DMARCは、フィッシングやなりすましからドメインを保護するための標準となっています。しかし、コンプライアンスを達成するには、単に記録を公開するだけでなく、メール認証を監視し、問題が発生したら修正し、GoogleやYahooなどのプロバイダーが設定する基準を満たす必要があります。
このガイドでは、DMARCの導入から完全かつ継続的なコンプライアンスに移行するために必要な情報をまとめています。各セクションには、より深く学び、具体的な行動を起こすことができる記事へのリンクが含まれています。
セットアップに入る前に、DMARCモニタリングが実際に何をするのか、なぜコンプライアンスに不可欠なのかを理解する価値があります。
組織が送信するメールはすべて、マーケティングプラットフォーム、サポートデスク、請求システム、さらには自動通知など、さまざまなシステムを通過します。これらの各システムは、受信側のメールサーバーに対して、お客様のドメインを代表して送信することを許可されていることを証明する必要があります。
これがDMARCが検証するために設計されたものです。DMARCは、各メッセージが(SPFまたはDKIMを使用して)認証に合格しているかどうか、そしてそれらのチェックがあなたのドメイン名と一致しているかどうかをチェックします。
しかし、DMARCは同様に重要なことも行います:それは、これらのメッセージがどのように実行されたかを報告することです。Gmail、Yahoo、Microsoftのようなメールボックスプロバイダは、以下のようなDMARCレポートを毎日送信します:
これらのレポートを監視することで、メールトラフィックに何が起こっているかを正確に把握することができます:
DNSレコードの管理者でなくても、これらの基本を理解することで、何が問題かを認識することができます。DMARCを監視することは、単に技術的なエラーを修正することではなく、ドメインの信頼を維持し、スパムフォルダからメールを守り、GoogleやYahooの新しい送信基準に準拠することなのです。
DMARCの基本的な概念となりすましやフィッシングを防ぐ役割についてもっと理解したい方は、ハイレベルDMARCの概要をご覧ください。
DMARCを設定し、レポートを読み、発見したことに基づいて行動することです。DMARCの設定方法から始めましょう。
これを行うには、DNSにアクセスする必要があります。もしDMARCにアクセスできない場合は、DMARCを担当している組織の開発者に連絡してください。
DMARCポリシーがまだ有効でない場合、最初の目標はDNSにDMARCレコードを公開し、レポートの収集を開始することです。
DMARCレコードは次のようになります:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=rp=noneで始めることで、メール配信に影響を与えることなく、安全にメール認証結果を監視することができます。
DMARCを有効に する方法については、DMARC Policy Not Enabled?5つの簡単なステップをご覧ください。
ポリシーが有効になると、メールボックス・プロバイダは、記録に記載されているアドレスに、毎日の集計レポートとリアルタイムのフォレンジック・レポートを送信し始めます。この2種類のレポートがDMARCモニタリングの基礎となります。
アグリゲートレポートは、毎日のドメインからのすべてのメールアクティビティを要約します。これにより、以下のことがわかります:
これらのXMLレポートの読み方と解釈方法については、ガイドをご覧ください:
DMARC集計レポートの読み方。
フォレンジックレポート(または障害レポート)は、特定のメールが認証に失敗した場合に、メッセージレベルの詳細なデータを提供します。なりすましの検出や設定エラーの迅速な診断に役立ちます。
詳しくは、DMARCフォレンジックレポートの読み方をご覧ください。
これらのレポートを組み合わせることで、ドメインのメール認証がどのように実行されているかを明確に把握することができます。
モニタリングはデータを収集するだけではありません。それに基づいて行動することです。レポートを分析すると、次のような問題が発生する可能性があります:
これらの問題をトラブルシューティングすることで、ドメインがコンプライアンスを維持し、メッセージが確実に受信トレイに届くようになります。
包括的なトラブルシューティングのプロセスについては 、DMARCの問題のトラブルシューティングと修正方法を参照してください 。 このガイドでは、各タイプの障害、レポートでの解釈方法、DNSまたはメールサービス設定での修正方法について説明します。
2024年現在、Googleと Yahooは、SPF、DKIM、DMARCを使用してすべてのメールを認証し、明確なポリシーを設定することを大量送信者に要求しています。
大規模な送信者でなくても、これらの標準に従うことで、ドメインのレピュテーションを確実に維持することができます。
コンプライアンスには以下が含まれます:
これらの新要件の詳細と対応方法については、Navigating New Email Complianceをお読みください:GoogleとYahooのエラーメッセージガイドをご覧ください。
DMARCポリシーが完全に施行されたら、BIMI(Brand Indicators for Message Identification)を導入することで、さらに一歩進めることができます。
BIMIは、GmailやYahooなどの受信トレイで、認証済みメールの横に認証済みロゴを表示し、受信者に視覚的に信頼のシグナルを与えます。
BIMIを利用するには、以下の条件が必要です:
p=quarantineまたはp=rejectの有効なDMARCレコードがあること。BIMIの設定方法については、ガイドを ご覧ください:BIMI:DMARC後のメールセキュリティの次のステップ。
XMLレポートを手動で分析するのは、特に複数のドメインにまたがる場合、時間がかかります。そのため、ほとんどの組織では、データを自動的に収集して視覚化するDMARCモニタリングツールを使用しています。
これらのツールを使用すると、次のようなことが可能になります:
DMARCeyeを利用することで、DMARCの導入から実施、継続的なメンテナンスまで、DMARC監視プロセスのあらゆる部分を簡素化することができます。
DMARCeyeを利用することで、以下のことが可能になります:
DMARCeyeを継続的な監査と考えることで、初期設定後もメール認証のコンプライアンス、正確性、有効性を維持することができます。