2026年に「DMARC policy is not enabled」エラーを修正する方法
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 How do I fix “DMARC policy is not enabled” in 2024? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
「DMARC policy not enabled」エラーは、逆引きDNSルックアップ中にあなたのドメインのDMARCレコードに定義されたポリシーが存在しないことを示しています。
このエラーが存在する場合、あなたのドメインはなりすましや偽装といった脅威から保護されていません。
この記事を通して、あなたがDMARCを設定し、あなたのドメインに適切なポリシーを設定するために実施する必要があるさまざまなステップを説明します。
そうすることで、二度と「DMARC policy is not enabled」プロンプトに直面することがないようにしましょう!
主なポイント
- 「DMARC Policy Not Enabled」エラーは、ドメインにDMARCポリシーが設定されていないことを示しています。
これは、ドメインがなりすましメールやメール偽装のリスクにさらされている状態であることを意味します。 - DMARCポリシーには、p=reject、p=quarantine、p=noneなどがあり、それぞれ異なるレベルの適用ポリシーを設定できます。
- このエラーを解消し、認可されていないメールの処理方法をメールサーバーに指示するためには、選択したポリシーを含むDMARCレコードをDNSに公開する必要があります。
- DMARCを導入することで、フィッシング攻撃への対策を強化できるほか、ブランドの信頼性向上やメールの到達率改善にもつながります。
- メール認証の状況を把握し、組織全体のメールセキュリティ体制を強化するために、DMARCレポートを定期的に監視することを推奨します。
「DMARC Policy Not Enabled」を修正する6つのステップ
ステップ1: DMARCレコードのためのポリシーを定義する
まず、DMARCレコードがDNSに公開されているかどうか、またどのポリシーが設定されているかを確認する必要があります。
PowerDMARCの無料DMARC Lookupツールを使用すると、DMARCレコードの設定状況を確認し、問題点を特定できます。
DMARCレコードが存在しない場合は、新たに作成する必要があります。
DMARCレコードが存在する場合は、ポリシー(p=)が「none」「quarantine」「reject」のいずれに設定されているかを確認してください。
ステップ2: DMARCレコードのためのポリシーを理解する
- 認証されていないメールを拒否する
-
認証に失敗したすべてのメールを拒否することによって、最大限の実施を行うように設定できます。
これは、DMARCレコードのp=タグを「reject」と設定することで達成できます。 - 認証されていないメールを後でレビューするために保留する
-
認証されていないメールを完全に廃棄したくない場合は、受信者の隔離ボックスで保留にしておくことができます。
これは、p=タグを「quarantine」と設定することで達成できます。 - 何もしない、認証されていないメールに関与しない
- DMARCに失敗したメールに対して何も行動をとりたくない場合は、単純にp=タグを「none」と設定します。
これらのモードの主な要件は、ドメイン所有者が悪意のあるメールや特定の権限が付与されていないソースからのメールに対して、受信者がどのように反応するかを選択する柔軟性を提供することです。
これは、ドメインのなりすましを防ぐための重要なステップです。
ステップ2 - 選択したポリシーでレコードを再公開/公開する
選択したポリシーモードに満足したら、今度は「p」パラメータを記入して確実にすることを確認しながら、DMARCレコードを公開します。
このパラメータを定義すると、メール受信サーバーは、認証されていないメッセージに対してどのようなアクションを取るべきかの指示を受け取るためにレコードを解析できるようになります。
これで、あなたのドメインに対する「DMARCポリシーが有効ではない」というエラーは解決されるはずです。
ステップ3 - まずは監視モード(p=none)から開始する
SPFやDKIMの設定が完全でない状態で、いきなり厳格なDMARCポリシーを適用すると、正当なメールまで配信されなくなる可能性があります。
そのため、最も安全な方法は、まず p=none の監視モードから開始することです。
これにより、次のことが可能になります。
- DMARCレポートを受信し、どの送信元がドメインを利用してメールを送信しているかを確認できる
- 正規のサードパーティ製メール送信サービス(マーケティングツールやCRMなど)を特定できる
- 設定段階でメール配信に影響を与えるリスクを回避できる
PowerDMARCでは、DMARCレポートの生データを見やすいダッシュボードに変換できるため、XMLファイルを直接解析しなくても、ドメインのメール認証状況を把握できます。
ステップ4 - ポリシーを段階的に適用する(p=quarantine または p=reject)
すべてのメール送信元を監視し、正当な送信元であることを確認できたら、次はDMARCポリシーの適用を進めます。
DMARCレコードの設定例を以下に示します。
- 監視モード(none)
- v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
- 隔離(迷惑メールフォルダへの振り分け)(quarantine)
- v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com
- 拒否(reject)
- v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com
すべての正当な送信元がDMARCアライメント(認証整合性)に準拠していることを確認できたら、以下の順序で段階的に移行することを推奨します。
none → quarantine → reject
この方法により、メール配信への影響を最小限に抑えながら、なりすまし対策を強化できます。
ステップ5 - DNSにDMARCレコードを公開する
DMARCを有効にするためには、DMARCレコードをDNSへ正しく公開する必要があります。
- 1. DNSホスティングプロバイダ(Cloudflare、GoDaddy、Namecheapなど)の管理画面にログインします。
- 2. 新しいTXTレコードを作成します。
| 項目 | 設定値 |
|---|---|
| Host / Name | _dmarc |
| Type | TXT |
| Value | v=DMARC1; p=none; rua=mailto@yourdomain.com |
※上記は設定例です。
実際には選択したポリシーに応じて値を変更してください。
設定後は保存し、DNSの反映を待ちます。
反映には数時間かかる場合があります。
Namecheapでの設定例は以下の通りです。
- DNS管理コンソールへログインする
- Domain Listへ移動する
- DMARCポリシーを設定したいドメインの「Manage」をクリックする
- 「Advanced DNS」タブを開く
- 「Add New Record」をクリックする
- DMARC Generatorツールを使用してDMARCレコードを作成する
- ポリシーとDMARCレポートの送信先メールアドレスを入力し、「Generate」をクリックする
- 生成されたレコードをコピーする
- DNS設定画面のレコード値へ貼り付ける
ステップ6 - 継続的な監視とメンテナンスを行う
DMARCは一度設定して終わりではありません。継続的な監視と運用が重要です。
以下の項目を定期的に確認しましょう。
- DMARCレポートを確認し、ドメインから送信されるメールの状況を把握する
- サードパーティ送信サービスの追加・削除に合わせてSPFレコードを更新する
- セキュリティ向上のため、DKIM鍵を定期的にローテーションする
- 新しいメールシステムやサービスを導入した際は、必要に応じてDMARCポリシーを見直す
PowerDMARCでは、これらの管理を一元化し、レポート作成の自動化や設定ミスに関するアラート通知を提供しています。
これにより、メール配信へ影響が及ぶ前に問題を発見し、迅速に対処できます。
以上の手順を実施することで、ドメインにおける「DMARC Policy Not Enabled」エラーを解消し、メール認証とセキュリティを強化できます。
なぜ最初にDMARCポリシーを有効にする必要があるのでしょうか?
DMARCは、Domain-based Message Authentication, Reporting, and Conformanceの略であり、BEC(ビジネスメール詐欺)や直接ドメインスプーフィングの試みに対してドメインが十分に保護されることを保証するために、発信メールメッセージの認証を行うための標準です。
DMARCはReturn-pathドメイン(バウンスアドレス)、DKIM署名ドメイン、およびFromドメインを照合し、一致を探します。
これにより、送信元の真正性を検証し、あなたのものであるかのように見えるメールを不正なソースが送信するのを防ぎます。
あなたの会社のドメインは、あなたのデジタルアイデンティティを担うデジタルストアフロント(※)です。
あらゆる規模の組織がリーチを広げ、クライアントとの関係を築くためにメールマーケティングを利用しています。
しかし、あなたのドメインがなりすまされ、攻撃者があなたの顧客にフィッシングメールを送り出した場合、それはあなたのメールマーケティングキャンペーンにのみ影響を及ぼすだけでなく、あなたの組織の評判や信頼性にも影響を与えます。
これが、あなたのアイデンティティを保護するためにDMARCを採用することが不可欠である理由です。
※訳注: デジタルストアフロントは、インターネット上での企業や組織のオンラインプレゼンスを指します。
具体的には、企業のWebサイト、電子商取引サイト、ソーシャルメディアのページやプロファイルなど、インターネット上で顧客と接触し、自社のブランド、製品、サービスを紹介・販売するためのすべてのデジタルチャネルを含みます。
デジタルストアフロントは、物理的な店舗と同様に、企業の「顔」として機能し、顧客体験、ブランド認識、売上の向上に重要な役割を果たします。
「DMARC Quarantine/Reject Policy Not Enabled」を修正する方法
「DMARC Quarantine/Reject policy not enabled」という警告が出た場合、DMARCポリシーが p=none に設定されていることを示しています。
p=none は監視目的には適していますが、なりすましメールを積極的にブロックする機能はありません。
この問題を解消するには、DMARCレコードを更新し、より厳格なポリシーを適用する必要があります。
設定手順
- DNS管理コンソールにログインします。
- 既存のDMARCレコード(v=DMARC1で始まるTXTレコード)を探します。
- ポリシー値(p=)を none から以下のいずれかに変更します。
- p=quarantine
- 疑わしいメールを迷惑メールフォルダへ振り分けます。
- p=reject
- 疑わしいメールを受信前に拒否します。
設定例
- 変更前(監視モード)
- v=DMARC1; p=none; rua=mailto:reports@yourdomain.com
- 変更後(ポリシー適用後)
- v=DMARC1; p=quarantine; rua=mailto:reports@yourdomain.com または v=DMARC1; p=reject; rua=mailto:reports@yourdomain.com
設定を保存した後は、DNSの反映を待ちます。
反映には最大48時間程度かかる場合があります。
その後、DMARC Lookupツールを使用して再確認し、変更内容が正しく反映されていることを確認してください。
DMARC運用のベストプラクティス
DMARCの設定は、メールセキュリティ対策の第一歩に過ぎません。
以下のベストプラクティスに従うことで、設定ミスを防ぎながらセキュリティを強化し、安定したメール配信を実現できます。
- まずは p=none から開始する
- 厳格なポリシーを適用する前に、まずは監視モードで運用し、データを収集しましょう。
- 少なくとも2〜4週間は監視する
- quarantine や reject へ移行する前に、すべての正当なメール送信元を把握できていることを確認します。
- 段階的にポリシーを適用する
- 認証設定に問題がないことを確認した上で、以下の順に移行することを推奨します。
none → quarantine → reject - DMARCアナライザを活用する
- DMARCレポートは通常XML形式で提供されるため、そのままでは内容を把握しづらい場合があります。
DMARCアナライザなどのツールを利用すると、認証状況や問題点を分かりやすく確認できます。 - SPFとDKIMを最新の状態に保つ
- 新しい送信サービスを追加した場合や不要なサービスを削除した場合は、SPFレコードを更新しましょう。
また、セキュリティ向上のため、DKIM鍵を定期的にローテーションすることを推奨します。
よくある質問(FAQ)
- 1. DNSの反映にはどのくらい時間がかかりますか?
- 多くの場合、変更は数分から数時間以内に反映されます。
ただし、世界中のDNSサーバーへ完全に反映されるまでには24〜48時間程度かかる場合があります。
設定後はDMARC Lookupツールを使用して状態を確認してください。 - 2. rua と ruf の違いは何ですか?
-
- rua - DMARC認証結果の集計レポート(Aggregate Report)を受信するための設定です。通常は日次で送信され、ドメイン全体の認証状況を確認できます。
- ruf - 認証に失敗した個々のメールに関する詳細レポート(Forensic Report)を受信するための設定です。ただし、プライバシー上の理由から、現在では対応していないメールプロバイダーも多くあります。
- 3. すべてのメール送信元を把握できない場合はどうすればよいですか?
- CRMやマーケティングツール、問い合わせ管理システムなど、ドメインを利用してメールを送信するすべてのサービスを洗い出してください。
それらがSPFまたはDKIMで正しく認証されていることを確認し、確認が完了するまでは p=none を維持することを推奨します。 - 4. DMARCレポートはどのくらいの頻度で確認すべきですか?
- 導入初期は週1回以上確認し、認証エラーや設定ミスを早期に発見できるようにしましょう。
運用が安定した後は、月1回程度の確認でも十分な場合が多くあります。 - 5. DMARCレコードは定期的に更新する必要がありますか?
- DMARCレコード自体を頻繁に変更する必要はありません。
ただし、新しいメールサービスの追加や削除が発生した場合は、SPFおよびDKIMの設定を見直す必要があります。
また、セキュリティ強化のため、DKIM鍵は定期的にローテーションすることを推奨します。