DMARCの基礎を学習するイメージ

DMARC初心者ガイド

なぜ今、DMARCの導入が求められているのか — 仕組みと背景をわかりやすく解説

最終更新日

目次

  1. なりすましメールの脅威
  2. メール認証の3つの柱 — SPF・DKIM・DMARC
  3. DMARCが果たす役割
  4. なぜ今、導入が求められているのか
  5. DMARC未導入のリスク
  6. 導入のステップ
  7. FAQ

要点

DMARCディーマーク(Domain-based Message Authentication, Reporting and Conformance)は、なりすましメールから自社と取引先を守るための仕組みです。
現在、総務省・経産省をはじめとする各省庁が導入を呼びかけており、ECサイトの決済で重要なPCI DSS 4.0でも必須要件となりました。
本ページでは、「DMARCとは何か」「なぜ必要なのか」を、初めての方にもわかりやすく解説します。

1. なりすましメールの脅威

このセクションのポイント: なりすましメールは、あなたの会社のドメイン名を勝手に使って送られる詐欺メールです。被害を受けるのは、あなたの会社だけでなく、取引先やお客様も含まれます。

なりすましメールとは

なりすましメールとは、送信者のメールアドレスを偽装して送信されるメールのことです。
例えば、攻撃者が「info@あなたの会社.co.jp」を送信元として表示するメールを、全く無関係のサーバから送信することが技術的に可能です。

メールの仕組み上、送信元アドレスは自由に設定できてしまいます。
これは、郵便で言えば「差出人の欄に誰の名前でも書ける」のと同じ状態です。
メール認証技術(SPF・DKIM・DMARC)は、この問題を解決するために生まれました。

なりすましメールによる被害

なりすましメールは、以下のような深刻な被害を引き起こします。

フィッシング詐欺
取引先やお客様に偽のログインページや偽の振込先を案内し、認証情報や金銭を詐取します。
特に、経理部門を狙った振込先変更の詐欺(BEC:ビジネスメール詐欺)は被害額が大きくなる傾向があります。
マルウェアの配布
信頼できる送信元を装って、添付ファイルやリンクからマルウェアを配布します。
ブランド毀損
自社ドメインがなりすましに使われること自体が、企業の信用を大きく傷つけます。
「あの会社から怪しいメールが来た」という印象は、実際には自社が送っていなくても、自社の評判に直結します。
サプライチェーン攻撃
取引先を装ったなりすましメールにより、サプライチェーン全体にセキュリティリスクが波及します。

2. メール認証の3つの柱 — SPF・DKIM・DMARC

このセクションのポイント: メール認証には、SPF(送信サーバの正当性確認)、DKIM(メール改竄防止)、DMARC(SPF・DKIMを統合し、なりすましを検出・防止)の3つの技術があります。

SPF — 送信サーバの正当性を確認する

SPF(Sender Policy Framework)は、「このドメインからメールを送信してよいサーバはどれか」をDNSに登録する仕組みです。

例えるなら、会社の受付に「社員証を持っている人だけ通してください」と指示するようなものです。
受信側メールサーバは、送信元サーバのIPアドレスが、そのドメインのSPFレコードに登録されているかを確認します。

ただし、SPFだけでは限界があります。
共用のメールサーバ環境では、他のテナントもSPF検証に合格してしまう場合があります。
また、メールが転送されると、送信元IPアドレスが変わるためSPF検証に失敗します。

DKIM — メールの改竄を防止する

DKIM(DomainKeys Identified Mail)は、メールに電子署名を付与し、送信後にメールの内容が改竄されていないことを保証する仕組みです。

例えるなら、封筒に封蝋を施すようなものです。
封蝋が無傷であれば、中身が途中で書き換えられていないことがわかります。
受信側は、DNSに公開されている公開鍵を使って、署名の正当性を検証します。

DKIMは転送されても署名が維持されるため、SPFの弱点を補完します。
しかし、DKIM単体では、署名ドメインとメールのFromアドレスの一致を確認しないため、攻撃者が自身のドメインで署名しつつ、Fromアドレスを偽装することが可能です。

DMARC — SPFとDKIMを統合し、なりすましを防止する

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、SPFとDKIMの検証結果を活用しつつ、さらにAlignmentチェック(認証済みドメインとFromアドレスの一致確認)を行うことで、なりすましメールを検出・防止します。

SPFとDKIMが「本人確認書類の提示」だとすれば、DMARCは「その書類が、目の前にいる人物のものかどうかを照合する」プロセスに相当します。
身分証の提示だけでは不十分で、写真と顔が一致しているかの照合が必要なのと同じです。

DMARCメカニズムの全体像
DMARCメカニズムの全体像(詳細はDMARC仕様解説ページをご参照ください)

3つの技術の関係

技術役割例え
SPF送信が許可されたサーバからのメールかを確認社員証の確認
DKIMメール内容が途中で改竄されていないかを確認封蝋による封緘
DMARCSPF/DKIMの結果と送信元ドメインの整合性を確認し、認証失敗時の処理を指示身分証と本人の照合+入館ルールの適用

3. DMARCが果たす3つの役割

このセクションのポイント: DMARCは、①Alignmentチェック(Fromアドレス詐称検出)、②認証失敗時の処理指示、③レポートによる監視の3つの機能を提供します。

① DMARC Alignmentチェック

SPFやDKIMが合格していても、それだけでは「ヘッダーFromのドメイン」が正当かどうかはわかりません。
DMARCのAlignmentチェックは、SPFやDKIMで認証されたドメインと、メールの差出人として表示されるヘッダーFromのドメインが一致しているかを確認します。

これにより、「SPFやDKIMは合格しているが、実は別のドメインの認証結果を利用していた」というなりすましを検出できます。

Alignment一致(正当なメール)

Header Fromと検証済みドメインが一致している例

ヘッダーFromのドメインと、認証されたドメインが一致しています。
DMARCは合格と判定します。

Alignment不一致(なりすましの疑い)

Header Fromと検証済みドメインが不一致の例

ヘッダーFromのドメインと、認証されたドメインが一致していません。
DMARCは不合格と判定します。

② ドメイン所有者による処理指示(ポリシー)

DMARCでは、認証に失敗したメールをどう扱うかを、ドメイン所有者が受信側メールサーバに指示できます。
このポリシーは、DNSのTXTレコードとして公開されます。

p=none(モニタリング)
認証結果に関わらず、既存のメール処理を変更しません。
まずはレポートを収集し、現状を把握するためのフェーズです。
注意:p=noneは「安全」を意味しません。攻撃者にとって、p=noneのドメインは格好の標的です。
p=quarantine(隔離)
認証に失敗したメールを迷惑メールフォルダに振り分けるよう指示します。
p=reject(拒否)
認証に失敗したメールの受信自体を拒否するよう指示します。
最終的に目指すべきポリシーです。
DMARC検査プロセスの概略図
DMARCの検査処理

③ DMARCレポートによる監視

DMARCを設定すると、世界中の受信メールサーバから、自社ドメイン名義で受信されたメールの認証結果レポート(RUAレポート)が届きます。
これにより、以下のことがわかります。

正規メールの認証状況
自社が送信しているメールが、SPF・DKIM・DMARCに正しく合格しているか確認できます。
なりすましメールの実態
自社ドメインを騙って送信されているメールの量、送信元IPアドレス、送信地域を把握できます。
設定不備の発見
SPFやDKIMの設定に問題がある送信経路を特定できます。

レポートを受信し分析することは、セキュリティ監視として非常に重要です。
レポートの受信設定を省略することは、攻撃者に対して「この会社は監視していない」と知らせているのと同じです。

4. なぜ今、DMARCの導入が求められているのか

このセクションのポイント: 政府機関の要請、業界規格での必須化、大手メールサービスの送信者要件強化により、DMARCの導入は「推奨」から「必須」へと変わりつつあります。

政府機関からの要請

総務省や経済産業省をはじめとする各省庁が、なりすましメール対策としてDMARCの導入を強く推奨しています。
特に、フィッシング詐欺やビジネスメール詐欺(BEC)の被害増加を受け、組織のメールセキュリティ強化は国を挙げての課題となっています。

PCI DSS 4.0での必須化

クレジットカード情報を扱うECサイトや決済事業者に適用される国際的なセキュリティ基準「PCI DSS」のバージョン4.0では、DMARCの実装が必須要件として明記されました。
これにより、決済に関わる事業者は、DMARCの導入が事実上の義務となっています。

Gmailの送信者ガイドライン

2024年2月より、Googleは1日5,000通以上のメールを送信する送信者に対し、SPF・DKIM・DMARCの設定を必須としました。
これに対応していない送信者からのメールは、受信が拒否される可能性があります。
Googleだけでなく、Microsoft、Yahoo!など主要メールプロバイダも同様の方向性を打ち出しています。

なりすましメール被害の深刻化

近年、なりすましメールによるフィッシング詐欺、ビジネスメール詐欺(BEC)、ランサムウェア攻撃の被害が急増しています。
2025年には、国内の多くの企業でMicrosoft365のExchange Onlineが持つDirect Send機能が悪用される事例も多発しました。
こうした脅威に対抗するためにも、DMARCの導入は不可欠です。

5. DMARC未導入のリスク

このセクションのポイント: DMARC未導入は、攻撃者への「どうぞご自由に」というサインです。自社だけでなく、取引先やお客様にも被害が及びます。

自社ドメインがなりすましに悪用される
DMARCが未導入のドメインは、攻撃者にとって最も利用しやすいターゲットです。
p=rejectが設定されたドメインを攻撃しても無駄なため、攻撃者はDMARC未導入やp=noneのドメインを優先的に狙います。
メールの到達率が低下する
Gmail、Microsoft365などの主要メールサービスは、DMARC対応を送信者に求めるようになっています。
未対応の場合、正規のメールでさえ迷惑メール扱いされたり、受信を拒否されるリスクが高まります。
コンプライアンス違反
PCI DSS 4.0をはじめとする業界規格や、政府のガイドラインへの非準拠となります。
取引先からのセキュリティ監査でも、DMARC未導入は指摘事項となり得ます。
インシデント発生時の対応遅延
DMARCレポートが無ければ、自社ドメインがなりすましに使われていることすら把握できません。
被害が発覚するのは、取引先やお客様からの連絡がきっかけとなることが多く、その時点では既に手遅れです。
取引先・お客様への被害拡大
自社ドメインを騙ったなりすましメールにより、取引先やお客様が金銭的被害を受けた場合、信頼関係の毀損は避けられません。

6. 導入のステップ

このセクションのポイント: DMARCの導入は段階的に進めるのが一般的ですが、弊社では最初からp=rejectでの導入をお勧めしています。

DMARC導入の基本ステップ:
Step 1:現状確認
自社ドメインのSPF・DKIM・DMARCの設定状況を確認する
Step 2:SPF・DKIMの整備
自社が利用する全てのメール送信経路でSPF・DKIMを正しく設定する
Step 3:DMARC設定(p=reject推奨)
DMARCレコードをDNSに追加し、RUAレポートの受信を開始する
Step 4:継続的な監視と改善
RUAレポートを分析し、設定の最適化と脅威の監視を継続する

一般的な段階的導入 vs 弊社推奨のアプローチ

一般的には、まずp=noneでモニタリングを開始し、段階的にp=quarantine、p=rejectへ移行する方法が紹介されています。
しかし、弊社では、最初からp=rejectでの導入をお勧めしています

その理由は以下のとおりです。

問題の即時検知
p=rejectであれば、DMARCに合格できないメールは送信時に即座にエラーとなります。
p=quarantineでは迷惑メールフォルダに入るだけで、送信側が問題に気づけません。
なりすましメールの迅速な減少
p=rejectに設定すると、2〜3週間程度でなりすましメールは全体の1%未満にまで減少します。
これは、攻撃者が「送っても無駄なドメイン」を攻撃対象から外すためです。
p=noneの危険性
p=noneのドメインは、攻撃者にとって「監視も対策もしていない」サインに見えます。
p=noneでの長期運用は、かえってリスクを高めます。

専門サービスの活用

DMARCの設定自体はDNSへのTXTレコード追加で行えますが、正しい運用には以下の対応が必要です。

全メール送信経路の洗い出し
自社ドメインでメールを送信している全てのシステム・サービスを特定する必要があります。
社内メール、マーケティングメール、SaaS経由の通知メールなど、漏れがあるとp=reject設定後にメールが届かなくなります。
SPF・DKIMの適切な設定
各送信経路でSPF・DKIMを正しく設定し、DMARC Alignmentが合格するように調整する必要があります。
RUAレポートの分析
RUAレポートはXML形式で送信され、手動での確認は困難です。
商用のDMARCレポート分析サービスを利用することで、効率的な監視が可能になります。

弊社のMailDataサービスでは、これらの導入・運用を包括的にサポートしています。

FAQ

Q1. DMARCとは何ですか?一言で教えてください。
A. DMARCは、あなたの会社のメールアドレスが「なりすまし」に使われることを防ぐ仕組みです。
SPFとDKIMという2つの認証技術を組み合わせ、メールの差出人が本物かどうかを受信側で確認し、偽物であれば拒否するよう指示できます。
Q2. SPFやDKIMだけではダメですか?
A. SPFとDKIMだけでは、ヘッダーFromの詐称を防げません。
例えば、攻撃者が自分のサーバでSPFを合格させつつ、ヘッダーFromにあなたの会社のアドレスを表示することが可能です。
DMARCのAlignmentチェックにより、このような攻撃を検出できます。
Q3. DMARCの導入にはどのくらい時間がかかりますか?
A. 基本的なDNSへのレコード追加は即日可能です。
ただし、自社の全メール送信経路の洗い出しとSPF・DKIMの設定整備には、数日〜数週間かかることがあります。
弊社のサービスをご利用いただければ、効率的に導入を進められます。
Q4. 小さな会社でもDMARCは必要ですか?
A. はい、必要です。
攻撃者は企業規模を問わず、対策の甘いドメインを狙います。
むしろ、セキュリティ体制が手薄になりがちな中小企業は、格好のターゲットです。
また、取引先がDMARC対応を求めるケースも増えており、ビジネス上の要件ともなりつつあります。
Q5. DMARCを設定したら、メールが届かなくなることはありませんか?
A. SPF・DKIMが正しく設定されていれば、正規のメールが届かなくなることはありません。
逆に、p=rejectの設定は「このドメインは認証をきちんと行っている」という信頼の証となり、メールの到達率が向上する効果もあります。
事前に全メール送信経路を洗い出し、適切に設定することが重要です。
Q6. RUAレポートには個人情報が含まれますか?
A. いいえ、RUAレポートには個人情報は含まれません。
含まれるのは、送信元IPアドレス、メール通数、SPF・DKIM・DMARCの認証結果といった統計情報のみです。
安心してレポート受信を設定してください。

次のステップ

DMARCの仕様を詳しく知りたい

DMARCの概念図

DMARC Alignmentの仕組み、ポリシーの詳細、レポートの種類、DMARCレコードの構文など、技術的な詳細を解説しています。

導入について相談したい

効率的な運用と最適化のイメージ

DMARCの導入をご検討中の方は、お気軽にお問い合わせください。
無料トライアルもご用意しています。