DMARCとは？仕組みから設定方法、メリット・デメリットまで徹底解説

DMARCとは？

DMARCとは、送信元ドメインを認証する仕組みの1つで、フィッシングメールやなりすましを検知する効果が期待されています。
ドメイン所有者があらかじめ設定を施しておくことで、メールの認証結果に応じた扱いを宣言出来るようになります。

当然、正当なメール以外は認証に失敗するようになるため、結果としてなりすましメールの防止につながります。また、レポート機能によりなりすましメールがどの程度送信されているかの把握も出来るようになることが特徴です。

2012年頃から生まれた技術ではありますが、これまでは対応は任意でした。しかしながら、2024年7月現在、前述のとおり多くのメールサービスでいよいよ対応の厳格化が始まっています。

DMARCの仕組みと関連技術

次に、DMARCの仕組みと関連技術について、以下の内容を紹介していきます。

• SPFによる送信元ドメインの認証
• DKIMによるメールの完全性確認
• DMARCポリシーによるメール処理の制御
• DMARCレポートによる認証結果の可視化

SPFによる送信元ドメインの認証

SPFはメールの送信ドメイン認証技術の1つです。
SPFはメール送信側≒メール送信元ドメインの所有者が「このドメインからはこのIPアドレスからメールを送ります」と宣言を行う仕組みです。受信側はメール受信時に送信元ドメインのDNSサーバーでSPFを参照し、メールを送ってきたサーバーのIPアドレスが正しいかどうかを認証します。これにより、メール送信元つまりFromアドレスをなりすましたメールでないかのチェックが出来るというわけです。

ただし、SPFはメール転送の場合には正しく機能しないという弱点があります。この弱点は次に説明するDKIMやDMARCを併用することでカバーができます。

DKIMによるメールの完全性確認

DKIMも送信ドメイン認証技術の1つです。
DKIMは電子署名を用いてメール自体の完全性を確認する仕組みです。

メール送信側が秘密鍵をかけて電子署名を求める仕組みを構築し、受信側は対象ドメインのDNSサーバーに問い合わせて公開鍵を用いて署名照合します。
これにより、メールの送信元情報や本文などが改ざんされていないかの確認が可能になります。

DKIMとは？送信ドメイン認証（SPF/DMARC）の仕組みと迷惑メール対策

DMARCポリシーによるメール処理の制御

DMARCにはSPFやDKIMの認証が失敗した場合に、受信側が当該メールをどのように取り扱うかを宣言する仕組みがあります。これがDMARCポリシーです。

ポリシーは3段階あり、どれを宣言するのかは送信側の任意です。一番厳しいポリシーは「認証に失敗したメールは破棄する(reject)」です。
なりすましメールを防止するにはこれを宣言することが適切ですが、SPFやDKIMの設定不備があった場合には正しいメールも破棄されてしまいます。

そのため、次に説明するレポート機能を活用して、自分が送る全てのメールが正しく認証されることを確認してから宣言するという進め方が適切です。

DMARCレポートによる認証結果の可視化

DMARCレポートは、その名の通りDMARC認証の結果をまとめたレポートです。
レポートを確認することで、自分のドメインから送られているメールの認証結果を確認することが可能です。送信元情報としてIPアドレスも記録されています。
自分が使っているメールサーバーからのメールが正しく認証されているかを確認しましょう。
自分たちが忘れていたメールサーバーやサービスなどが見つかるかもしれません。

DMARCを設定するメリット

次に、DMARCを設定するメリットについて、以下の内容を紹介していきます。

• なりすましメールやフィッシング詐欺の防止
• ブランドイメージと信頼性の向上
• メールの到達率の改善

なりすましメールやフィッシング詐欺の防止

DMARCを設定しておくと、なりすましメールやフィッシング詐欺が防止できます。
送信元を偽り、不正なメールを送って入金・重要情報の取得を狙うケースが少なくありません。
DMARCで送信元のドメインの認証ができると、簡単になりすましメール・フィッシング詐欺の判断が可能です。

ブランドイメージと信頼性の向上

DMARCを設定することで、ブランドイメージ・信頼性の向上に繋がりやすいです。
メールを送信する前に認証が行われると、安全性の高いメールだけがきちんと送信者に送信されます。

安全なメールだけを送ることができていると、安全性の高いメールを送ってくれるクライアントだと認識されます。
逆に、不正メールの問題が多発する企業は重要情報の漏洩の危険性があると判断されて避けられやすいです。

メールの到達率の改善

DMARCはメールの到達率の改善や維持のためにも対応が必要です。
ここまでに説明してきたとおり、著名なドメインでは対応の必須化がアナウンスされています。対応していることが当たり前、対応していないメールは受け付けてもらえなくなる。そういう世界にもうなり始めています。

メール配信の到達率を上げる方法とは？IPレピュテーションスコアの確認

DMARCの潜在的なデメリット

次に、DMARCの潜在的なデメリットについて、以下の内容を紹介していきます。

• 導入・運用における管理者の負担増加
• DMARCに対応していないシステムの存在
• DMARCレコードの設定やレポートの解析に専門知識が必要

導入・運用における管理者の負担増加

DMARCを導入すると、導入時と運用・管理時に専門のスタッフを割り当てる必要があり、そのスタッフの負担が増加します。
DMARCは導入すれば勝手に運用・管理できるものではありません。

継続的なメンテナンスが必要で、正しく機能させ続けないとセキュリティ問題につながるため、責任も重い業務になってきます。

物理的にも精神的にも負担の大きいタスクを担う人材がいるかどうかを考えて、DMARCを導入するか考えることが重要です。

DMARCに対応していないシステムの存在

DMARCは2012年から存在する技術ではありますが、まだDMARCに対応しているメールシステムが少ないです。そもそもメールシステムに導入できなければDMARCは使えません。

ただ、GoogleやYahoo!をはじめとする大手企業でメールシステムにDMARCの対応を施しており、今後DMACRに対応するメールシステムは増えると言われています。

まずは今現在、自社で採用しているメールシステムがDMARCに対応しているか確認してください。
DMARCに対応していないシステムであった場合には、対応しているシステムへの変更を推奨します。

【2024年】メール配信システムのおすすめ比較ランキング15選！一斉送信サービス一覧

DMARCレコードの設定やレポートの解析に専門知識が必要

DMARCレコードの設定は、レコードの設定値の知識やDNSサーバーへの登録が必要となります。

仮に設定ミスがあった場合、悪質なメールへの対応だけでなく、本来届かなければならないメールまで認証されないケースも出てきます。
DMARC単体の知識だけでなく、SPF・DKIMの知識を深めて正しい設定を施すことを忘れないでください。

また、DMARCレポートで認証の状況が判断できると説明しましたが、DMARCレポートの中身を把握するために専門知識が求められます。
DMARCレポートはxmlファイルで、専用のソースコードで構成されています。
HTMLやCSSとは異なる独自のコードの知識がなければレポートが解読できません。

DMARCの維持・管理スタッフを確保する際に、人手不足と言われているIT人材の中からDMARCに対応できる人材を探す必要があります。
上記の点を踏まえて必要な人材が確保できるか、現状を冷静に分析しましょう。

また、DMARC対応や対応後の運用をサービス提供している企業もあります。自社での対応が難しければそういったサービスの利用も検討してください。

DMARCの導入と設定方法

次に、DMARCの導入と設定方法について、以下の内容を紹介していきます。

• SPFの設定
• DKIMの設定
• DMARCの設定

SPFの設定

まずはSPFを設定します。
メールの送信側がDNSサーバーに所定の記述に従ったTXTレコードを登録・公開します。

DKIMの設定

次に、DKIMを設定します。
DKIMはレコード登録だけで済ませられず、秘密鍵と公開鍵の準備が必要な分SPFよりも手間がかかりやすいです。
2つの鍵が準備できたら、DNSサーバーに公開鍵の情報をTXTレコード形式で公開します。
そこまで情報公開することで、受信者側が鍵を使って認証できるようになります。

DMARCの設定

SPFとDKIMを設定したら、DMARCレコードを設定します。
DMARCレコードは以下の形式で設定してください。

「_dmarc.」の後ろにメールサーバーのドメインを設定します。
次に、「p＝」の後ろにドメイン認証が失敗してしまった場合のポリシーを設定してください。
ポリシーには、「none（放置）」、「quarantine（隔離）」、「reject（受信拒否）」のいずれかを設定します。
最後に、「rua＝」の後ろに、レポートを受信するメールアドレスを設定しましょう。

DMARCの動作確認をする方法

次に、DMARCの動作確認をする方法について、以下の内容を紹介していきます。

• プロバイダーにメールを送信し確認する
• DMARC対応状況をチェックするオンラインツール

プロバイダーにメールを送信し確認する

DMARCが正常に作動するか確認する方法として、プロバイダーにメールを送信して確認する方法があります。

Googleを使っている方であれば、メールの右側の三点リーダーを押すと、メールに対するアクションが表示されます。
その中の「メッセージのソースを表示」をクリックすることで、メールごとのセキュリティ対策の内訳が確認可能です。

SPF、DKIM、DMARCの3項目あり、「PASS」と記載されている場合は認証に成功しています。
「FAIL、SOFTFAIL」と記載されている場合は、認証に失敗していると判断してください。

DMARC対応状況をチェックするオンラインツール

直接メールからDMARCの状況が確認できない場合、オンラインツールでDMARCの対応状況を確認する方法もあります。
主に以下の2つのツールで、DMARCの対応の有無が確認可能です。

• DMARC Record Checker
• MxToolbox

■DMARC Record Checker

（引用元：DMARC Record Checkerの公式サイト）

DMARC Record Checkerは「Enter domain」にドメイン名を入力し、「INSPECT THE DOMAIN」をクリックすればすぐに判別できます。

■MxToolbox

（引用元：MxToolboxの公式サイト）

MxToolboxの場合は「Domain Name」にドメイン名を入力し、「DMARC Lookup」をクリックすればDMARCの対応状況が確認できます。

ツールごとで操作方法が異なるため、使用するツールの操作方法を確認した上でドメインの対応の有無をチェックしてください。
あらかじめ使用するツールの操作感に慣れている場合は、チェックツールを用いることでよりスムーズに対応状況が確認しやすいケースもあります。

まとめ：DMARCで安全なメール環境を構築しよう

DMARCは安全なメール環境を構築する上で必要とされているツールとして注目を集めています。
送信ドメイン認証でなりすましやフィッシング詐欺などの悪質なメールの検知ができ、受信側は対応を必須とし始めています。また、企業のブランドイメージにもつながります。
DMARCを導入する際には、SPF・DKIMを正しく設定し、ミスで認証機能が作動しない事態が発生しないように注意してください。

DMARCをうまく活用できると、メールトラブルに惑わされることなく、クライアントから信頼できる相手だと認識してもらえます。