DMARCポリシーとは何ですか？None、Quarantine、そしてRejectについて

DKIMの修正方法から失敗の原因を探る

2025年1月8日
著者: Maitham Al Lawati
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 How to Fix DKIM Failure の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メールが重要な通信手段であり続ける中、DMARCポリシーの重要性は企業や個人にとってさらに高まるでしょう。
DMARCは「Domain-based Message Authentication, Reporting, and Conformance」の略であり、メールセキュリティにおける大きな進歩を示します。

DMARCは、メールドメイン所有者が自分のメールがどのように認証されるべきかについてのポリシーを公開するためのフレームワークを提供し、より信頼性の高いメールエコシステムを構築するのに役立ちます。
DMARCを導入することで、組織はブランド、従業員、および顧客をメールベースの脅威から積極的に保護することが可能になります。

DMARCはすべてのメール関連のセキュリティ問題を解決する万能薬ではありませんが、フィッシングやメールなりすまし攻撃と戦う上で重要なツールです。
この記事では、DMARCポリシー、実装方法、課題と利点、そしてポリシー実装のための当社のホスト型DMARCソリューションを選ぶべき理由について詳しく探ります。

重要なポイント

• DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、フィッシングやなりすましからドメインを保護するためのメール認証プロトコルです。
• DMARCポリシーの選択肢には以下があります。

  何もしない（p=none）

  ポリシーを強制せず、メール活動を監視する。

  隔離（p=quarantine）

  疑わしいメールにフラグを付ける。

  排除（p=reject）

  認証されていないメールの配信をブロックする。

• DMARCはフィッシング攻撃やドメイン悪用を防止することができ、フィッシングはデータ侵害の30%以上に寄与しています（Verizon調査）。
• DMARCの設定にはDNS構成が必要であり、手動実装には技術的な専門知識や外部コンサルタントが求められる場合があります。
• PowerDMARCは、ユーザーフレンドリーなツールを使用してDMARCポリシーの設定を自動化し、監視、施行、レポート作成を簡素化して時間とリソースを節約します。

DMARCポリシーとは？

DMARCポリシーは、ドメイン名システム（DNS）を使用して、認証に失敗したメールをどのように処理するかを受信メールサーバに指示するメール検証システムです。
DMARCレコード内の「p」タグによって、メールがDMARC認証に失敗した場合の対応を指定します。

適切に実装されたポリシーにより、自社ブランドをなりすましからどの程度厳格に保護するかを決定できます。
これは、組織のドメインにおけるセキュリティガードのような役割を果たします。
セキュリティガードが身分証明書（ID）を確認し、建物（受信者の受信トレイ）に入れるかどうかを判断するイメージです。
入場を拒否する（reject）、特別な場所での追加確認を求める（quarantine）、またはそのまま通過を許可する（none）という対応が可能です。

DMARCポリシーを「p=reject」に設定すると、なりすましやフィッシング、ドメイン名の悪用を防止することができ、不正にブランドを偽装しようとする者に対する「立ち入り禁止」看板の役割を果たします。

DMARCポリシーの3つのオプション：None、Quarantine、Reject

None(何もしない)

「監視のみ」のポリシーで、保護機能はありません。導入の初期段階に適しています。
メールは配信されますが、認証されていないメッセージに関するレポートが生成されます。 DMARCレコードでは「p=none」と記載されます。

Quarantine(隔離)

疑わしいメールにフラグを付け、受信者の迷惑メールフォルダに移動させるポリシーです。
DMARCレコードでは「p=quarantine」と記載されます。

Reject(排除)

最も厳格なオプションで、認証されていないメールを完全に拒否するよう受信サーバに指示します。
DMARCレコードでは「p=reject」と記載されます。

どのポリシーを使用するかは、メールドメイン所有者が確立したい施行レベルによって決まります。
これらのポリシーオプションの主な違いは、送信者がDNSレコードで指定したポリシーに従い、受信メール転送エージェントが取るアクションにあります。

1. DMARCポリシー: None(何もしない)

DMARCポリシーの「p=none」は受信者側でアクションを引き起こさない緩やかなモードです。
このポリシーはメール活動を監視するために使用され、通常、DMARC導入の初期段階での監視とデータ収集に適しています。

このポリシーはサイバー攻撃に対する保護を一切提供せず、認証結果に関係なくすべてのメッセージが配信されます。
DMARCレコードでは「p=none」タグを使用して指定します。

v=DMARC1; p=none; rua=mailto:(メールアドレス);

Noneポリシーの実装例と用途

• 「none」ポリシーを選択するドメイン所有者の主な目的は、送信元情報を収集し、通信および配信状況を監視することです。
  厳格な認証の適用にまだ準備が整っていない場合、現在の状況を分析するための時間を確保するために、このモードが選ばれることがあります。
• このポリシーを設定している場合、受信メールシステムはメッセージを「アクションなし」として扱います。
  つまり、DMARCポリシーに失敗したとしても、これらのメッセージは破棄されたり隔離されたりすることなく、受信者のクライアントに正常に届きます。
• 「p=none」を設定している場合でもDMARCレポートは生成されます。
  受信者のMTA（メール転送エージェント）は、送信ドメインの所有者に集約レポートを送信し、そのドメインから送信されたメッセージの詳細なメール認証ステータス情報を提供します。

2. DMARCポリシー: Quarantine

このオプションは、DMARCレコード内で「p=quarantine」タグを使用して指定されます。
「p=quarantine」は一定の保護レベルを提供し、ドメイン所有者がDMARC認証に失敗したメールをスパムまたは隔離フォルダに移動して後で確認できるよう、受信者に指示します。

このポリシーは、DMARC認証に失敗したメッセージを疑わしいものとして扱うよう受信メールサーバに指示します。
「none」と「reject」の間の中間ステップとして導入されることがよくあります。

v=DMARC1; p=quarantine; rua=mailto:(メールアドレス);

Quarantineポリシーの実装例と用途

• 認証されていないメールを完全に破棄する代わりに、「quarantine」ポリシーはドメイン所有者にセキュリティを維持しながら、メールを受け入れる前に確認する「検証してから信頼する」アプローチを提供します。
• DMARCポリシーを「p=quarantine」に変更することで、DMARC認証に失敗した正当なメッセージが、詳しく確認する前に失われることを防ぎます。
  このアプローチは施行の中間段階と見なされ、「p=reject」への円滑な移行を促進します。
  このポリシーを使用することで、ドメイン所有者は以下を行えます。
  • DMARCがメールメッセージに与える影響を評価する。
  • フラグ付けされたメールを破棄するかどうか、適切な判断を下す。
• さらに、Quarantineポリシーはスパムフォルダのメッセージによる受信トレイの混雑を減らし、受信箱がメッセージで過負荷にならないようにするのに役立ちます。

DMARCポリシー: Reject

このオプションは、DMARCレコード内で「p=reject」タグを使用して指定されます。
これは最も厳格なポリシーであり、受信者に認証されていないメッセージを拒否するよう指示します。

DMARCポリシー「reject」は最大限の施行を提供し、DMARCチェックに失敗したメッセージが一切配信されないことを保証します。
このポリシーは、ドメイン所有者が自分のメール認証設定に自信を持っている場合に実装されます。

v=DMARC1; p=reject; rua=mailto:(メールアドレス);

Rejectポリシーの実装例と用途

• DMARCポリシー「reject」はメールセキュリティを強化します。
  これにより、攻撃者がフィッシング攻撃やドメインのなりすましを行うのを防ぐことができます。
  DMARCの「reject」ポリシーは、疑わしいメッセージをブロックすることで不正なメールを阻止します。
• 疑わしいメッセージを隔離する必要がないと判断できる十分な自信がある場合、「reject」ポリシーが適しています。
• ただし、「reject」を選択する前に十分なテストと計画が重要です。
  DMARCのレポート機能を有効にしておくことで、「reject」ポリシーの適用時にもドメインの状況を監視できます。
• 施行の段階をDIYで進める場合は、まず「p=none」から開始し、日次レポートを監視しながら徐々に「reject」に移行することをお勧めします。

その他のDMARCポリシー

DMARCは、実装を微調整するための追加のポリシーパラメータを提供します。

パーセンテージ (pct=)

「pct=」パラメータを使用することで、ポリシーを段階的に展開できます。
このパラメータは、DMARCが適用されるメッセージの割合を指定します。
例: pct=50 はポリシーをメッセージの50%に適用します。

サブドメインポリシー (sp=)

「sp=」は、サブドメインに異なるルールを設定するためのポリシーレコードです。
サブドメインが異なる処理を必要とする場合に有用です。

v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc-reports@example.com

これにより、メインドメインは「reject」ポリシーを適用しながら、サブドメインには「quarantine」ポリシーを適用することが可能になります。

なぜDMARCが重要か

メールは簡単に偽装される可能性があり、本物と危険な偽物を区別することが困難です。
そこで役立つのがDMARCです。
DMARCは、送信者の身元を確認してからメッセージを通過させる、メールのセキュリティチェックポイントのような役割を果たします。

Forbesによれば、サイバー犯罪に関連するコストは2025年までに年間10.5兆ドルに達すると見込まれています。
一方、Verizonの報告では、データ侵害の30%以上がフィッシング攻撃によるものであり、DMARCのような強力な保護の必要性が浮き彫りになっています。

IETFのRFC7489によると、DMARCはメール送信者が認証の優先設定を行えるという独自の機能を持っています。
DMARCを有効にすることで、メール処理や潜在的なドメイン悪用に関するレポートを取得することも可能です。
これにより、DMARCはドメイン検証の面で際立った存在となっています。

私たちPowerDMARCの最新のDMARC統計調査によると、DMARCを導入していないために依然としてフィッシング攻撃に対して脆弱なドメインが多数存在しています。

DMARCを設定するには、適切なDNS変更とプロトコル用のDNS TXTレコードを含める必要があります。
しかし、DMARCプロトコルの手動実装は、技術的な知識を持たないユーザーにとって非常に複雑です。

また、外部のCISO（Chief Information Security Officer）を雇って管理を任せる場合、費用がかなり高くなる可能性があります。
そのため、PowerDMARCのDMARCアナライザーが簡単な代替手段となります。
DMARCアナライザーを使用すれば、DMARCポリシーの設定を自動化し、時間とコストを節約できます。

DMARCレポートオプション

DMARCのレポートオプションには以下があります。

集約レポート (rua=)

認証結果や送信元に関する概要データを提供します。

フォレンジックレポート (ruf=)

認証失敗に関する詳細な情報を提供します。

これらのパラメータを使用することで、組織はDMARC認証結果に関する貴重な洞察を得ることができます。
DMARCレポートは、DMARC認証に成功または失敗したメールの数に関する情報を提供します。
また、次のような点でも役立ちます。

1. 潜在的な問題や悪用パターンの特定
2. メール設定の誤設定の検出
3. メールの動作やフローに関する洞察の獲得
4. SPFおよびDKIMプロトコルの認証結果の確認

DMARC実装における主な利点と課題

DMARCはメールセキュリティにおいて大きな利点を提供しますが、実装時には多くの課題に直面することがあります。
このため、多くの人が当社のホスト型DMARCを選択しています。
このサービスでは、クラウドプラットフォーム上でDMARCソリューションを簡単に設定、監視、および更新することができます。

主な利点

• フィッシングやドメインなりすまし攻撃の防止
• メール送信元の信頼性向上
• ドメインの悪用に関する洞察を得ることが可能

主な課題

• DNS設定やプロトコル構成の複雑さ
• 実装中の正当なメールフローの中断リスク
• 技術的な専門知識が必要

DMARCポリシーの実装は、通常、段階的なアプローチで進められます。
この方法により、組織はメールセキュリティを徐々に強化しながら、正当なメールフローを妨げるリスクを最小限に抑えることができます。

当社では、DMARCを自力で施行する方法についてのガイドも提供していますが、理想的には当社のホスト型DMARCソリューションを利用することをお勧めします。
専門家がDMARCの実装から施行まで、全ての段階でサポートします。

DMARCポリシーエラーのトラブルシューティング

DMARCを使用する際、エラーメッセージに遭遇することがあります。
以下は、一般的なDMARCポリシーエラーの例です。

構文エラー

レコードを設定する際に構文エラーがあると、プロトコルが正しく機能しなくなる可能性があります。
設定時には構文エラーに注意してください。

設定エラー

DMARCポリシーの設定中に発生するエラーは一般的です。
DMARCチェッカーツールを使用することで、これらのエラーを回避できます。

DMARC spポリシー

DMARCを「reject」ポリシーに設定していても、サブドメインポリシーが「none」に設定されている場合、コンプライアンスを達成できません。
これは、送信メールに対するポリシーの上書きが原因です。

「DMARC Policy Not Enabled」エラー

このエラーがドメインレポートに表示される場合、DNSにDMARCドメインポリシーが存在しないか、「none」に設定されていることを示しています。
この問題を修正するには、レコードを編集して「p=reject」または「p=quarantine」を組み込みます。

これらの一般的なエラーに注意し、適切に対処することで、DMARCの機能を最大限に活用できます。

PowerDMARCによるDMARCポリシーの施行

PowerDMARCのDMARCアナライザープラットフォームを使用すれば、DMARCプロトコルを簡単に設定できます。
クラウドネイティブなインターフェースを活用し、数回のクリックでレコードを監視し最適化できます。

今すぐお問い合わせいただき、DMARCポリシーを導入し、結果を簡単に監視しましょう！

DMARCポリシーに関するよくある質問 (FAQs)

Q: PowerDMARCの顧客はどのようにコンプライアンスを確認できますか？

A: ダッシュボードの概要を確認することで、簡単にコンプライアンス状況を評価できます。
また、PowerAnalyzerを活用して現在のセキュリティ状況を分析できます。

Q: DMARCポリシーをどのように修正すればよいですか？

A: DNS管理にアクセスし、DMARC TXTレコードを編集することで手動で修正できます。
より簡単な方法として、当社のホスト型ソリューションを使用すれば、ワンクリックでポリシーを変更できます。

Q: DMARCポリシーのデフォルト設定は何ですか？

A: 当社のDMARCジェネレーターを使用してポリシーを追加する場合、デフォルトモードとして「none」を割り当てます。
手動で実装する場合、「p=」フィールドでポリシーを明確に定義する必要があります。
そうでない場合、レコードは無効と見なされます。

私たちのコンテンツとファクトチェックのレビュープロセス

このコンテンツはサイバーセキュリティの専門家によって執筆されました。
技術的な正確性と関連性を確保するために、当社の社内セキュリティチームによって慎重にレビューされています。

すべての事実は公式なIETF文書と照らし合わせて確認されています。
また、情報を裏付けるレポートや統計への言及も含まれています。