ブログ

DMARCポリシーが有効になっていませんか?簡単な5つのステップ

作成者: Jack Zagorski|2025/11/10 16:23:09

もしあなたのドメインでDMARCポリシーがまだ有効になっていない場合、最も一般的なサイバー攻撃の1つである「なりすまし」に対してメールシステムを無防備な状態にしていることになります。

DMARCポリシーは、メッセージの認証チェックに失敗した場合の対処方法を受信メールサーバーに指示します。DMARCポリシーがなければ、あなたのドメインがスパマーやフィッシャーに利用される可能性があります。

DMARCの設定は見た目よりも簡単ですが、組織のDNS(ドメインネームシステム)にアクセスできる必要があります。わからない場合は、開発者に助けを求めてください。

SPFレコードとDKIMレコードが動作するようになれば、わずか数ステップでDMARCを公開し、使い始めることができます。

DMARCポリシーとは?

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPFとDKIMをベースにしたメール認証規格です。

メールを送信する際、メールボックスプロバイダーは以下の点をチェックします:

  • 送信サーバーがお客様のSPFレコードによって認証されているかどうか。
  • メールが有効なDKIM署名を持っているかどうか。
  • SPFおよびDKIMで使用されているドメインが、目に見えるFromアドレスと一致しているかどうか。

DMARCポリシーは、これらのチェックに失敗した場合の対処方法を受信サーバーに指示します。

以下を選択できます:

  • 監視する:何もせず、レポートを収集します。
  • 隔離する:疑わしいメッセージをスパムに送信する。
  • 拒否:不正なメッセージを完全にブロックする。

バルクメール送信者がDMARCを有効にする必要がある理由

DMARCを有効にすることで、ブランドを保護し、配信性を向上させ、ドメインがどのように使用されているかを把握することができます。

DMARCを有効にしないと、以下のような問題が発生します:

  • 攻撃者がフィッシングメールで貴社のドメインになりすますことができる。
  • メールボックスプロバイダが貴社のメッセージを信用しなくなり、メール配信性が低下します。
  • 誰があなたの代理でメールを送信しているのか可視化できない。

DMARCを有効にすると、コントロールが可能になります。毎日、どのサーバーがあなたのドメインからメッセージを送信し、認証に合格したかを示すレポートを受け取ることができます。

セットアップから継続的なモニタリングまで、DMARC実装の完全な概要とロードマップについては、 DMARCモニタリングとコンプライアンスガイドをご覧ください

以下は、DMARCを有効にするための簡単な手順です。

注: これを行うには、DNSにアクセスする必要があります。お持ちでない場合は、開発者にご相談ください。

ステップ1:SPFとDKIMの確認

DMARCを有効にする前に、SPFとDKIMが適切に設定されていることを確認してください。

SPF

ドメインのDNSにSPFレコードを発行し、ドメインのメール送信が許可されているすべてのサービスを含めます。例

v=spf1 include:spf.protection.outlook.com include:_spf.google.com -all
最後の-allは、レコードに記載されていない送信者を拒否するようにメールサーバーに指示します。

DKIM

ほとんどのメールプロバイダーでは、DKIMキーを生成することができます。DNSにセレクタ名のTXTレコードとして追加する必要があります。例

selector1._domainkey.yourdomain.com
公開後、テストメールを送信して、DKIM署名が有効であることを確認します。

ステップ2:DMARCレコードの作成

DMARCレコードは、DNSのシンプルなTXTエントリです。行動を起こす前にデータを収集できるように、監視のみの設定(つまり「なし」ポリシー)から始めます。

v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
それぞれの部分の意味は以下の通り:
  • v=DMARC1:バージョンタグ。
  • p=none:ポリシーの種類。「None」はモニターのみを意味する。
  • rua:集計レポートの送信先。
  • aspf/adkim:アライメントモード。r "は緩和、"s "は厳格。

これをDNSに追加すると、ドメインはDMARCレポートの送信を開始します。

ステップ3:レポートを確認する

メールボックスプロバイダは、レコードで指定したアドレスに集約レポートと呼ばれるXMLファイルを送信します。

これらのレポートには以下が含まれます:

  • あなたに代わって送信するIPとドメイン。
  • 認証の合否結果。
  • 送信元ごとのメッセージ数

DMARCレポートビューアまたは自動化ツールを使用してデータを読むことができます。目標は、SPFまたはDKIMに失敗した正当な送信者を特定し、実施に移行する前に修正できるようにすることです。

ステップ4:エンフォースメントに移行する

2~3週間監視を続けると、メール送信元が明確になります。

認証に失敗した正当な送信者をすべて修正したら、p=noneからp=quarantineに移行しましょう:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r

数週間レポートがクリーンなままであれば、完全保護への最終ステップを踏みましょう:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
これで、不正な送信者は完全にブロックされます。

ステップ5:維持と監視

DMARCは一度設定すれば忘れるというものではありません。定期的にレポートを確認し、新しい送信者や設定の変更をキャッチしましょう。

また、次のこともお勧めします:

  • DKIMキーは6~12ヶ月ごとに交換する。
  • SPFレコードを四半期ごとに見直す。
  • 新しいプラットフォームが送信を開始する前に、SPFとDKIMに追加する。

ビジネスが成長し、メールを送信するツールが追加されても、DMARCを最新の状態に保つことで、確実に保護され、強固な送信者レピュテーションを維持することができます。

よくあるDMARC設定の間違い

小さな設定ミスでも配信上の問題を引き起こす可能性があります。以下の点にご注意ください:

  1. DNSで誤った構文を使用する。余分なスペースやセミコロンがないことを確認してください。
  2. RUAのメールアドレスが無効。レポートアドレスが有効でない場合、レポートを受信できません。
  3. SPFまたはDKIMのアライメントをスキップしています。DMARCが機能するためには、どちらも「From」ドメインと一致する必要があります。
  4. p=rejectの設定が早すぎる。正当なメールストリームが認証されていることを常に最初に確認する。

DMARCeyeのDMARCレポート監視機能

DMARCを有効にすると、メールボックス・プロバイダからXMLレポートが毎日送信されるようになります。これらを手動で読むことは困難です。

DMARCeyeはこれらのレポートを収集し、分かりやすいダッシュボードに整理します。すべての送信元、認証結果、アライメントの傾向を一目で確認できます。簡素化されます:

  • DMARCパフォーマンスの監視
  • スプーフィング試行の特定
  • 監視から実施への移行に伴う改善の追跡

DMARCeyeを使用することで、未加工のデータを管理する代わりに、ドメインの信頼性と配信性の向上に集中することができます。

今すぐDMARCeyeの無料トライアルをダウンロードして、メールドメインの保護を開始しましょう。
完全な記事を表示