DMARCポリシー

DMARCポリシー

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

スパマーは、メールの宛先で「From」住所を偽装し、受信者をだまして不正な活動を行うことがあります。もちろん、メールボックスプロバイダーはこのようなメールがユーザーの受信トレイに届くのを防ぎたいと考えていますし、メール送信者も自分のメールが改ざんされることを望みません。これらを実現する唯一の方法は、ドメイン認証技術を導入することです。

DMARC(ドメインベースメッセージ認証・報告・適合)は、Sender Policy Framework(SPF)およびDomainKeys Identified Mail(DKIM)を利用してメールを認証する技術です。DMARCにより、法人は認証されていないメールを自社ドメインから受信した場合の処理方法について、メールボックスプロバイダーの受信サーバーに指示を与えるポリシーを公開できます。

DMARCを導入すると、認証されていないメールが自社ドメインから送信された場合に、受信サーバーが実行できる3つの処理を指示できます。

操作を行わない
ポリシーを設計し、「p=なし」として設定できます。受信サーバーが認証されていないメールを識別した場合でも、何の操作も行わずにそのまま受け入れます。

メールを隔離する
ポリシーを設計し、「p=quarantine」として設定できます。受信サーバーが認証されていないメールを識別した場合、そのメールを受け入れたうえで、サーバー上の隔離フォルダーに保存します。これらのメールはサーバー管理者のみが閲覧できます。

メールを却下する
ポリシーを設計し、「p=却下する」として設定できます。このポリシーは受信サーバーに対し、認証されていないメールを却下するよう指示します。DMARC失敗レポートを分析することで、却下されたメールの詳細を確認できます。

DMARCの仕組み

DMARCは、他の2つのメール認証技術であるSPFとDKIMに依存しています。メールの宛先がDMARC検証に合格するには、SPF認証およびアライメント検証、またはDKIM認証およびアライメント検証のいずれかに合格する必要があります。

手順 1
DMARCポリシーを公開し、ポリシーに違反したメールの処理方法をメールボックスプロバイダーの受信サーバーに指示します。データが反映されるまでに最大24時間かかる場合があります。

手順 2
SPFとDKIMを実装することで、送信ドメインの認証を行う必要があります。SPFやDKIMを導入せずにメールを送信した場合、メールがバウンスする可能性があります。SPFとDKIMを実装した後にメールを送信すると、メールボックスプロバイダーの受信サーバーがDNSを利用して送信ドメインに対応するDMARCデータを識別します。受信サーバーは次の処理を行います:
  1. DKIMキーの認証
  2. メールがSPFデータに記載されているIPアドレスから送信されたか認証
  3. メールメッセージのヘッダーが正しいドメインアライメントを示しているか認証
手順 3
‌受信サーバーはDMARCポリシーを適用し、ポリシーで定義された指示を実行します。

手順 4
‌受信サーバーは、メールの宛先の処理状況について、DMARCデータに記載されたレポート用メールアドレスにレポートを送信します。

DMARCデータの解読

以下はDMARCデータのサンプルです
v=DMARC1\; p=なし\; rua=mailto:dmarc-aggregate@mydomain.com\; ruf=mailto:dmarc-afrf@mydomain.com\; pct=100

v - 使用中のDMARCのバージョンを示します。
p - 法人が設定したポリシーを示します。
rua -SPFおよびDKIMの検証結果、送信および受信ドメインに関する情報、認証成功の割合(%)などの詳細をまとめたレポートが送信されるURIを示します。
ruf -SPF/DKIM認証失敗の詳細レポートが送信されるメールアドレスを示します。
pct -ポリシーが適用されるメールの割合(%)を示します。

DMARCレコードの実装方法

DMARCの実装は、以下の3つのステップで構成されています。詳細はその他をご覧ください:
  1. SPFおよびDKIMレコードの認証
  2. DMARCレコードの生成
  3. レコードをドメインのDNSに追加

SPFおよびDKIMレコードの認証

SPFおよびDKIMレコードが認証され、正しく整合しているかを確認する必要があります。DMARCを実装するためには、ドメインにSPFおよびDKIMレコードを設定することが必須です。SPFまたはDKIMレコードの認証または整合性チェックが失敗した場合、DMARCテストも自動的に失敗となります。
SPF / DKIMの整合性を確認する方法:
  1. SPFレコードの場合、「fromアドレス」と「return-pathアドレス」が一致していることを確認
  2. DKIMレコードの場合、「fromアドレス」とレコードの「d」タグが一致していることを確認

DMARCレコードの生成

DMARC.orgで推奨されているツールを使用して、新規DMARCレコードを生成できます。

DMARCレコードをドメインのDNSに追加

最後の手順は、DMARCレコードをTXTレコードとしてDNSサーバーに追加することです。各ドメインホスティングプロバイダーによって、この作業の手順は異なります。この最終手順はご自身で行うことも、ドメインホスティングプロバイダーにサポートを依頼することも可能です。 

DMARCレポートを受け取るメールアカウントの選択

メールのパフォーマンスに関するレポートを受け取るためのメールアカウントを選択する必要があります。レポート用の専用メールアカウントを利用することで、他のメールに埋もれて見逃すリスクを減らすことができます。これらのレポートは、メールのパフォーマンス状況を把握し、受信者とのコミュニケーション方法を改善する際に役立ちます。

DMARC実装のメリット

DMARCを実装することで、次のようなメリットがあります:
  1. 不正利用者による送信者ドメインのなりすまし(スプーフィング)活動を防止できます。
  2. DMARCの導入により、メールボックスプロバイダやアンチスパムサービスからの信頼性が向上し、メール配信率が改善します。
  3. 送信したメールを監視でき、認証されていないメールが送信された際にメールボックスプロバイダーがどのように処理するかをコントロールできます。
Zoho Marketing自動化では、SPF・DKIM・DMARCの実装を強く推奨しています。これはメールを保護する最も効果的な方法です。送信者ドメインのSPFおよびDKIM TXTレコードの設定については、こちらのヘルプ記事をご参照ください。