DMARCアライメント:緩やかなアライメントモードと厳格なアライメントモード
最終更新日:
10 読了時間:10分
主なポイント
- DMARC認証は、SPFおよびDKIMの結果を「From」ヘッダーに表示されるドメインと結びつけることで、メール送信元の正当性を検証する堅牢な枠組みを提供します。
- SPFとDKIMの整合性 SPFとDKIM 識別子の整合性は、DMARC準拠を達成し、異なるドメインで基本認証を「通過」する類似ドメインやなりすましの試みを防止することで、なりすましから保護するために不可欠です。
- 緩やかなDMARC整合と厳格なDMARC整合の選択は、組織のメール運用方針とセキュリティ目標によって決まります。厳格な設定を適用する前に、DMARCレポートを通じて検証を行う必要があります。
- メールの転送はDMARCの整合性を複雑化させ、SPF(IP変更)を破ることで認証失敗を招くことが多く、また送信中にメッセージが改変された場合、DKIMを無効化することもある。
- DMARCの設定を監視および調整する DMARC設定の は、特に緩やかな整合から厳格な整合への移行時やp=quarantine/p=rejectの強制適用時に、メールの到達率を大幅に向上させ、不正リスクを低減します。
メール認証はもはや「SPFやDKIMが通過するか」だけで終わらない。2026年、メールボックスプロバイダーは、それらの認証結果がユーザーが実際に差出人アドレスで目にするドメインと一致しているかどうかも同様に重視する。そこでDMARCアラインメントが重要となる。
DMARC(ドメインベースメッセージ認証レポートコンフォーマンステスト)の整合性は、受信者に表示されるドメインがSPFおよびDKIMで検証されたドメインと一致するかどうかを判定します。これらが一致しない場合、たとえSPFやDKIMが技術的に合格していても、メールはDMARCに失敗する可能性があります。これが、多くの組織がDMARCの適用を強化した後、正当なメールがスパムフォルダに振り分けられたり拒否されたりする理由です。
複雑さはアライメントモードに起因します。緩和されたアライメントでは、サブドメインを含む組織ドメインの一致が許容されます。厳格なアライメントでは完全なドメイン一致が要求されます。誤ったモードを選択すると、特に複数のESP、サブドメイン、または転送が関与する場合、配信可能性が静かに損なわれる可能性があります。
このガイドでは、DMARCアラインメントの仕組み、2026年における厳格なアラインメントと緩和されたアラインメントの実際の違い、よくある失敗シナリオ、そして受信トレイへの到達を危険にさらすことなく、自社のメールインフラに適合するモードを決定する方法について説明します。
DMARC Alignmentとは?
DMARC アラインメントとは、メールの「差出人」ヘッダーに記載されたドメインが、SPFおよびDKIM認証で使用されるドメインと一致することを確認するプロセスです。 メールがSPFおよびDKIMの識別子整合のいずれか、または両方に合格した場合、そのメールはDMARC整合を満たします。
これにより、メールの正当性が保証され、フィッシング、スプーフィング、ランサムウェアなど、様々なメール詐欺攻撃から保護されます。
DMARC認証プロトコルは、メールドメインが詐称されている可能性があるかどうかを確認するために、DMARC識別子のアライメントをチェックします。メールが認証される際、DMARCは3つの識別子をチェックします:
- From ヘッダー
- リターンパスのアドレス
- ドメイン名は DKIM署名内のドメイン名
重要なポイント: DMARCは、SPFまたはDKIMのいずれかがFromドメインと整合する場合(厳格設定か緩和設定かによって異なります)、整合性チェックに合格します。どちらとも整合しない場合、DMARCは失敗します。たとえSPFまたはDKIMが単独で「合格」を示していても同様です。
これが、なりすまし犯がメールを送信するのを防ぐ仕組みです あなたのドメインから送信されたように見せかける 別のドメインで認証しながら、あたかもあなたのドメインから送信されたように見えるメールを送信するのを防ぎます。
1万人以上の顧客がPowerDMARCのプラットフォームを信頼している理由はここにあります
- AIを活用した脅威インテリジェンスにより、なりすまし攻撃や不正なメールが大幅に減少
- オンボーディングの迅速化と認証管理の自動化により、ITチームの作業時間を大幅に削減
- ドメインを横断したリアルタイムの脅威インテリジェンスとPGP暗号化レポート
- 専門家の指導による厳格なDMARC適用により、メールの配信率が向上
最初の15日間は当社がご招待します
無料トライアルを開始DMARCアライメントはどのように機能するのか?
DMARCのアライメントを明確に理解するには、DMARCが保護を目的とするドメインの身元を把握することが役立ちます。 比較.
DMARCを実装する際には、SPFとDKIMの結果を結びつけて、自社ドメインから送信されるすべてのメールを認証します。DMARCは、特定のメールに対して「中央の識別子」と呼ばれるものを使用します。これはFromヘッダーに記載されているドメインです。これは 受信者が目にするドメインであり、DMARCが保護しようとする対象となる。
あなたのドメインからのメールが受信サーバーに到達すると、 SPF はそのリターンパス (エンベロープ・フロム/バウンスアドレス) を確認し、DKIMは暗号化された署名を を検証します。 DMARCは各チェックの結果を受け取り、SPFおよび/またはDKIMで使用されたドメインがFromヘッダーのドメインと一致するかどうかを検証します。
ただし、一つだけ小さな問題があります。犯罪者を含む誰でもドメインを購入し、SPFやDKIMを実装できるのです。 DKIMを設定できる。理論上、誰かがあなたの組織のドメインを差出人アドレス(中心的な身元情報)に表示したメールを送信し、自身のドメインのReturn PathがSPF認証を通過させることも可能だ。ユーザーは通常、差出人アドレスしか見ずReturn Pathを確認しないため、両者の不一致に気づくことさえない。
DMARCアライメントの種類:厳格な識別子のアライメントと緩和された識別子のアライメント
DMARCアラインメントの概要を理解したら、次のステップはドメイン一致の厳格な適用方法を決定することです。DMARCは2つのアラインメントモード(リラックスドとストイック)を提供し、これらは認証済みSPFおよびDKIMドメインがFromヘッダーに表示されるドメインとどの程度正確に一致すべきかを制御します。
並列比較:厳密なアラインメントと緩やかなアラインメント
| アスペクト | リラックスしたアライメント | 厳密なアライメント |
|---|---|---|
| ドメイン一致 | 組織ドメイン一致(サブドメイン許可) | 完全なドメイン一致が必要です |
| サブドメインのサポート | ✓ サブドメインの整合性が確認されました | ✗ サブドメインの配置が失敗 |
| セキュリティレベル | 中程度のセキュリティ、より柔軟 | 高いセキュリティ、柔軟性の低さ |
| 最適 | 複数のサブドメインを使用する組織 | 最高レベルのセキュリティを必要とする組織 |
| DMARCタグ | aspf=r; adkim=r | aspf=s; adkim=s |
これらの整合モードはSPFとDKIMに個別に適用されますが、DMARCの通過可否は両モードの組み合わせによって決定されます。
1.DMARC緩和アライメント
SPFおよびDKIMで緩やかな整合性が有効化されている場合、DMARCは認証済みドメインが差出人ドメインと組織的に一致するメールを整合性ありと見なします。これはサブドメインが整合性ありとして扱われることを意味します。
緩和モードでは、Mail Fromコマンドのドメインと、Return-Pathヘッダー(SPF用)またはDKIM署名(DKIM用)内のドメインが完全に一致していなくても、同じ組織ドメインに属している場合、DMARCアラインメントは合格と見なされます。
DMARC緩和アラインメントの例
v=DMARC1;p=reject; rua=mailto:[email protected]; aspf=r; adkim=r
ここで、アライメントタグ aspf=r および adkim=r は、SPFとDKIMの両方に対して緩和されたアラインメントを指定します。
2.DMARCストリクトアライメント
厳密な整合性により、より高い精度が要求されます。このモードでは、DMARC整合性は、FromヘッダーのドメインがSPFおよびDKIM認証に使用されたドメインと完全に一致する場合にのみ合格します。
厳密な整合性が有効な場合、サブドメインは整合されているとは見なされません。同一の組織ドメイン内であっても、いかなる不一致も整合性の失敗を引き起こします。
DMARC厳密な整合性の例
v=DMARC1; p=reject; rua=mailto:[email protected]; aspf=s; adkim=s
ここ、 aspf=s および adkim=s は、SPFとDKIMの両方の整合性において完全一致を要求します。
SPFとDKIM識別子のアライメントの役割
SPFおよびDKIM識別子の整合性は、単にメールが基本的な認証チェックを通過したことを確認するためだけでなく、ドメインのなりすましを防止するために存在します。整合性が取れていない場合、技術的にはあるドメインを使用してSPFやDKIMを通過しながら、受信者が実際に目にする差出人アドレスには別の信頼できるドメインを表示することが可能です。
認証識別子の整合性は、メール送信者が受信者に表示されるドメインに代わってメッセージを送信する権限を真に有しているかどうかの判断に役立ちます。メールボックスプロバイダーは、SPFやDKIMが個別に「合格」を返した場合でも、この整合性シグナルに依存して、正当なメール送信元と偽装または誤解を招くメッセージを区別します。
整合性のあるメールは送信者検証チェックを通過しやすく、受信メールサーバーから信頼性が高いと扱われます。整合性が失敗した場合、プロバイダーはメッセージのリスクが高いと判断し、特にDMARCがp=quarantineやp=rejectといったポリシーで適用されている場合、フィルタリング、隔離、または拒否される可能性があります。
SPFとDKIM識別子の一致に影響を与える要因は何ですか?
いくつかの一般的な送信シナリオでは、アライメントの失敗が発生する可能性があります:
- サードパーティのメールサービスおよびESPは、明示的に整合性が設定されていない限り、独自のドメインを使用してメールを認証する場合があります。
- メール転送はIP変更によりSPFを無効化し、メッセージ内容が変更された場合DKIMを無効化する可能性があります
アライメントモードがSPFに適用される方法
SPFアライメントは、リターンパス(エンベロープ・フロム)ドメインとFromヘッダーのドメイン間の関係に焦点を当てます。
これらのドメインが選択されたDMARCアラインメントモードに従ってアラインメントされると、SPFアラインメントは合格となります:
- 緩和されたSPF整合性: 組織ドメインのマッチングが許可されるため、サブドメインは通過する
- 厳密なSPF整合性: 完全なドメイン一致のみが通過する
| ドメインから | リターンパスドメイン | リラックスした結果 | 厳密な結果 |
|---|---|---|---|
| example.com | example.com | ✓ 合格 | ✓ 合格 |
| example.com | メール.example.com | ✓ 合格 | ✗ 失敗 |
| example.com | 異なる.com | ✗ 失敗 | ✗ 失敗 |
SPFは送信元IPアドレスに依存するため、メール転送のようなシナリオでは特に敏感に反応します。転送サーバーのIPアドレスが元のSPFレコードで認証されていない可能性があるためです。
アライメントモードがDKIMに適用される方法
DKIMアライメントは、DKIM署名ドメイン( d= 値)が差出人ドメインと一致しているかを評価します。
DKIMアラインメントは、選択されたアラインメントモードに従い、署名ドメインがFromドメインと一致する場合に合格します:
- 緩和されたDKIM整合性: 組織ドメインの一致が許可される
- 厳密なDKIM整合性: 完全なドメイン一致が必須です
| ドメインから | DKIM署名ドメイン | リラックスした結果 | 厳密な結果 |
|---|---|---|---|
| example.com | example.com | ✓ 合格 | ✓ 合格 |
| example.com | マーケティング.example.com | ✓ 合格 | ✗ 失敗 |
| example.com | サードパーティ・ドットコム | ✗ 失敗 | ✗ 失敗 |
SPFとは異なり、DKIMは転送中のIP変更の影響を受けませんが、メッセージの内容やヘッダーが転送中に変更された場合、DKIMの整合性が失敗する可能性があります。
アライメント課題への対処方法
一貫したDMARC整合性を維持するため、組織はすべての正当な送信元が差出人アドレスで使用されるドメインと意図的に整合していることを確認し、メールインフラの変更に伴い定期的に監視すべきである。
PowerDMARCでは、SPF、DKIMの設定と維持を支援することで、さらに一歩進んだサポートを提供します。 ARC、DMARCを集中管理する形で設定・維持するお手伝いをします。これにより、サードパーティ送信者の調整、転送関連の課題への対応、設定の進化に伴う認証レコードの更新が容易になり、正当なメールが受信トレイに届く可能性を最大限に高めます。
DMARCアラインメントの例
以下の例は、厳密な配置と緩やかな配置が実際のメール送信シナリオでどのように動作するかを示しています。
例1: 複数のサブドメインを利用するSaaS企業
- ヘッダーから: [email protected]
- SPF リターンパス: marketing.company.com
- DKIM署名: support.company.com
緩やかな一致結果: ✓ 合格(組織ドメインが一致)
厳密な整合性結果: ✗ 不合格(完全一致が必要)
これは複数のサブドメインからメールを送信するSaaS企業では一般的なことです。緩和された整合性により、これらのメッセージは追加設定なしでDMARCを通過できます。
例2:完全一致ドメインを持つ金融機関
- ヘッダーから: [email protected]
- SPF リターンパス: bank.com
- DKIM署名: bank.com
リラックスした整列結果: ✓ 合格
厳密な整合結果: ✓ 合格
すべてのドメインが完全に一致するため、両方の整合モードが成功する。この設定は、集中管理されたインフラと厳格なセキュリティ要件を持つ組織に典型的なものである。
例3:連携されていないサードパーティメールサービス
- ヘッダーから: [email protected]
- SPF リターンパス: mailservice.com
- DKIM署名: mailservice.com
リラックスしたアライメント結果: ✗ 不合格
厳密な整合結果: ✗ 不合格
このシナリオでは、SPFもDKIMも差出人ドメインと整合していません。たとえSPFまたはDKIMが個別に通過しても、整合性の欠如によりDMARCは失敗します。これは、適切なサードパーティ送信者設定の必要性を強調しています。
適切なDMARCアラインメントモードの選び方
緩やかなDMARC整合と厳格なDMARC整合の選択は、メールインフラストラクチャ、誤検知への許容度、p=quarantineやp=rejectといったDMARCポリシーをどの程度積極的に適用するかによって決まります。目的は、正当なメールフローを妨げずになりすまし攻撃に対する保護を強化することです。
どのDMARCアライメントモードが良いか?
普遍的に「より良い」選択肢は存在しません。緩やかな整合性は、一般的な実環境の設定(複数のサブドメインやサードパーティ送信者)をサポートするため、ほとんどの組織にとってより安全な出発点となります。厳格な整合性はより強力な保護を提供しますが、正当なメールのブロックを回避するためには、よりクリーンで一貫性のある送信アーキテクチャと綿密な監視が必要となります。
リラックスしたアライメントを選択してください
組織の送信環境がより複雑な場合、通常は緩やかな調整が最適です。例えば:
- 複数のサブドメイン(例:marketing.example.com、support.example.com)からメールを送信します
- 複数のメールプラットフォームやサードパーティの送信サービスを利用しており、それらがサブドメインを使用して認証を行う可能性があります
- 初めてDMARCを導入する際に、混乱のリスクを軽減したいと考えています
- 送信元の不整合を特定し修正する間、柔軟性が必要です
次の場合に厳密な配置を選択してください
送信設定が厳密に制御されており、なりすましに対する最大限の保護が必要な場合に、厳密な整合性が最も効果的です。例えば:
- 1つのプライマリドメインから最小限のバリエーションでメールを送信します
- 厳格なセキュリティ要件(例:金融サービス、政府機関、規制対象環境)
- サブドメインのなりすまし攻撃を防止したい
- DMARCをp=quarantineまたはp=rejectで適用する準備が整い、監視体制も整っています
実践的な意思決定フレームワーク
配信可能性を損なうことなく適切なDMARCアラインメントモードを選択するには:
- 送信インフラの監査
ドメインでメールを送信するすべてのシステム(マーケティングツール、CRM、チケット管理システム、給与計算、請求書発行、内部リレー)をサブドメインも含めてリストアップしてください。 - 各送信元が現在どのように認証されているかを確認する
SPFおよび/またはDKIMが通過しているかどうか、また認証されたドメインがFromヘッダーのドメインと一致しているかどうかを確認する。 - 確信が持てない場合は、まず緩やかな整合から始めましょう
設定ミスやベンダー間のドメイン不一致を発見する過程では、緩やかな整合性の方が許容範囲が広い。 - 厳密な整合は、整合が安定してから移行すること
正当な送信元が一貫して認証されアラインメントが確立し、DMARCレポートを通じて結果を確認できるようになった段階で、厳格モードの導入が最適です。 - モード切替後は継続的に監視する
チームが新しいツールを追加したり、ESP設定を変更したり、新しいサブドメインを導入したりすると、アライメントの問題が頻繁に再発します。
ほとんどの場合、最も効果的なアプローチは、まず緩やかな整合性から始め、すべての正当なソースにわたる整合性の問題を修正し、インフラがそれをサポートできるようになった時点で厳格な整合性に移行することです。
DMARCアライメントの監視、テスト、および検証方法
厳格なDMARC整合性を有効化(または緩和から厳格への移行を計画)した場合、誤検知を回避し正当なメールがフィルタリングまたは拒否されるのを防ぐため、監視が不可欠となります。DMARC整合性を検証する最も信頼性の高い方法は、DMARC集計レポートを通じて行います。これにより、すべての送信元においてSPFとDKIMが差出人ドメインと正しく整合しているかどうかが確認できます。
メールメッセージのDMARC整合性を確認する手順は以下の通りです:
- メインメニューのReportingへ
- DMARC集計レポートをクリックし、ドロップダウンを展開します
- 結果ごとに選択
- 結果ごとに送信元を監視し、各結果に対するDMARC準拠状況と整合性の結果を確認する
DMARCアライメントに合格した場合
DMARCアラインメントは、選択したアラインメントモード(厳格または緩和)に基づき、SPFまたはDKIM識別子アラインメントのいずれかが(または両方)通過した場合に通過します。
DMARCアライメントが失敗する理由
DMARCアラインメントの失敗は、通常、SPFもDKIMもFromヘッダーのドメインと一致しない場合に発生します。主な原因としては以下が挙げられます:
- FromヘッダーのドメインがReturn-Pathドメインと一致しません(SPF整合性エラー)
- FromヘッダーのドメインがDKIM署名ドメインと一致しません(DKIM整合性エラー)
- サードパーティのメールサービスは設定が誤っており、独自のドメインを使用して認証を行っている
- メール転送はSPF(IP変更)を妨害し、メッセージが転送中に変更された場合、DKIMを無効化する可能性があります
PowerDMARCでアライメント結果を監視する
PowerDMARCは、厳格なDMARC整合ポリシー下でメールを監視するお手伝いをします。当社の DMARCアナライザー ツールを活用し、厳格なDMARC整合ポリシー下でのメール監視を支援します。当社ダッシュボードから直接、メール送信元の追跡、整合失敗の確認、認証設定の最適化が可能です。
お問い合わせまでご連絡ください!
よくあるご質問
DMARCアライメントとは?
DMARCアラインメントとは、メールのFromヘッダーに表示されるドメインが、SPFおよび/またはDKIMによって認証されたドメインと一致していることを検証するプロセスです。これにより、受信者が目にするドメインが認証時に検証されるドメインと同一であることを保証し、なりすましや偽装攻撃の防止に役立ちます。
DMARCのデフォルトのアライメント設定は何ですか?
デフォルトのDMARCアラインメント設定は、SPFとDKIMの両方に対して緩やかです。これにより組織ドメインの一致が許可され、より厳格な設定が明示的に構成されていない限り、サブドメインがアラインメントチェックを通過することが認められます。
リターンパスドメインとは何か、そしてなぜDMARCにとって重要なのか?
リターンパスドメイン(別名エンベロープ差出人またはバウンスアドレス)とは、配信不能またはバウンスしたメールを受信するドメインを指します。 DMARCチェックでは、SPF整合性は表示されるFromアドレスではなくリターンパスドメインを用いて評価されます。リターンパスドメインがFromドメインと整合しない場合、SPF整合性は失敗します。
DKIM署名ドメインとは何ですか?
DKIM署名ドメインとは、電子メール( d= 値)に暗号署名を行うために使用されるドメインです。DMARC評価において、DKIMアラインメントは、この署名ドメインがFromドメインと一致するかどうかを確認します。緩和されたアラインメントでは組織レベルでの一致が許容されますが、厳格なアラインメントでは完全なドメイン一致が要求されます。
メール転送はDMARCアラインメントにどのような影響を与えますか?
メール転送は、SPFおよび場合によってはDKIMを破綻させることでDMARC整合性の失敗を引き起こす可能性があります。転送メールが元の送信者のSPFレコードで許可されていないIPアドレスから送信された場合、SPFが失敗する可能性があります。メールの内容やヘッダーが転送中に変更された場合、DKIMが失敗する可能性があります。SPFもDKIMも整合性を維持できない場合、DMARCは失敗します。
DMARCアライメントの失敗をどのように監視すればよいですか?
DMARCの集計レポートとフォレンジック(失敗)レポートを有効にすることで、整合性の不備を監視できます。これらのレポートでは、どの送信元が整合しているか、どの送信元で問題が発生しているか、そしてその原因が示されるため、より厳格なDMARCポリシーを適用する前に、問題を修正し、配信率を向上させるのに役立ちます。
DMARCアライメントを正しく設定するにはどうすればよいですか?
DMARCアラインメントを正しく設定するには:
- すべての正当な送信元に対してSPFおよびDKIMを設定する
- 適切なaspf値を持つDMARCレコードを公開する aspf および adkim アラインメントタグを設定して公開する
- DMARCレポートを監視して、整合性の取れていないドメインを特定する
- サードパーティおよびサブドメインの整合性問題を修正する
- 安定性が確認できたら、徐々に緩やかな位置合わせから厳密な位置合わせへと移行する
DMARCにおける緩やかな整合性とは何ですか?
緩やかな整合性により、組織ドメインの一致が許可されます。例えば、送信元ドメインが example.com で、SPF リターンパスまたは DKIM 署名ドメインが mail.example.com である場合でも、緩やかな整合性では依然として合格となります。
厳格なDMARCアラインメントはいつ使用すべきですか?
厳密な整合性は、送信設定が厳密に管理され、サブドメインの使用が最小限で、高いセキュリティまたは規制要件を持つ組織に最適です。通常、すべての正当な送信元が一貫して整合され監視された後にのみ実装すべきです。
サイバーセキュリティ専門家PowerDMARC
マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。
最新記事 by Maitham Al Lawati(全て見る)
- フィッシングメールとDMARC統計:2026年メールセキュリティ動向 - 2026年1月6日
- 2026年に「SPFレコードが見つかりません」を修正する方法 - 2026年1月3日
- SPF パーエラー:DNS ルックアップが多すぎる場合の修正方法 - 2025年12月24日
