DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、電子メールの送信元認証を強化し、フィッシングやスプーフィングを防ぐためのセキュリティ標準です。
これを設定することで、不正なメールが受信者に届くリスクを減らし、ドメインの信頼性を高めることができます。
DMARCを実装するには、SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)の設定が基盤となります。それぞれ、メールが正規の送信元から来ていることを確認し、DMARCの効果的な運用を支えるために不可欠です。
目次
DMARCの設定方法
1. SPF と DKIM の設定確認
DMARC を実装する前に、SPF と DKIM が適切に設定されていることを確認してください。これらは、DMARC が正しく動作するための基盤となる認証方法です。
2. DMARC レコードの作成
DMARC レコードは、TXT レコードとしてドメインの DNS に追加します。以下は、基本的な DMARC レコードの例です。
① HOST
_dmarc.お客様のメールアドレスのドメイン
DNS設定を行う管理ツールの仕様に合わせてください。
② TYPE
TXT
③ DATA
v=DMARC1; p=none; rua=mailto:[レポートを受け取るメールアドレス]
v
- DMARC バージョン。常に "DMARC1" とします。
p
- ポリシー。この例では "none" が設定されていますが、他にも "quarantine" や "reject" といったポリシーを設定することができます。
rua
- アグリゲートレポートの受取先メールアドレス。認証結果に関するレポートがこのアドレスに送信されます。
3. DNS に DMARC レコードを追加
作成した DMARC レコードを、_dmarc.[メールアドレスのドメイン名] の名前で、TXT レコードとしてドメインの DNS に追加します。
4. DMARC レポートの確認
DMARC を設定した後、rua で指定したメールアドレスにレポートが送信されるので、これを確認して認証の状態をモニタリングしてください。
よくある質問
Q. DMARCポリシーの種類は何ですか?
A. 3種類あります。下記を参考に設定してください。
none
-
監視モードで、DMARC違反メールに対してアクションを取らず、レポートのみを提供。初期段階でのリスク評価や問題の特定に適しています。
quarantine
-
DMARC違反メールを隔離(例:スパムフォルダーへの移動)することを推奨。一定のセキュリティを確保しつつ、誤検知のリスクを低減させる運用に適しています。
reject
-
DMARC違反メールを完全に拒否。フィッシングやスプーフィングのリスクが高い環境での利用に適しており、最も厳格なセキュリティを提供します。
Q. DMARCレポートはどのようなものですか?
A. DMARCレポートは、メール受信者(通常はISPや大規模なメールサービスプロバイダ)からメール送信者に送られます。レポートには、ドメインから送信されたメールの認証結果、ポリシー適用状況、そして認証失敗の詳細が含まれています。