Dmarcコンプライアンス:その概要、重要性、および確認方法
最終更新日:
12 読了時間:12分
主なポイント
- DMARCへの準拠とは、ドメインベースのメッセージ認証・報告・適合性(Domain-based Message Authentication, Reporting, and Conformance)を正しく実装し、自社ドメインからのメールが検証され、正当なものであることを保証することを意味します。
- DMARCはSPFとDKIMを基盤としており、メールが準拠しているとみなされるためには、少なくともいずれか一方の検証に合格する必要があります。
- DMARCを導入していないと、ドメインはなりすまし、フィッシング攻撃、BEC(ビジネスメール詐欺)、およびメール配信率の低下といったリスクにさらされます。
- DMARCへの準拠を実現するには、まずDNSにDMARC TXTレコードを登録し、その後、段階的に「p=none」から「p=reject」へと移行していくことから始めます。
- DMARCレポートを定期的に確認することで、認証の失敗や不正な送信者を特定するのに役立ちます。
- PowerDMARCは、DMARCの検証を簡素化し、エラーを通知し、ドメインを保護します。
電子メールを悪用した脅威は急速に増加しており、適切な保護対策が施されていないドメインは最も狙われやすい標的となっています。DMARCへの準拠は、今日のドメイン所有者が利用できる最も効果的な防御策の一つであり、これがない場合、ドメインはフィッシング攻撃、直接的なドメインなりすまし、およびビジネスメール詐欺に対して無防備な状態となります。
このガイドでは、DMARCコンプライアンスとは何か、その確認方法、そしてPowerDMARCがコンプライアンスの達成と維持をどのように支援するかについて解説します。
DMARCコンプライアンスとは何ですか?
DMARCへの準拠とは、 Domain-based Message Authentication, Reporting, and Conformance(DMARC)プロトコル を正しく実装し、組織のドメインから送信される電子メールが検証され、正当であり、適切に認証されていることを保証することを指します。
DMARCは、フィッシング攻撃やドメインのなりすましなど、ドメインの不正利用から保護するための電子メール認証プロトコルです。これは、以下の2つの基盤となる標準規格に基づいています: Sender Policy Framework (SPF) および DomainKeys Identified Mail (DKIM)に基づいています。
これらのプロトコルは連携して、受信メールが主張するドメインから実際に送信されたものであることを確認します。メッセージが認証チェックに失敗した場合、受信メールサーバーは DMARCポリシー に従い、メッセージを監視、隔離、または拒否します。
ドメインは、以下の条件を満たす場合にDMARC準拠と見なされます:
- ドメインのDNS設定に有効なDMARC TXTレコードが登録されています
- SPFおよびDKIM認証は正しく設定されています
- これらの認証メカニズムのうち、少なくとも1つは送信メールに対して有効です
- DMARCレポートは定期的に受信され、確認されています
DMARCへの準拠は、メール認証の監視、調整、および適用を継続的に行うプロセスです メール認証 ポリシーを監視、調整、および適用する継続的なプロセスです。
DMARC準拠が重要な理由
DMARCによる保護がなければ、ドメインはメールを介したさまざまな脅威にさらされ、組織、顧客、そしてブランドに深刻な影響を及ぼす可能性があります。そのリスクについて、以下に説明します。
ドメインなりすましとフィッシング攻撃
DMARCによる保護がない場合、サイバー犯罪者は簡単にドメインを偽装し、あなたの正当なメールアドレスから送信されたように見せかけた詐欺メールを送信することができます。これにより、攻撃者があなたのドメインをそのまま使用して受信者を欺く「直接的なドメイン偽装」が可能になります。
フィッシングメール 信頼できるブランドを装ったフィッシングメールは、今日最も一般的なサイバー攻撃の一つであり、DMARCを導入していないと、あなたのドメインが攻撃の足掛かりにされる可能性があります。
おすすめ記事: メールのなりすましとフィッシング:身を守る方法
ビジネスメール詐欺(BEC)
DMARCによる保護対策が講じられていない企業は、 ビジネスメール詐欺(BEC) 攻撃を受けやすく、これが多額の金銭的損失につながる可能性があります。DMARCは、攻撃者が貴社のドメインを悪用して詐欺メールを送信することを阻止し、メッセージが受信者に届く前に送信者の正当性を確認することで、BECのリスクを軽減するのに役立ちます。
グローバル・サイバー・アライアンス(GCA)の報告書によると、組織は DMARCを導入することで 。
ブランドの評判の低下
自社ドメインを装った詐欺メールが受信されると、ブランドの評判に深刻なダメージを与える可能性があります。
なりすましメールを受け取った顧客やパートナーは、貴社からの連絡に対する信頼を失い、その信頼を取り戻すのは非常に困難です。DMARCは、不正な通信からドメインを保護することで、ブランドの評判を守るのに役立ちます。
メール到達率の悪さ
DMARCによる保護がない場合、自社ドメインから送信された正当なメールがスパムとしてマークされたり、受信側のメールサーバーによって拒否されたりする可能性があります。つまり、請求書、オンボーディングメール、顧客への最新情報など、重要なビジネス上の連絡が、宛先に届かないままになってしまう恐れがあります。
DMARCを導入することで、 メールの配信率を向上させます 正当なメールがフィルタリングされる可能性を低減することで、メールの配信率を向上させます。
法務およびコンプライアンス上のリスク
DMARCによる保護対策が講じられていない企業は、電子メールのセキュリティ要件を満たしていないことによる罰金や制裁措置など、法的およびコンプライアンス上のリスクに直面する可能性があります。
以下のような規制や枠組み DMARC、PCI DSS 準拠 および DMARCやFedRAMPへの準拠 といった規制や枠組みにより、組織は適切な電子メール認証の実践を証明することがますます求められています。
主要プロバイダーによる必須要件
主要なメールサービスプロバイダーは、メールのセキュリティを強化するため、大量送信者に対してDMARCの導入を義務付けています。
組織でDMARCに準拠せずに大量のメールを送信している場合、メッセージが大量にブロックされるリスクがあります。詳細については、 GoogleおよびYahooのメール認証要件 を確認し、送信者に現在何が求められているかを把握してください。
10,000人以上の顧客がPowerDMARCを信頼する理由はこちらです
- なりすまし攻撃と不正メールの大幅な減少
- 迅速なオンボーディング+自動化された認証管理
- ドメイン横断型リアルタイム脅威インテリジェンス&レポート
- 厳格な管理によるメール配信率の向上 DMARCの実施
最初の15日間は当社がご招待します
無料トライアルに登録するDMARCの仕組み
DMARCへの準拠を十分に理解するためには、このプロトコルが技術的なレベルでどのように機能するかを把握することが不可欠です。
DMARCは、ドメイン所有者がDNSにDMARCレコードをTXTレコードとして公開できるようにすることで機能します。このレコードには、ドメインの認証ポリシーを定義する特定のタグと値のペアが含まれています。
お客様のドメインからメールが送信されると、受信側のメールサーバーはそのメッセージに対してSPFおよびDKIMの認証チェックを行います。認証チェックに失敗した場合、受信サーバーはお客様が公開しているDMARCポリシーを参照し、どのような措置を講じるかを決定します。
DMARCポリシーレベル
- p=none: 監視モード。DMARCに失敗したメールに対しては、何の措置も講じられません。レポートは引き続き生成され、ドメイン所有者に送信されます。
- p=隔離: DMARCチェックに失敗したメールは、受信者のスパムまたは迷惑メールフォルダに送信されます
- p=reject: DMARCチェックに失敗したメールは即座に拒否され、配信されることはありません
電子メールがDMARC認証を通過するには、SPFまたはDKIMのいずれかの認証に合格し、かつFromヘッダーに記載されたドメインと一致している必要があります。
この整合性要件こそが、DMARCを直接的な ドメインのなりすましに対して特に有効なのです。
DMARCレポート
また、DMARCはレポートを生成し、ドメイン所有者が自分のドメインを名乗ってメールを送信している人物を監視できるようにします。
これらのレポートにより、メールのトラフィック状況をより明確に把握できるようになり、認証の失敗、正当なサードパーティベンダー、および悪意のあるなりすまし攻撃の特定に役立ちます。
DMARCでは、次のような高度な機能が利用可能です。 BIMI(メッセージ識別用ブランド指標)など、高度な機能を利用できるようになります。
PowerDMARCでDMARCコンプライアンスを簡素化!
なぜPowerDMARCなのか?
|
DMARC準拠を実現する方法(ステップバイステップ)
DMARCへの準拠を実現するには、体系的なアプローチが必要です。適切な準備を怠ったまま急いで適用を開始してしまうことは、ドメイン所有者が犯しがちな最も一般的な過ちの一つです。ここでは、その正しい手順をご紹介します。
ステップ1:メールの送信元を確認する
設定を行う前に、ドメインを代表してメールを送信するすべてのサービスやシステムを特定してください。これには、メインのメールサーバー、マーケティングプラットフォーム、CRM、ヘルプデスクツール、およびサードパーティのベンダーが含まれます。
正当な送信者を1人でも見落とすと、認証エラーが発生し、メールの配信に支障をきたす可能性があります。
ステップ2:SPF認証の設定
SPFを使用すると、どのIPアドレスがドメインからメールを送信することを許可されるかを指定できます。これはDNSのTXTレコードとして公開されます。
PowerDMARCの SPFレコードジェネレーター を使用して正確なレコードを作成し、 SPFの設定方法 に従って、正しく公開してください。
ステップ3:DKIM認証の設定
DomainKeys Identified Mail(DKIM)は、送信メールに暗号署名を付加することで、受信サーバーがメッセージが転送中に改ざんされていないことを確認できるようにします。
PowerDMARCの DKIMレコード生成ツール は、DKIMレコードの作成とDNS設定への公開を支援します。
ステップ4:DMARC TXTレコードを公開する
SPFとDKIMの設定が完了したら、 DNSにDMARCレコードを公開してください。 DNSに公開してください。基本的なレコードは以下のようになります:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
バージョンタグ(v=DMARC1)は必須です。ruaタグは集計レポートの送信先を指定し、rufタグはフォレンジックレポートの配信先を指定します。
ステップ5:DMARCレポートを確認する
レコードが有効になると、DMARCレポートの受信が始まります。ドメイン所有者は、これらのレポートを定期的に確認し、不正な送信者を特定するとともに、認証失敗の原因を把握する必要があります。
PowerDMARCの DMARCアナライザー は、複雑なXMLレポートを、分かりやすく、具体的なアクションにつながるダッシュボードに変換します。
ステップ6:DMARCの強制適用に移行する
すべての正当な送信者が認証され、基準を満たした時点で、p=none から p=quarantine へ、そして最終的には p=reject へと移行する。
「p=quarantine」または「p=reject」ポリシーに移行することで、ドメインの評判を守り、フィッシング攻撃を防ぐことができます。これがDMARCの適用であり、これによりドメインは完全に保護されるようになります。
DMARCコンプライアンスチェックリスト
DMARCへの準拠は、最初は複雑に感じられるかもしれませんが、明確なプロセスがあれば管理ははるかに容易になります。以下のチェックリストでは、既存の SPF、DKIM、およびDMARC レコードの確認から、より強力なDMARCポリシーの段階的な適用に至るまで、主要な手順を概説しています。
| 手順 | アクション | ツール・リソース |
|---|---|---|
| 現在の設定を確認する | 既存のSPF、DKIM、およびDMARCレコードを確認する | PowerAnalyzerツール |
| SPFの設定 | 承認された送信元でSPFレコードを設定する | SPFジェネレーター |
| DKIMの設定 | DKIMキーを生成して公開する | DKIMジェネレーター |
| DMARCレコードを作成する | 監視については、最初は「p=none」ポリシーから開始します | DMARCジェネレーター PowerDMARC セットアップウィザード |
| レコードの発行 | DNSにレコードを追加する | DNS管理コンソール |
| 監視レポート | 2~4週間、DMARCレポートを分析する | Dmarcレポート分析ツール PowerDMARCダッシュボード |
| ポリシーを適用する | 徐々に p=quarantine へ移行し、その後 p=reject へ移行する | ポリシー管理ツール |
ドメインがDMARCに準拠しているか確認する
メールにDMARCが正しく有効化されていることを確認するため、DMARCのコンプライアンスチェックを実施することは極めて重要です。多くの場合、ドメイン所有者がプロトコルの設定でミスを犯し、それがコンプライアンス上の問題につながっています。
PowerDMARCでは、以下の方法でコンプライアンス状況を確認できます。 登録 無料登録
方法 1:PowerAnalyzer ツールを使用する
ドメイン名を入力するには、[ドメイン] に PowerAnalyzer にドメイン名を入力して、今すぐ始めましょう。詳細なレポートで、DMARC、SPF、DKIMのコンプライアンス状況を数秒で分析できます。また、ドメインのセキュリティスコアも確認できます。
オプション2:無料のDMARCチェッカーツールを使う
当社の DMARCチェッカーツールで即座にDMARC準拠をチェックできます。レコードの有効性を確認し、エラーのトラブルシューティングを迅速に行うことができます!
DMARCコンプライアンスと要件を満たす
DMARCに準拠し、配信チェックを通過しやすいメールを送信するには、以下の手順に従ってください:
1.DMARC DNSレコードを作成する
SPFまたはDKIMの設定が完了したら、PowerDMARCダッシュボードの設定ウィザードを使用してDMARCレコードを作成してください。手順は簡単な3ステップです。
管理したいドメイン名を入力し、レコードを作成して、DNSに公開するだけです。
2.DMARCポリシーの設定
DMARCのレコードを作成する際は、DMARCコンプライアンスポリシーを選択する必要があります。3つのポリシーモードから1つを選択できます。
| ポリシー | アクション | 使用時期 | メリット・デメリット |
|---|---|---|---|
| なし(p=なし) | 不正なメールに対する措置は行わない | 初期設定および監視段階 | 長所:テストに安全 短所:保護機能なし |
| 検疫(p=quarantine) | 迷惑メールをスパムフォルダに移動する | 段階的な施行期間 | 長所:ある程度の保護機能 短所:一部の脅威がユーザーに到達する可能性がある |
| 拒否(p=reject) | 認証されていないメールの配信を停止する | 試験実施後の完全な施行 | メリット:最大限の保護 デメリット:設定を誤ると、正当なメールがブロックされるリスクがある |
サブドメインにも別のポリシーを有効にすることができます。サブドメインのポリシーは、すべてのサブドメインに対してルートドメインのポリシーを上書きすることに注意してください。
3.DMARCレコードを公開する
プロトコルを有効にするには、作成したレコードをDNSで公開する必要があります。あなたのDNSは、変更を伝搬して実装するのに時間がかかるかもしれません。
これで認証されていないメッセージはDMARCに準拠することになります!
DMARCチェックの結果で注目すべき点
|
DMARCレポートの読み方と活用方法
DMARCレポートは、このプロトコルの最も強力な機能の一つです。これを利用することで、どの送信者が自社のドメインを名乗ってメールを送信しているかを直接把握でき、認証エラーが深刻な問題となる前に特定するのに役立ちます。
DMARCレポートの種類
アグリゲートレポート(RUA)
集計レポートは、受信メールサーバーから毎日送信されます。このレポートには、お客様のドメインから受信したすべてのメールの概要が記載されており、どのIPアドレスからメールが送信されたか、SPFおよびDKIMの検証に合格したか否か、また影響を受けたメッセージの数などのデータが含まれています。
これらのレポートはXMLファイルとして配信され、DMARC認証ステータスの推移を監視するための主要なツールとなります。
フォレンジックレポート(RUF)
個々のメールがDMARC認証チェックに失敗した場合、DMARCフォレンジックレポートが生成されます。
これらはほぼリアルタイムで配信され、特定の認証失敗に関する詳細な情報を提供するため、トラブルシューティングに不可欠です。すべての受信メールサーバーがフォレンジックレポートを送信するわけではないため、集計レポートの方が依然として信頼性の高いデータソースとなります。
これら2つのレポートタイプの違いについて詳しく知りたい場合は、以下のガイドをご覧ください DMARCにおけるRUAレポートとRUFレポートの比較をご覧ください。
DMARCレポートを効果的に活用する方法
ドメイン所有者は、DMARCレポートを以下の目的で使用すべきです:
- そのドメインから送信されるすべての正当なメール送信元を特定する
- ドメインの直接なりすましを試みる不正な送信者を特定する
- 特定のメールが認証に失敗する理由を理解する
- すべての送信元において、SPFおよびDKIMが常に正常に通過していることを確認してください
- DMARCの適用に向けた進捗状況を追跡する
生のDMARCレポートは、手作業で読み解くのが困難な複雑なXMLファイルとして届きます。PowerDMARCは、これらのレポートを分かりやすいダッシュボードに変換し、ドメイン所有者が生データを解析することなく、メール認証の状況を包括的に把握できるようにします。
DMARCへの準拠とメールの配信率
DMARC準拠を達成することによる、最も直接的で測定可能なメリットの一つは、メールの配信率の向上です。
ドメインが適切に認証されると、受信側のメールサーバーは、そのメッセージが正当なものであると確信しやすくなり、スパムとしてマークされたり拒否されたりする可能性が大幅に低くなります。
DMARCが配信率を向上させる仕組み
DMARCによる保護がない場合、特にそのドメインが過去になりすましに悪用されたことがある場合、そのドメインから送信された正当なメールがスパムフィルターに引っかかったり、完全にブロックされたりする可能性があります。
適切に実施されたDMARCポリシーは、メールサーバーに対して、あなたのドメインが信頼できるものであり、不正な送信者がブロックされていることを示します。これにより、正当なメールの受信トレイへの到達率が直接向上します。
一括送信に関する要件
GoogleとYahoo GoogleとYahooは、更新されたメール認証要件の一環として、大量送信者に対しDMARCへの準拠を義務付けるようになった。
これらの要件を満たせない組織は、メールが大規模にブロックされたりフィルタリングされたりするリスクがあるため、DMARCの導入は単なる推奨されるベストプラクティスではなく、ビジネス上の必須要件となります。
BIMIとブランドの認知度
DMARCを「p=reject」で適用すると、受信者の受信トレイにブランドロゴを直接表示するBIMIなどの高度な機能が利用可能になります。これにより、ブランドの認知度が向上し、受信者の信頼を築くことができます。
また、これは Gmailの青い認証マーク。これは、大量のメールを送信する送信者にとって、強力な信頼の証となります。
よくあるご質問
1. DMARCに準拠しているとはどういう意味ですか?
DMARCに準拠しているということは、ドメインのメール認証(SPFおよび/またはDKIM)がDMARCポリシーと整合しており、正当なメールのみが配信され、不正なメッセージは拒否または隔離されることを意味します。これには、SPFまたはDKIMレコードの適切な設定と、DMARCポリシーの公開が必要です。
2. DMARCに準拠するにはどうすればよいですか?
DMARCに準拠するには、ドメインのメール認証を設定し、DNSにDMARCポリシーを公開する必要があります。これには、SPFおよびDKIMレコードの設定、DMARCレコードの作成、DNSへの公開、認証レポートの監視、そして「p=quarantine」や「p=reject」といったより厳格なポリシーの段階的な適用が含まれます。
3. DMARC違反とは何ですか?
DMARC違反は、メールがDMARC認証チェックに失敗した場合に発生します。これは、SPFまたはDKIMの認証に失敗したか、認証されたドメインが「From」ヘッダーのドメインと一致しないことを意味します。これにより、DMARCポリシーで指定されたアクション(none、quarantine、またはreject)が実行されます。
4. DMARCとは何ですか?また、どのように機能するのですか?
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPFおよびDKIMを利用して電子メールの正当性を検証する認証プロトコルです。このプロトコルは、認証されたドメインが「From」ヘッダーと一致するかどうかを確認し、指定されたポリシーアクションを適用した上で、ドメイン所有者向けにレポートを生成することで機能します。
5. 無制限のサブドメインをサポートしつつ、DMARCへの準拠を維持するにはどうすればよいですか?
DMARCコンプライアンスを維持するために、無制限のサブドメインをサポートすることは困難です。以下をお勧めします:
- サブドメインにワイルドカードDMARCレコードエントリーを使用する
- 厳密なSPFとDKIMのアライメントを実施する
- DMARCレポートを定期的に確認してください
- DMARC sp(サブドメイン)ポリシーの実装
- DMARCポリシーを徐々に実施する
- PowerDMARCのような一元化されたメール認証管理サービスをご利用ください
6. 規定に準拠していないメッセージは減少するのでしょうか?
準拠していないメッセージが配信されるかどうかは、DMARCポリシーによって異なります。DMARCを「none」に設定している場合、準拠していないメッセージも配信されます。一方、「quarantine」や「reject」に設定している場合は、準拠していないメッセージはそれぞれ隔離フォルダに格納されるか、拒否されます。
7. DMARCがない場合はどうなりますか?
DMARCを導入していない場合、ドメインはなりすましやドメイン名の不正使用のリスクが高まります。さらに、DMARCを導入していないと、BIMIを利用してGmailの受信トレイに視覚的なマークを表示することができません。また、Gmailで大量送信を行う場合、DMARCへの準拠は送信者にとって必須要件となっています。したがって、準拠していないと、メールの配信に問題が生じる可能性があります。
8. DMARCに準拠するにはどのくらいの時間がかかりますか?
手作業で行う場合、DMARCへの100%準拠を達成するには数ヶ月を要する可能性があります。しかし、PowerDMARCのような信頼できるサービスプロバイダーを利用すれば、移行による悪影響を受けることなく、市場最速のペースで準拠を達成することができます。
9. DMARCへの準拠は法律で義務付けられていますか?
英国、カナダ、デンマークなど数カ国は、政府機関に対しDMARC準拠を義務付けている。2025年以降、ペイメントカード業界も、ペイメントカード情報を扱う組織に対してDMARCを義務化する予定です。
10. DMARCの準拠とDMARCの適用にはどのような違いがありますか?
DMARCへの準拠とは、メールドメインの設定において、SPFおよび/またはDKIMをDMARCポリシーに準拠させ、メールの認証を行うことで、不正利用の防止に役立てることを意味します。
DMARCの適用とは、DMARCポリシーを「隔離」または「拒否」に設定し、認証に失敗したメールをブロックするか、スパムフォルダに振り分けるようにすることを指します。
11. OutlookはDMARCを使用していますか?
Outlookは、SPFやDKIMといった他のメール認証プロトコルと同様に、DMARCを採用・実装しています。DMARCは、Outlookなどのメールプロバイダーに対し、認証に失敗したメッセージをどのように処理すべきかを指示するものです。
サイバーセキュリティ専門家PowerDMARC
マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。
最新記事 by Maitham Al Lawati(全て見る)
- フィッシングメールとDMARC統計:2026年メールセキュリティ動向 - 2026年1月6日
- 2026年に「SPFレコードが見つかりません」を修正する方法 - 2026年1月3日
- SPF パーエラー:DNS ルックアップが多すぎる場合の修正方法 - 2025年12月24日
