DMARC가 DMARCbis로 바뀝니다. 당신에게 어떤 의미일까요?

どこかで「DMARCbis」という言葉を目にして、「何かが変わるらしい」と書かれていたかもしれません。IT担当者から聞いた、あるいはメール関連のニュースレターで見かけた。いずれにせよ、最初に浮かぶ反応は同じでしょう。「これは一体何で、自分は何かしなければいけないのか?」

後半の問いに対する答えは、「今のところ、何もする必要はありません」です。新しい規格の正式なリリース日はまだ決まっていません。ただし、実際に何が変わろうとしているのか、そして自分にとってそれが何を意味するのかは、今のうちに理解しておく価値があります。

おさらい:そもそもDMARCは何をしているのか

ドメインを設定したとき、誰かに「DNSレコードを追加してください」と言われたことを思い出してください。SPF、DKIM、そしてDMARCです。自分で設定した方もいれば、誰かに任せてそれきり気に留めていない方もいるでしょう。

DMARCを一言で言えば、なりすまし対策です。DMARCがなければ、誰でもあなたのドメイン、たとえば info@yourcompany.com になりすましたメールを送れてしまいます。DMARCを設定すれば、世界中のメールサーバーに向かってこう宣言することになります。「私のドメインから送るメールは一定のルールを満たさなければならない。満たしていないものは、疑わしいものとして扱うか、そのままブロックしてほしい」

Gmail、Outlookなどの受信側のメールサーバーは、このレコードを読み取り、あなたのドメインを名乗るメッセージをどう扱うかを判断します。

では、DMARCbisとは何か

DMARCbisは、DMARCの動作を定めるルールのアップデート版です。「bis」はラテン語で「2番目の」「改訂版の」を意味し、本の第2版のようなイメージです。

新しい規格は2026年のどこかで公開される見込みですが、正確な日付はまだ確定していません。公開されると、2015年に策定された現行の仕様に置き換わります。

具体的に何が変わるのか

1. 今のDMARCレコードはそのまま使える

最初にいちばん大事なことを言っておきます。何も書き換える必要はありません。今DNSに入っているレコードは、新しい規格が公開された後もそのまま有効です。

2. 機能していなかった仕組みが削除される

今回のいちばん大きな変更点です。説明のために、身近なたとえを使います。

DMARCを、調光スイッチ付きの照明だと考えてください。ポジションは3つあります。

• 🔘 オフ - 疑わしいメールも通常どおり配送され、レポートだけが届く。技術的には p=none
• 🟡 注意 - 疑わしいメールは迷惑メールフォルダに振り分けられる。技術的には p=quarantine
• 🔴 完全保護 - 疑わしいメールは完全にブロックされる。技術的には p=reject

「オフ」からいきなり「完全保護」に切り替えるのはリスクがあります。自分でも忘れていたツールからメールが送られているかもしれないからです。古い請求書システム、プラグイン、一時的に使ったマーケティングツールなど。これらが正しく設定されていなければ、顧客は何の前触れもなくあなたのメールを受け取れなくなります。

もともとのDMARC仕様には、これに対する解決策がありました。段階的なロールアウトです。「今はメール全体の10%にだけルールを適用し、次に50%、最後に100%」と指定できる仕組みでした。理論上は、その過程で忘れていた送信元が炙り出されるはずでした。しかし実際には機能しませんでした。メールサーバーごとにこの設定の解釈が異なり、そもそも無視するサーバーも少なくなかったのです。

DMARCbisはこの機能を削除します。調光スイッチではなく、単純なオン/オフのスイッチになります。テストモードか、完全適用か。パーセンテージはもうありません。

3. メールサーバーがドメイン構造を解釈する方法が変わる

こちらはもう少し技術寄りの変更ですが、少し複雑なドメイン構成をお持ちの方は理解しておく価値があります。

ドメインには「ツリー構造」があります。たとえば newsletter.yourcompany.com は yourcompany.com の枝葉にあたります。メインドメインに設定されたDMARCレコードは、サブドメイン側に個別のレコードがないかぎり、自動的にサブドメインにも適用されます。

これまでメールサーバーは、ドメインが「どこから始まるのか」を判定するために外部のリストを参照していました。公開されているPublic Suffix Listと呼ばれるものです。問題は、このリストが必ずしも最新ではなかったことです。DMARCbisはこれをもっとスマートに解決します。サーバーはDNSに直接問い合わせるようになります。結果として、動作はより信頼でき、予測しやすくなります。

あなたにとって何を意味するのか。ドメインが1つで複雑な構成がないなら、おそらく何も変わりません。ただし、複数のサブドメイン(たとえば shop.yourcompany.com、support.yourcompany.com など)を運用している場合は、DMARCレコードが想定通りのカバー範囲になっているか確認しておくとよいでしょう。

今の設定を確認するにはどうすればいいのか

次のアクションを決める前に、まず現状を知ることです。いちばん手軽な方法は、DMARCeyeの無料DNSチェッカーを使うことです。ドメインを入力するだけで、どのDMARCレコードが設定されているか、それが何を意味するのか、正しく構成されているかが即座に表示されます。無料で、登録不要、数秒で結果が出ます。

なぜ「何かが変わる」と騒がれているのか

メールセキュリティの歴史のなかで興味深い節目であることは確かです。ただし、大半のドメイン所有者にとっては、実際の中身よりも話が大げさに伝わっている面があります。

もっと重要な論点は、「規格が変わる」ことではなく、こちらの方です。DMARCを設定してはいるものの、実際にはまったく保護が効いていないドメインが大量に存在する、という事実です。何年も「監視のみ」の状態で止まったままなのです。本当に保護したいのであれば、DMARCを設定しただけでは足りません。レポートが何を語っているかを把握し、段階的に、そして安全に、より厳しい設定へと移行していく必要があります。

DMARCレポートは技術的で、XMLファイルとして届きます。専用のツールがなければ、実質的に読めません。DMARCeyeはそのレポートを読み解き、平易な言葉で教えてくれます。あなたのドメインから誰がメールを送っているのか、すべての送信ツールが正しく設定されているか、ポリシーを今すぐ厳しくしたら何が起きるのか。無料から始められます。

今やるべきことは何か

急いで対応すべきことはありません。新しい規格の公開日はまだ決まっておらず、期限もないからです。

1. 現在の設定を把握する。 DNSチェッカーを使えば、1分で終わります。
2. サブドメインがあるなら、適切なレコードでカバーされているか確認する。 DMARCbisは、サーバーがドメインツリーを読み解く方法を変えます。
3. 何年も p=none のままなら、次の段階へ進むことを検討する時期です。 慎重に、そして見通しを立てながら。DMARCeyeのようなツールを使えば、余計なリスクを取らずに進むべき道筋が見えてきます。

DMARCbisで変わる仕様上の詳細まで踏み込みたい方は、姉妹記事をご覧ください。DMARCbisが変えるもの、そして積み残したもの

DMARCeyeを無料で試す、あなたのドメインのメールレポートが本当に何を伝えているのかを、今日確かめてみてください。