DMARC集計レポートの解説：概要、内容、活用方法

24時間ごとに、受信メールサーバーから構造化されたデータセット（DMARC集計レポート（RUA））が送信されます。これには、あなたのドメインを使用してメールを送信したすべてのIPアドレスに関する情報――正常に配信されたもの、失敗したもの、拒否されたもの――が記録されています。朝、配信失敗やスパム通報の報告で一日が始まる場合、その原因を突き止める手がかりとなるのがこのレポートです。

しかし、これらのレポートは、人間にとって必ずしも扱いやすいとは言えない、複雑なXMLファイルとして提供されます。つまり、データ自体は非常に有用ですが、その真価を引き出すには適切な視点が必要なのです。

このガイドでは、DMARCの集計レポートに実際にどのような情報が含まれているのか、頭を悩ませることなくレポートを読み解く方法、そしてその生データをもっと実用的な形に変える方法について解説します。

DMARC集計レポートとは何ですか？

DMARC集計レポートとは、受信メールサーバーからドメイン所有者に毎日送信されるXML形式の要約レポートであり、24時間以内にそのドメインを使用していると主張するすべてのメールトラフィックを対象としています。

フォレンジックレポートとは異なり、RUAレポートはプライバシー保護に配慮されています。個々のメール本文や件名、個人を特定できる情報（PII）は含まれておらず、代わりにIPアドレス、通信量、認証結果に焦点を当てています。

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <date_range>24h</date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>reject</p>
  </policy_published>

  <record>
    <source_ip>209.85.1.1</source_ip>
    <count>1284</count>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </record>
</feedback>

DMARCの集計データとフォレンジックデータ（RUAとRUF）

RUA（集計）レポートは、お客様のドメインを使用したすべてのメールアクティビティに関する日次概要を概観的に提供するのに対し、RUF（フォレンジック）レポートは、個々の認証失敗の詳細をリアルタイムで通知するインシデントごとのアラートです。つまり、RUAは全体像を示し、RUFは特定の問題に焦点を当てますが、プライバシー上の懸念から、RUFの対応はそれほど広く行われていません。

RUAレポートとRUFレポートの主な違いは以下の通りです。

RUA

集計報告書

周波数

24時間に1回

対象範囲

すべてのメール通信 — 成功および失敗

プライバシー

個人を特定できる情報（PII）は含まれていません — すべての地域で安全にご利用いただけます

最適

日常的な監視・取り締まり

対

RUF

鑑識報告書

周波数

リアルタイム、障害ごと

対象範囲

送信に失敗したメールのみ

プライバシー

件名が含まれる場合があります

最適

特定のなりすまし攻撃の調査

DMARC集計レポートにはどのようなデータが含まれていますか？

生のXMLファイルは一見すると難しそうに見えますが、データを特定のレコードブロックに整理することで、認証の状態を明らかにしてくれます。

1. レポートのメタデータ

このセクションでは、本報告書の作成者および対象期間について詳しく説明します：

• レポートID：そのレポートを一意に識別するID。
• 期間：活動がモニタリングされた特定の24時間。
• 組織名：レポートを作成した主体。通常はメールボックスプロバイダーです。
• 連絡先情報：報告機関への連絡方法に関する詳細。

2. 公開されたDMARCポリシー

これは、報告期間中にDNSで有効だった具体的なポリシー（p=none、quarantine、またはreject）の詳細を示しています。

3. レコードブロック

各レコードブロックは、送信元に基づいて特定のメール群に関する詳細情報を提供します：

• 送信元IP：対象となるメールの送信元IPアドレス。
• メッセージ数：当該期間中にそのIPアドレスから送信されたメールの総数。
• 評価対象の方針：実施された措置（対応）およびそれが方針に沿っていたかどうか。
• SPFおよびDKIMの結果：各認証方法ごとの具体的な合格／不合格の結果。

DMARC集計レポートを有効にするにはどうすればよいですか？

これらのレポートを受信するには、DMARCのDNS TXTレコードに「rua=」タグを追加する必要があります。

レコードの例：

v=DMARC1; p=none; rua=mailto:[email protected]

外部ドメインにレポートを送信する必要がある場合、受信側のドメインは、許可を与える専用のDNSレコードを公開している必要があります。

DMARC集計レポートの読み方

Reading DMARC aggregate reports manually involves parsing XML tags like <record>, <row>, and <auth_results>.

トレンドの把握

個々のレポートは断片的な情報を提供するに過ぎませんが、継続的な進捗状況を把握するには、それらを組み合わせて活用するのが最も効果的です。例えば、特定のIPアドレスからの失敗件数が長期間にわたり多い場合は、なりすましの試み、あるいは設定ミスのある正当なサーバーの存在を示している可能性があります。

XMLのサンプルコード

<source_ip>192.168.1.1</source_ip> <count>1023</count> <disposition>none</disposition> <dkim>pass</dkim> <spf>fail</spf>

このスニペットでは、IPアドレス 192.168.1.1 からのメールは DKIM 検証には合格しましたが、SPF 検証には失敗しました。ディスポジションが「none」であるため、検証に失敗したにもかかわらず、何の措置も講じられませんでした。

DMARC集計レポートは、なぜメールセキュリティにおいて重要なのでしょうか？

目に見えないものは守れません。RUAレポートには、ビジネスに役立つ実践的な知見が豊富に盛り込まれています：

• 配信率の向上：正当なメールがスパムとして判定されてしまう問題を特定し、設定を調整して解決します。
• セキュリティとコンプライアンスの強化：自社ブランドを装ったり、ドメインを悪用しようとする不正な送信者を特定します。
• 安全なメール処理を実現：正当なメールをブロックすることなく、p=none（監視のみ）からp=quarantineまたはp=rejectへ移行するために必要な可視性を提供します。
• シャドウIT（IT部門の承認なしに従業員が利用している無許可のクラウドサービス）を管理する：知らない間に貴社の名義でメールを送信している可能性のあるサードパーティのクラウドサービスを特定します。

DMARC集計レポートを効果的に活用するには？

DMARCの集計レポートを最大限に活用するには、受動的なデータ収集から能動的なドメイン管理へと移行する必要があります。生のXMLデータを手作業で解析するのは非常に困難であるため、以下の6つの戦略的なベストプラクティスに従うことで、自信を持ってDMARCの完全な適用（p=reject）を実現することができます。

1. 専用のDMARC分析ソリューションを活用する

技術的にはテキストエディタでXMLファイルを開くことは可能ですが、数百件ものレポートをそのように処理するのは、規模が大きくなると現実的ではありません。DMARCレポートアナライザのような専用ツールなら、次のような作業を代行してくれます：

• XMLを視覚化へ：数千行に及ぶコードを、直感的な地理情報マップ、円グラフ、脅威インテリジェンス・ダッシュボードへと変換します。
• 送信元の自動識別：209.85.220.41 のような IP アドレスが表示されるだけでなく、専門的な分析ツールを使用すれば、サービス名を特定することができます（例：「Google Workspace」や「Salesforce」など）。
• エラーのハイライト表示：正当なメールの配信に支障をきたしている可能性のある、SPF/DKIMレコード内の構文エラーを自動的に特定します。

2. 定期的なレビューの実施サイクルを確立する

メールのエコシステムは常に変化しています。新しいマーケティングツールが追加されたり、サードパーティベンダーのIPアドレス範囲が頻繁に変更されたりします。

• 日々の監視：初期設定段階（p=none）では、正当なトラフィックに障害が発生していないことを確認するため、毎日レポートを確認してください。
• 週次監査：ポリシーが「p=quarantine」または「p=reject」の状態になった後は、通常、週1回の確認で、新たななりすまし攻撃や「シャドーIT」（各部門が許可なく利用しているクラウドサービス）の監視には十分です。
• 「予防的」と「事後対応的」：配信障害やフィッシング攻撃が発生してからRUAデータを確認するような事態は避けましょう。

3. 発生頻度の高い障害の詳細を掘り下げる

すべての障害がセキュリティ上の脅威となるわけではありませんが、大規模な障害はほぼ例外なく重大な問題となります。

• 「誰」を特定する：何千通ものメールを送信しているにもかかわらず、DMARCの検証に失敗しているIPアドレスを探します。
• 設定の問題か、悪意のある攻撃か：そのIPアドレスが既知のベンダー（HubSpotやMailchimpなど）に属している場合、失敗はSPFまたはDKIMの設定ミスを示しています。そのIPアドレスが不明であり、かつリスクの高い地域から送信されている場合は、なりすまし攻撃の可能性があります。
• 結果コードを確認してください：失敗の原因に注意してください。アライメントの問題（「From」ヘッダーのドメインが認証済みドメインと一致しなかった）なのか、それとも認証が完全に失敗したのかを確認してください。

4. 長期的な傾向と季節性の分析

DMARCの集計レポートは24時間分の「スナップショット」を提供しますが、真の価値はトレンド分析にあります。

• 基準トラフィック：通常のトラフィック量を把握しておくことで、ボットネット攻撃の兆候となるトラフィックの急激な増加など、異常を即座に検知できるようになります。
• ポリシーの効果：レコードを最適化していくにつれて、認証の合格率がどのように向上しているかを追跡してください。「DMARC Pass」の割合が着実に上昇していることは、より厳格なポリシーに移行するための合図となります。
• 過去のデータとの比較：セキュリティ監査への対応およびメール送信量の季節的な変動を把握するため、少なくとも6～12か月分の過去のデータを保持してください。

5. 実践的なフィードバックループを構築する

データは、最適化につながる場合にのみ有用です。レポートから得られた知見を活用して、以下のことを行いましょう：

• SPFレコードの精査：古いものや使用されていないIPアドレス、ベンダーを削除し、DNSルックアップが10回以内に収まるようにします。
• DKIM キーの更新：レポートで特定の拠点においてDKIM の失敗が確認された場合は、キーのローテーションを行うか、破損したセレクタを修正する時期かもしれません。
• アドレスの整合性に関する問題の解決：「Return-Path」が自社のブランドドメインと一致していないため、SPF/DKIMには合格してもDMARCには不合格となるベンダーが多く見られます。レポートでは、「カスタムReturn-Path」または「カスタムDKIM」の設定をどこに実装すべきかが具体的に示されます。

6. 調査結果と是正措置の記録

DMARCレポートの履歴は、SOC 2、HIPAA、PCI-DSSなどのコンプライアンスフレームワークにおける監査証拠として機能します。

• 対応が必要な事象を記録する：新しいベンダーを追加した日時、ポリシーを「なし」から「隔離」に変更した日時、およびその理由を記録してください。
• 規制対応の証拠：監査人から、電子メールのなりすましから顧客データをどのように保護しているか尋ねられた場合、DMARCレポートと是正措置のログが、自社のセキュリティ体制を証明する決定的な証拠となります。
• 知識の引き継ぎ：ドキュメントを作成しておくことで、メインのメール管理者が退職した場合でも、後任の担当者が既存のメール環境の構成や承認済み送信者を確実に把握できるようになります。

PowerDMARCはDMARCレポート作成をどのように簡素化するのでしょうか？

数百ものXMLファイルを手作業で処理することは、大規模な環境では現実的ではありません。PowerDMARCはレポートのライフサイクル全体を自動化し、単なる基本的な解析にとどまらず、包括的なセキュリティ運用（SecOps）環境を提供します。

高度な自動化と可視化

• XMLの自動解析：PowerDMARCは、複雑なXMLデータを人間が読みやすいダッシュボード、地理情報マップ、およびグラフに変換するため、手作業での読み取りは不要です。
• 送信元識別：当社のソリューションは、曖昧なIPアドレスだけでなく、サービス名（例：Salesforce、Zoom）によってサービスを特定するため、正当なベンダーと悪意のある攻撃者を迅速に見分けることができます。
• 非標準データの処理：PowerDMARCは、Microsoftなどのプロバイダーから送信されるRFCに準拠していないレポートを処理できるよう設計されており、データが不完全になることがありません。
• ホスティング型SPFおよびDKIM：DNSルックアップが10回までという制限にお困りではありませんか？当社のホスティング型ツールなら、DNS設定を変更することなくダッシュボードから直接レコードを管理できるため、「ルックアップ回数超過」エラーを即座に解決できます。
• BIMI（Brand Indicator for Message Identification）とVMC（Verified Mark Certificates）のサポート：受信者の受信トレイに認証済みのブランドロゴを表示することで、セキュリティ面だけでなく、開封率や信頼性の向上にもつながります。
• マネージドサービスプロバイダー（MSP）およびマルチテナント環境向けのDMARC：グローバルな可視性が強化された当社のプラットフォームにより、マネージドサービスプロバイダーは単一の管理画面から数百のドメインを一元的に管理できます。
• AIを活用した脅威インテリジェンス：当社の最新情報を利用してなりすましパターンを特定し、お客様のドメインが不正に使用されている新たな送信者が検出された際に自動アラートを受け取ることができます。
• カスタマイズ可能なPDFレポート：ワンクリックで経営陣向けのレポートを作成でき、コンプライアンス監査において「p=none」から「p=reject」に至るまでの経緯を明確に記録できます。

まとめ

2026年の脅威情勢が刻々と変化する中、「盲目的な」メール送信に依存することはもはや許されません。DMARC集計レポートは、ドメインの利用状況を可視化し、管理するための管理者にとって最も強力なツールです。PowerDMARCを活用して生のXMLデータを実用的な知見に変換することで、組織はフィッシングを未然に防ぎ、メールの配信率を向上させ、世界各国の大量送信者向け規制への準拠を確保することができます。

よくあるご質問

DMARC集計レポートとは何ですか？

受信メールサーバーからドメイン所有者へ送信される、メール認証の活動状況、SPF、DKIM、およびDMARCの結果に関する日次XMLサマリー。

これらのレポートはどのくらいの頻度で送信されますか？

通常、報告を行う組織ごとに24時間に1回（例：GoogleとMicrosoftは別々のレポートを送信します）。

これらの報告書には個人情報が含まれていますか？

いいえ。これらはIPアドレスやデータ量を含みますが、メール本文の内容や個人を特定できる情報（PII）は含まれていないため、すべての地域で安全にご利用いただけます。

外部ドメインにレポートを送信することはできますか？

はい、ただし、外部ドメイン側で、それらのレポートを受信することを許可するDNSレコードを公開する必要があります。

DMARCの集計レポートを有効にするにはどうすればよいですか？

DMARCの集計レポートを有効にするには、DNS設定にTXTレコードを追加してください：

• ホスト: _dmarc
• 値: v=DMARC1; p=none;rua=mailto:[email protected];

準備ができたら、p=quarantine または p=reject に設定してください。これにより、サイバー攻撃の91%が発生しているドメインを保護するために必要な可視性が確保されます。

• について
• 最新記事

ミレーナ・バグダサリャン

コンテンツスペシャリストPowerDMARC

ミレーナは、IT、サイバーセキュリティ、バーチャルイベントなどに関する魅力的なコンテンツ制作に7年以上の経験を持つ、熟練したライター兼コンテンツ制作者です。ニューヨーク大学アブダビ校、UWCチャイナ校、カレッジ・オブ・ヨーロッパなどの名門校を卒業。

最新記事 by Milena Baghdasaryan(全て見る)

• DMARC集計レポートの解説：概要、内容、活用方法 - 2026年5月6日
• Sendmarc レビュー：機能、ユーザー体験、メリット・デメリット（2026年） - 2026年4月22日
• FIPS準拠：2026年の期限までにインフラを強化する方法 - 2026年4月20日