DMARCレコードが設置されると、問題に遭遇することも少なくありません。今まで問題なく届いていたメールが突然スパムに届いたり、正当な送信者が認証に失敗したり、レポートに奇妙な結果が表示されたりすることがあります。
DMARCはなりすましに対する強力な保護をもたらしますが、同時に正確さも要求されます。たった一つの構文エラーやドメインのズレが、メールシステム全体に障害を引き起こす可能性があります。
このガイドでは、最も一般的なDMARCの問題、その特定方法、修正方法を順を追って説明します。また、DMARCeyeを使用することで、そのプロセスをより簡単かつ迅速に行う方法もご紹介します。
セットアップから継続的な監視、そしてその後のDMARC実装の完全な概要とロードマップについては、 DMARC監視とコンプライアンスガイドをご覧ください 。
一般的なDMARCの問題とその解決方法
以下は、DMARCに関連する最も頻繁に発生する6つの問題と、手動およびDMARCeyeのダッシュボードを通じた問題の特定および修正方法です。
1.SPFの失敗
症状
- DMARCレポートに、既知の送信者について "spf=fail "と表示される。
- 正当なメッセージが隔離または拒否される。
原因
- SPFレコードにIPがない、または古い。
- サードパーティプロバイダ(CRM、マーケティングプラットフォーム、発券システムなど)から送信されたメールがSPFに含まれていない。
- DNSに複数のSPFレコードがある。
対処法
症状
- DMARCレポートで、信頼できる送信者であっても「dkim=fail」と表示される。
- 受信サーバーがDKIM署名を検証できない。
原因
- DKIMキーがDNSで正しく公開されていない。
- 設定で間違ったセレクタを使用している。
- メールサービスがDKIM設定を変更し、DNSが更新されていない。
修正する
- DKIMレコードが有効で正しいことを確認してください。ドメインとセレクタ(例:
selector1._domainkey.yourdomain.com)を使用して確認してください。
- レコードが
v=DKIM1; k=rsa; p=...
- レコードがないか壊れている場合は、新しいDKIMキーを生成して再公開する。
- テストメッセージを再送し、DKIM検証に合格することを確認する。
3.アライメントの問題
症状:
- SPFとDKIMの両方がパスしているが、DMARCはまだ失敗している。
- header from "ドメインがSPFまたはDKIMレコードのドメインと一致しない。
原因
- サブドメインの不一致(例:
mailer.yourdomain.comと yourdomain.com)。
- サードパーティの送信者が、ヘッダーであなたのドメインではなく独自のドメインを使用している。
修正する
- DMARCのアライメント設定を見直す:
aspf=r; adkim=r
- 「r」はアライメント緩和(サブドメイン可)を意味します。厳格なアライメント
(aspf=s; adkim=s)を実施している場合、ドメインは正確に一致する必要があります。
- 複数のサブドメインやサードパーティの送信者を使う場合は、アライメントを緩和してください。
- 厳密なアライメントを希望する場合は、各システムが正確なドメインで電子メールに署名するように設定してください。
4.DMARCレコード構文エラー
症状
- レポートが届かない。
- テストツールで "無効なDMARCレコード "と表示される。
- メールボックスプロバイダーがポリシーを無視する。
原因
- セミコロンの欠落、タイプミス、タグの書式間違い。
- 引用符や改行が誤って追加される。
対処法
- DMARCレコードをバリデータ(dmarcian.comやMxToolboxなど)にコピーします。
- DMARCレコードが正しいフォーマットであることを確認してください:
v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; aspf=r; adkim=r
- 不要なスペースや改行を削除する。
- 再公開し、再度テストする。
5.サードパーティの認証が見つからない
症状
- 特定のサービス(CRMやニュースレターなど)が常にDMARCに失敗する。
- 同じベンダーのIPが失敗したソースとしてレポートに表示されます。
原因
対処法
- ベンダーがカスタムのDKIMまたはSPF設定をサポートしているかどうかを確認します。
- SPFインクルード(提供されている場合)をDNSレコードに追加します。
- プラットフォームが許可していれば、DKIMキーを生成して公開する。
- 不可能な場合は、その送信者専用のサブドメイン(例:
news.yourdomain.com)の使用を検討する。
6.DMARCレポートが届かない
症状
原因
ruaまたはrufタグのメールアドレスが無効、または到達できない。- 受信メールボックスが大きなXML添付ファイルを拒否している。
- プロバイダーがまだレポートの送信を開始していない(最大48時間かかる場合があります)。
修正
- 記録の報告アドレスを再確認してください:
rua=mailto:dmarc-aggregate@yourdomain.com; ruf=mailto:dmarc-forensic@yourdomain.com
- これらの受信トレイが添付ファイルを受信できることを確認してください。
- DMARCモニタリングツールを使用して、すべてのプロバイダーでより確実にレポートを収集する。
レポートの使用による問題の特定と解決
DMARC集計およびフォレンジックレポートは、最高のトラブルシューティングツールです。
以下のようなパターンを探してください:
- 単一IPからの一貫したSPFまたはDKIMの失敗(設定の問題である可能性が高い)。
- 不明なIPアドレスが大量に送信している(なりすましの可能性あり)。
- 正当な送信者がDKIMに失敗しているが、SPFはパスしている(そのサービスのDKIM設定をチェックする必要があることを意味する可能性がある)。
時間の経過とともに、これらのレポートは、各不具合の原因を修正し、実施に向かうにつれて改善を示していきます。
DMARCeyeはどのようにトラブルシューティングを迅速化するか
新しいベンダー、新しいサブドメイン、ポリシーの変更はすべて潜在的な弱点を生み出すため、すべてのDMARCレコードは最終的に微調整が必要になります。DMARCeyeは継続的な監視レイヤーとして機能し、DMARC、SPF、DKIMの設定が意図した通りに機能し続けることを保証します。
DMARCeyeを使用することで、以下のことが可能になります:
- 配信に影響が出る前に認証の問題を検出し、修正することができます。
- 全てのドメインにおけるなりすましの試行を監視します。
- 手動でXMLを解析することなく、ポリシーに準拠した一貫性のあるセットアップを維持します。
- データに裏打ちされた信頼性で、
p=noneから p=rejectに安全に移行できます。
複雑なDNSトラブルシューティングを明確で実用的な洞察に変えます。
今すぐDMARCeyeの無料トライアルを入手して、メールドメインの保護を開始しましょう。