もくじ
DMARCとは?
SPFおよびDKIMの認証を確認し、なりすまし対策のポリシーを定義するものがDMARCです。
※DMARCは Domain-based Message Authentication, Reporting, and Conformance の略です。
DMARCは、SPFによる「ドメインの正当性」と、DKIMによる「内容の正当性」の両方を検証することで、双方の弱点をカバーすることができます。
DMARCの利用により、送信者としては、なりすましメールのリスクを低減しドメインの信頼性を高め、メール到達率の向上につなげることができます。また、受信者としては、なりすましメールが受信トレイに届くのを防ぎ、安心してメールを確認できます。
DMARCの設定方法
DMARCフィードバックを受信するメールアドレスの準備
1日1回以上の頻度で送られるDMARCフィードバックメールを受信するためのメールアドレスを準備します。
通常の業務用メールとの混在を避けるため、DMARCフィードバック用に新たなメールアドレスを作成することを推奨します。
(例) dmarc-reports@example.com
DNSサーバーへDMARCポリシーを設定
Header FromアドレスドメインのDNSサーバーに、DMARCポリシーを定義したTXTレコードを設定します。
- TXT レコード名(必須)
_dmarc.example.com
_dmarc.は、固定値として必ず記載します。
example.comは、Header Fromアドレスのドメインを記載します。
- TXTレコード値(推奨設定値)
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; pct=50
- DMARCポリシー設定値の詳細
| 項目 | 設定値 | 説明 |
| v ※必須 |
DMARC1 | DMARCのバージョン(固定値) |
| p ※必須 |
none:何もしない(通常通り受信する) quarantine:迷惑メールに振り分ける reject:受信拒否する |
ポリシーの運用方法(いずれかを設定) |
| rua |
dmarc-reports@example.com | レポート送信先のアドレス |
| pct | 1~100もしくは削除 | ポリシーが適用されるメールの割合 初期値を小さな数値(50)から開始し、DMARCフィードバックのエラーレポート内で自責のエラーが少なくなってきたら数値を増やしていき、最終的には100(もしくはpctパラメータを削除)する |
補足情報:DMARCフィードバックの確認
DMARCフィードバックを活用して、送信したメールの扱い方法を確認し、必要に応じて設定内容を改善します。
DMARCフィードバックは、DMARCフィードバックを受信するメールアドレスに対して1日に1回以上の頻度で送られます。また、DMARCフィードバックのレポートはXML形式で提供され、受信者がどのメールをどのように処理したかについて記録されています。
DMARCレポートの分析方法
- レポートの基本構成を理解する
- レポート識別情報:レポートがいつ、どのドメインに対して生成されたかを示します。
- ポリシー公開情報:あなたのドメインに設定されているDMARCポリシーの詳細です。
- レコード詳細:個々のメール送信事例に関する具体的な情報が含まれます。
- 重要な項目を確認
- ソースIP:メールを送信したサーバーのIPアドレス
- カウント:ソースIPから送信されたメールの件数
- DMARC結果:メールがDMARC認証に合格したか(”pass”または”fail”)
DMARC認証に合格したメールは、安全な送信元からメールが届いているとみなされます。
一方、DMARC認証に失敗したメールは、レポートの内容から原因を理解し、対策することが必要です。
(例)SPFやDKIMの認証失敗
- 設定内容の見直し
- DNSの登録内容を修正
SPFやDKIMの設定に誤りがある場合は、正しい内容に修正します。
(例)DKIMを第三者署名から作成者署名へ変更 - DMARCポリシーの強化
DMARCポリシーを「none」から「quarantine」や「reject」へ段階的に移行し、不正なメールを効果的にブロックします。
- DNSの登録内容を修正
このようにDMARCレポートを定期的に分析し、その情報を活用することで、電子メールのセキュリティを維持し、ドメインの健全性を高めることができます。各ステップに従って、具体的な改善点を特定し、対策を講じましょう。
