全体の50%に適用します。
- 最終的に、構成に問題がないと確認できたら、p=reject を100%(pct=100)に適用します。
プロのヒント:当社のホスト型DMARCソリューションを利用することで、専門家のサポートを受けながら安全に強制ポリシーへ移行できます。
DMARC設定における一般的な問題のトラブルシューティング
| 問題 | 原因 | 解決策 |
|---|---|---|
| メールがDMARCで失敗する場合 |
|
|
| レポートが受信されない場合 |
|
RUAメールアドレスが有効で稼働していることを確認してください。 |
| SPF Permerror |
|
|
PowerDMARCがDMARC設定を簡単にする方法
| 機能 | PowerDMARC | 手動設定 |
|---|---|---|
| 自動レポート | あり | 手動解析 |
| MTA-STS監視 | 含まれる | 追加設定が必要 |
| ホスト型SPF・DKIM・DMARC | 完全ホスト型 | 自己管理 |
| DNS設定サポート | 組み込みウィザード | 手動設定 |
| 集計レポートビューア | ビジュアルダッシュボード | そのままのXMLレポート |
| フォレンジックレポート処理 | PGP暗号化 | カスタムパーサーが必要 |
| アラート | リアルタイム通知 | 標準のアラート機能なし |
| BIMIサポート | 利用可能 | 複雑な手動設定 |
| ドメイングループ化 | 簡単にグループ化可能 | 非対応 |
| ユーザーアクセス管理 | ロールベースの制御 | 手動での調整 |
ケーススタディ:Fatty Liver FoundationがPowerDMARCでエンタープライズ向けDMARC設定を簡素化した方法
「PowerDMARCが提供するツールセットはユーザーフレンドリーで、DMARCやDKIMといった機能の設定作業を非常に直感的な方法で引き受けてくれました。」
– Wayne Eskridge氏(Fatty Liver Foundation CEO)
この米国拠点の非営利団体が、どのようにDMARCの設定と管理を簡素化したのか、詳細は当社のケーススタディをご覧ください。
DMARC設定に関するよくある質問(FAQ)
- DMARCをDKIMやSPFなしで設定できますか?
-
いいえ。DMARCはSPFまたはDKIM(または両方)の認証チェック結果に依存しています。
DMARCを導入する前に、ドメインに少なくともどちらか一方(SPFまたはDKIM)を設定する必要があります。 - DMARCレポートはどのくらいの頻度で確認すべきですか?
-
監視の頻度は、いくつかの要因によって異なります。
- 大企業、クライアントのメールセキュリティを管理するMSSP、導入初期段階、または最近DMARCポリシーを強制適用した場合は、定期的にレポートを確認することをおすすめします。
- 状況が安定してきたら、週に一度の確認に切り替え、新しい送信元が追加された際には特に注意してレビューすると良いでしょう。