DMARCとは？設定方法からDMARCレポートの読み方まで徹底解説

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、送信ドメイン認証技術の一つであり、迷惑メール対策に有効な技術といわれています。

メールセキュリティを強化し、フィッシング攻撃やなりすましメールを避けるためには、DMARCを含めたメール認証が欠かせません。

また、迷惑メール対策以外にもメール配信状況の把握や、認証に失敗したメールの取り扱いなども設定可能です。

この記事では、DMARCに関する基礎知識やDMARC以外のドメイン認証技術、導入するメリットなどを紹介します。

DMARCと関連用語

まずは、DMARCの概要を解説します。併せて、DMARCと関連のある用語についても見ていきましょう。

DMARCとは

DMARCとは、2012年2月に発表されたドメイン認証技術のことです。既存のドメイン認証技術であるSPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）を組み合わせて考えられました。

現代で広く運用されているドメイン認証技術であり、ドメインのなりすましやメールの信頼性の確認が可能です。この機能により、ビジネスメール詐欺やフィッシング詐欺から身を守れるようになるため、幅広い企業で導入されています。

DMARCポリシーとは

DMARCポリシーとは、送信したメールがDMARC認証に失敗した時にどのような処理をするか処理方法を定めたものです。

定めた処理方法（ポリシー）をDMARCレコードで指定し、認証に失敗したメールを処理します。指定できるDMARCポリシーは以下の通りです。

none	認証に失敗しても配信を継続する（メールは監視する）
quarantine	認証に失敗したら迷惑メールフォルダに隔離する
reject	認証に失敗したら削除する（拒否）

DMARCレポートとは

DMARCレポートはメール認証結果をフィードバックする機能のことで、配信したメールの分析が可能です。DMARCレポートには、以下の2種類があります。

集約レポート（ruaレポート）

受信者が受け取ったメールの認証結果をまとめたレポートです。集約レポートを読み解けば以下のことがわかります。

• レポートを送信した組織
• 参照したDMARCポリシー
• SPF/DKIMの認証結果
• 送信時に使用したIPアドレス
• 配信した数
• SPF/DKIMアライメントの認証結果

失敗レポート（rufレポート）

SPF/DKIMの認証に失敗した時に送信されるレポートで、認証に失敗したメールをいち早く検知するために考えられました。しかし、レポート内容にプライバシー情報が含まれることからプライバシーを懸念する声が上がり、失敗レポートを送信しないプロバイダーも存在します。なお、レポートを送信する条件はDMARCレコードで設定できます。

集約レポートの場合XML形式、失敗レポートではAFRF形式で送信されるため、レポートの解読が困難な場合もあるでしょう。そんな時は、レポートの解析サービスを利用することをおすすめします。

DMARCレコードとは

DMARCレコードは、認証に失敗したメールの処理方法をテキストファイルで指定します。

そのため、DMARC認証を導入するのであれば、DNSサーバーにDMARCポリシーを登録する必要があります。DNS TXTレコードとして公開することで認証可能です。

DMARCの仕組み

ヘッダーFromに記載されているドメインとSPF/DKIM認証に成功したドメインが一致していれば、DMARC認証も成功します。

SPFまたはDKIMのどちらか一方だけを正しく設定し、運用することでもDMARCを利用することが可能ですが、最大限のセキュリティと互換性を確保するために、SPFとDKIMの両方を適切に設定し、利用することが推奨されます。

DMARC以外のメール認証

ドメイン認証技術には、DMARCのほかにSPFとDKIMがあります。それぞれ以下にて詳しく見ていきます。

SPF

SPFは、メール送信元ドメインが詐称されていた場合、検知が可能な仕組みです。

インターネット上のメールのやり取りでは、主にSMTP（Simple Mail Transfer Protocol）というプロトコルが使用されます。しかし、このプロトコルは簡単にメールアドレスを詐称できる欠点があるため、簡単になりすましメールの送信ができてしまいます。

SPFはSMTPを使ったメールアドレスの詐称（なりすましメール）を防ぐためのドメイン認証技術です。

関連記事：【優しく解説】SPFレコードとは？なりすましを防ぐ仕組みや設定方法

DKIM

DKIMは、メール送信元の電子署名を受信側が検証し、なりすましメールやメール内容の改ざんを検知する仕組みです。

電子署名の検証で使用される公開鍵は、送信元ドメインのDNSサーバーで公開されています。受信側はメールに記載されている情報からドメインを特定し、DNSサーバーへ問い合わせを行うことで公開鍵を取得するのです。なお、電子署名は送信者が自身で行う必要はなく、MTAやMSAといった第三者に設定してもらうこともできます。

関連記事：DKIMの設定・確認方法を解説！Gmailでは設定が必須に！？

DMARCのメリット

DMARCを使用すると、認証失敗メールの処理方法を指定できるほか、DMARCレポートにより認証結果がわかり、第三者署名を拒否できます。

さらに、サプライチェーンを守り、顧客サービスコストを削減できること、そしてメール到達率を向上させることができます。

これらについて詳しく解説していきます。

認証失敗メールの処理を指定できる

DMARCは、前述の通り認証に失敗したメールの処理方法をnone・quarantine・rejectの3つから指定できます。。これにより、メール送信ポリシーの問題を特定し、修正することが可能になります。

フィッシング詐欺対策を重視したいならrejectがおすすめです。しかし、rejectに設定するとまれにDMARC認証で誤判定が発生し、問題のないメールでも拒否されることがあります。そのため、場合によってはnoneに設定してメールの処理方法を受信者に一任するのが効果的です。

DMARCレポートで認証結果がわかる

DMARCレポートでわかるのは、認証結果だけではありません。その他でわかることは以下の通りです。

• DMARC認証に合格したメールの割合
• DMARC認証に失敗したメール送信元サーバー/サービス
• DMARC認証に失敗したメールをどうやって処理したか

仮にDMARCポリシーをnoneに設定していても、DMARCレポートを確認するとエラー情報やなりすましメールである割合もあります。そのため、DMARCレポートを定期的に確認することで現在使用しているドメインの信頼性が把握できます。

第三者署名を拒否できる

第三者署名を拒否できるのもDMARCのメリットといえるでしょう。外部メール配信サービスを利用してメールを配信しようとしても、Return-Pathがサービスのドメインになっている場合、アライメントに失敗します。なぜなら、ヘッダーFromのドメインとReturn-Pathのドメインが一致しないためです。

なお、アライメントとはヘッダーFromドメインとSPF/DKIMで認証したドメインが一致するか照合することです。したがって、SPFで一致すればSPFアライメント、DKIMで一致すればDKIMアライメントという意味になります。

たとえSPF/DKIMアライメントのどちらかが合格していたとしても、ヘッダーFromのドメインと一致しないことが原因でアライメントに失敗すると、DMARC認証に失敗した判定になるのです。

サプライチェーンを守ることができる

DMARCを導入すると自社の従業員や顧客、取引先企業を狙った不正なメールをブロックできます。

ビジネスメール詐欺やフィッシング詐欺などを防止できるため、DMARCの導入はサプライチェーンを守ることにもつながるのです。また、現在使用しているドメインを含むメールアドレスの安全性も把握できます。

顧客サービスコストを削減できる

詐欺による被害を防止できることは、顧客サービスコストの削減を可能にします。顧客が被害に遭うケースが減ることで、顧客からの苦情や相談を最小限に抑えられるためです。

メール到達率を向上できる

DMARCはビジネスメール詐欺やフィッシング詐欺を防止するため、健全にメールを配信できます。

結果として、メール到達率の向上だけでなく、顧客のエンゲージメントも向上する見込みがあるため、会社として健全なメール配信環境が整います。

DMARC・DMARCレポートの設定方法

DMARCを設定するには、まずDMARCポリシーレコードを自社のDNSサーバーに登録しなければなりません。

DNSサーバーのTXTレコードにDMARCポリシーレコードを追加する場合の設定例は以下の通りです。

_dmarc.blastmail.co.jp.　　IN TXT　 “v=DMARC1; p=none; rua=mailto:report@blastmail.co.jp; ruf=mailto:ng_report@blastmail.co.jp “

上記の設定例のように1行のテキストで追加する方法が一般的です。タグ（v/p/ruaなど）と値を=で指定することでそれぞれの項目を設定できます。また、各項目はセミコロンで区切って記載します。

DMARCレポートの読み方

前述の通り、DMARCレポートは集約レポートと失敗レポートがあり、特に集約レポートはXML形式で配信されるため可読性に欠けます。効率的な読み方については後述しますので、まずはどういった要素が記載されているか知っておくとよいでしょう。

集約レポートの内容は<report_metadata>、<policy_published>、<record>の3つに分かれており、ここからは範囲ごとの読み方を解説します。

<report_metadata>

DMARCレポートの<report_metadata>セクションは、レポート自体の情報を提供します。具体的には、レポートが誰によって作成されたか、どの期間にわたるデータが含まれているか、そしてレポートのIDなどのメタデータを含みます。

このセクションは、レポートの解析を始める際の出発点となり、どのドメインがレポートを送信したか、どの期間のデータが分析されているかを理解するのに役立ちます。

• org_name
  レポートを生成した組織の名前です。これは通常、レポートを受信したメールメッセージを受信したメールサービスプロバイダ（ISP）の名前になります。
• email
  レポートに関する問い合わせを行うための連絡先メールアドレスです。何か疑問がある場合に、このアドレスに問い合わせることができます。
• extra_contact_info
  連絡先に関する追加情報を提供することができます。これには、ウェブサイトのURLや電話番号が含まれる場合があります。
• report_id
  このレポートの一意の識別子です。同じ送信元から複数のレポートを受け取る場合、このIDを使って特定のレポートを区別することができます。
• date_range
  このレポートがカバーする期間です。開始日時と終了日時が含まれ、これによりレポートのデータがどの期間に関するものかがわかります。

以下は、セクションの一例です。

<policy_published>

DMARCレポートの<policy_published>セクションは、レポートの対象となるドメインのDMARCポリシーの詳細を提供します。このセクションは、どのようなDMARCポリシーがその期間に適用されていたかを理解するのに役立ちます。

• domain
  レポートの対象となるドメイン名です。このドメインに対してDMARCポリシーが適用されています。
• adkim
  DKIMのアライメントモードです。”r”はリラックスモード（relaxed mode）、”s”は厳格モード（strict mode）を意味します。
• aspf
  SPFのアライメントモードです。”r”はリラックスモード、”s”は厳格モードを意味します。
• p
  ドメインのDMARCポリシーです。”none”、”quarantine”、”reject”のいずれかです。
• sp
  サブドメインのDMARCポリシーです。メインドメインと異なるポリシーをサブドメインに適用したい場合に指定します。
• pct
  ポリシーが適用されるメールの割合です。例えば、”100″はすべてのメールにポリシーを適用することを意味します。

以下は、セクションの一例です。

<record>

DMARCレポートの<record>セクションは、個々のメールイベントの詳細を報告します。このセクションでは、具体的なメールメッセージがDMARCポリシーにどのように対応しているかを見ることができます。

• source_ip
  メールを送信したIPアドレスです。
• count:
  のIPアドレスから送信されたメールの件数です。
• policy_evaluated
  メールがDMARCポリシーに基づいてどのように評価されたかを示します。
• disposition
  メールに適用された最終的なアクションです。”none”、”quarantine”、”reject”のいずれかです。
• dkim
  DKIM認証の結果です。”pass”、”fail”のいずれかです。
• spf
  SPF認証の結果です。”pass”、”fail”のいずれかです。

以下は、セクションの一例です。

DMARCレポートの解析ツール

上記見出しで紹介した方法を使って集約レポートを読み解く方法も有効ですが、毎日定期的にレポートが配信されるため、自力での解析が困難な場合もあります。

大量のレポートを自力で解析するのは現実的とはいえず、大量のレポートの解析に時間をかけていてはDMARC本来のメリットを生かせなくなります。

そこでおすすめしたいのが、Dmarc Report AnalyzerのようなDMARCレポートの解析ツールを使用することです。

メール配信はDMARCが設定できるシステムを利用する

メール配信時にSPFやDKIM、DMARCが設定できるシステムの利用は、フィッシング詐欺やなりすましメールから受信者を保護し、送信元の信頼性を高める重要なステップです。自社での対応は難しい領域でもありますので専門のメール配信システムを利用するのがよいでしょう。

また、メールの配信に問題が続いてしまうと、ビジネスにとって致命的な状況になります。そのため、月額料金が安く、実績のある信頼できるサービスを利用することをおすすめします。

メールの利用シーンは大きく3つあります。

1. 会員登録時や決済情報の通知などに使用するシステムメール
2. 社内のSMTPサーバの代替として利用するSMTPメール
3. メルマガ配信などの一斉送信

1つ目と2つ目の場合、SMTPリレーサービスの「ブラストエンジン(blastengine)」を活用することがおすすめです。3つ目のケースでは、シェア1位のメール配信システム「ブラストメール」を利用することが最適です。

それぞれの詳細について、以下で詳しく説明します。

SMTPリレーサービス「ブラストエンジン(blastengine)」の活用

ブラストエンジンは、SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。

ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。

以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。

• 自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
• 国内キャリアにメールが届かず、対応方法がわからない場合
• 自社でメールサーバーを管理・運用したくない場合

また、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。SPF・DKIM・DMARCの設定ももちろん可能です。

利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。

メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。

シェア1位のメール配信システム「ブラストメール」の活用

ブラストメールは、13年連続で顧客導入シェア1位を獲得している信頼性の高いメール配信システムです。ブラストエンジンとは異なり、メルマガなどのメール一斉送信に利用することができます。

このメール配信システムの特徴は、使いやすさとコストパフォーマンスの高さです。さまざまな業種や官公庁でも利用されており、定番のメール配信システムとして広く知られています。

SPF・DKIM・DMARCなどの迷惑メール対策機能はもちろん、セグメント配信や効果測定、HTMLメールエディタなど、基本的な機能がすべて揃っています。最も安いプランでも、月額4,000円以下で導入することができます。

シンプルで安価なため、初めてメール配信システムを利用してみたい方にもおすすめです。無料トライアルも用意されているので、まずは試してみることをお勧めします。

まとめ

DMARCを導入すれば、認証に失敗したメールの処理方法の指定やサプライチェーンの保護も可能になります。

一方、DMARCを導入すると毎日定期的にDMARCレポート（特に集約レポート）が配信されますが、自力での解析は困難でしょう。

解析に時間をかけ、DMARC本来のメリットを生かせないようでは本末転倒となるため、自力での解析が困難な場合はDMARCレポートの解析ツールの導入を検討してみてください。