MailData Logo

DomainKeys Identified Mail

DMARCとは

DMARCディーマークとは、Domain-based Message Authentication, Reporting and Conformanceの略で、既存の電子メール認証機構であるSPFとDKIMを拡張したもので、メールドメインの所有者にメールのなりすまし送信を防ぐ機能を提供するためのプロトコル仕様です。

DMARCには、3つの大きな役割があります。

SPFやDKIMに違反したメールをどう扱うかのポリシーを送信側ドメインが指定する

DMARCは、MTAやMDAと連動し、SPFやDKIMの機構と連動して動作します。
SPFやDKIMの認証方法のいずれも合格しなかった場合、DMARCを設定していないと、メール受信側が、合格しなかったメールをどうするか決めます。
DMARCを設定すると、送信側ドメインが、受信先のメールシステムに対して、合格しなかったメールの処理を指示する事が可能になります。

DMARCの検査処理
p=none
認証に失敗したメールに対して、何もしないよう受信サーバに指示。違反があった場合はDMARCレコードのmailto:にレポートを送信。
p=quarantine
認証に失敗したメールを隔離するよう受信サーバに指示。迷惑メールフォルダに振り分けられる。
p=reject
認証に失敗したメールは無条件に拒否するよう受信サーバに指示。100%認証に成功したメールのみが受信トレイに到達し、それ以外は削除。

これらのポリシーは、テキストのTXTレコードとしてDNSに登録し、公開します。

Fromアドレス詐称を検出する(DMARC Alignment)

企業側がきちんとSPFとDKIMを設定したとしても、なりすましメールを送る事は可能です。
なりすましメールを送る側が、自分のドメインでSPFとDKIMを設定して、Fromアドレスをなりすますドメインのものに書き換えれば良いのです。
Fromアドレスは、簡単に書き換える事が出来ます。

DMARCは、Fromアドレスが送信元ドメインと合致しているかどうかを確認して、Fromアドレスの詐称をチェックします。

この仕組みによって、Fromを詐称したメールを弾く事が可能になります。

DMARC Alignment

メールの監査に必要なレポートを受信する

DMARCには、自社のドメインのアドレスでどのくらいの通数のメールが受信されているかを確認するためのレポート機能があります。
送信されたメールではなく、受信されたメールであることに注目して下さい。
これによって、勝手になりすましメールを送られても、受信側からレポートされるので、把握が可能になります。

RUA
"Reporting URI(s) for aggregate data"の略。
メール受信側から、受信したメールについて、SPF、DKIM、DMARC Alignmentに合格したかどうかのデータがXMLで送られる。
RUF
"Reporting URI(s) for failure data"の略。
メール受信側から、受信したメールについて、SPF、DKIM、DMARC Alignmentに不合格だったメールのヘッダ情報がXMLで送られる。
現在、対応しているプラットフォームが少なく、Microsoftからは送られてくるが、Googleからは送って来ない。

SPF、DKIM、DMARCの3点セットを設定して、なりすましメール対策になります。
どれか一つでも設定できていないと、なりすましメールを防ぐ事ができません。

では、受信者側は、毎度、この3点セットがきちんと設定されていることを、確認しなくてはいけないのでしょうか?
それは、面倒ですよね。
この3点セットを設定しているメールでなりすましメールではない事を一目で確認できるようにしたのが、BIMIという仕様です。