DMARCの外部ドメインがレポート送信を許可していない場合、このガイドをご覧ください。ご存知でしたか？ DMARCレポートを受信できることをご存知ですか？DMARC External Destination Verification（DMARC外部送信先検証）により、独自ドメインの範囲外のメールアドレスにDMARCレポートを送信することが可能です。ドメイン company.comを所有している場合、以下のアドレス（例）にレポートを送信できます。 [email protected]ここで、company.comはmailreports.netに対する権限を持たず、両者は完全に別のドメインです。

ただし、これを実現するためには、レポート受信側のドメイン（mailreports.net）が のDMARCデータを含むレポートを受信することに同意するという承認を提供する必要があります。(company.com)のDMARCデータを含むレポートを受信することに同意するという承認を提供する必要があります。

これを可能にする方法を「外部ドメイン認証」と呼びます。本日は、外部ドメイン認証とは何か、そして認証の旅にどのように役立つかを説明します。

DMARC外部ドメイン認証 - 解説

例えば、次のようなドメインを所有しているとします。 カンパニー・ドット・コムを所有しており、ドメインのDMARCを有効にしているとします。あなたは今、DMARC集約レポートを通してメール送信元に関する情報を受け取りたいと思っています。しかし、あなたの内部ドメインやサブドメインの受信トレイにスパムが届くのを避けるため、これらのレポートを外部の宛先にリダイレクトしたいとします。例えば mailreports.net.

これは、複数のドメインを登録し、第三者が存在し、ドメインとの間で大量の情報が行き来している企業がよく行う手口です。 

そのためには、その後のDMARCレコードは次のようになります： 

v=DMARC1;p=quarantine; rua=mailto:[email protected]

[カスタムレコードを無料で作成するには、当社の DMARCレコードジェネレーターツール] をご利用ください。

ruaタグは、DMARCレポートを受け取るためのメールアドレスを指定します。ここで、DNSにmailreports.netへのデータ送信を要求するレコードを公開したからといって、そのとおりになるとは限らないことに注意してください。そんなに簡単なことではないのです。

レポートを受信するドメインは、次のドメインからレポートを受信することにデジタルで同意する必要があります。 company.comからからレポートを受信することにデジタル同意を提供しなければならない。これは、外部ドメイン検証または外部宛先検証として知られている。 RFC 7489 7.1).

PowerDMARCによる外部デスティネーション検証の簡素化！

なぜ外部送信先検証が必要なのか？潜在的な脅威と脆弱性

以下の理由により、外部ドメイン検証を選択することができます。

• DMARCの外部ドメインは、レポートの送信を許可していません。
• メールサーバーを運用していないドメインをお持ちの方
• 外部ドメインの検証を行わない場合、サイバー攻撃者は、（被害者の）外部ドメインに言及したDMARCレコードを簡単に作成し、レポートを受け取ることができます。攻撃者が送信したすべての悪質なメールのレポートが、被害者の受信トレイに殺到することになります。 

外部送信先検証により、脅威者の悪事を阻止し、ドメイン所有者はメールサーバーを運営する外部ドメインにレポートを転送することができます。 

外部ドメイン認証の仕組みは？

外部報告先の検証 

DMARCレコードを公開したドメインがメールを送信する際、メール受信サーバーはレコードを公開した組織ドメインがDMARCレコードのrua（またはruf）タグに記載されている組織ドメインと完全に一致するかどうかをチェックします。 

一致しない場合で、レポートを受け取るために外部のドメインが指定されている場合は、検証プロセスが開始されます。 

そのため、レポート受信ホストのDNSに問い合わせを行い、レポート受信に同意しているかどうかを検証します。同じことを証明するDMARCレコードがそのDNSで見つかった場合、検証チェックが通過し、レポートが外部ドメインに送信されます。失敗した場合、レポートは配信されません。 

DNSのタイムアウトやその他のマイナーな問題により、一時的に受信サーバーが外部宛先確認処理を完了できないことがあります。しかし、後で再試行されます。 

特定のドメイン（およびサブドメイン）に対する外部宛先検証の設定 

先ほどの例で、特定のドメインやサブドメインに対して、外部宛先検証プロセスがエラー結果を返さないようにする方法を考えてみましょう。  

ドメイン名例：company.com 

外部レポート受信ドメイン例：mailreports.net 

mailreports.netドメインに、以下の情報を持つDMARC DNSレコードを公開する必要があります。 

備考: ドメイン名は、あなた自身のドメインと、あなたのレポートを受け取りたい外部ドメインに置き換えてください。このレコードは、あなたのドメインで公開されるのではなく、あなたのレポートを送信する外部ドメインで公開されます。

これで完了です。外部宛先検証の際、ruaまたはrufタグに記載された優先外部ドメインが、実際にあなたのドメインの代わりにDMARCレポートを受け取ることに同意していることを、メール受信サーバーに通知することができます。 

外部宛先検証のためのオプション構成

特定のドメインのアドレスにレポートを送信する許可を与えるために、上記のレコードを発行する代わりに、外部ドメインはしばしば、そのアドレスにレポートを送信するための ワイルドカードレコード (アスタリスク "*"で始まる)を使用することがよくあります。

これは、ワイルドカードレコードが本質的に外部ドメインがDMARCレポートを受け取ることに同意していることを示すので、余分な労力を避けるための単なる近道です。 外部ドメインは、あらゆるドメインからのDMARCレポートの受信に同意していることを意味する(からのDMARCレポートを受け取ることに同意していることを示すからです（あなたの特定のドメインだけではありません）。

以下は、外部ドメイン認証に使用するワイルドカードレコードの構文（例）です。 

ワイルドカードエントリーの使用に伴う潜在的なリスク

外部ドメイン認証にワイルドカードエントリーを使用することは推奨される行為ではなく、潜在的なリスクが伴います。これは、あるドメインが任意のドメインからのレポート受信を承諾した場合、悪質な業者がこれを利用して、レポートを規制またはフィルタリングする仕組みがないまま、悪質なドメインからの大量のレポートでメールアカウントをスパムする可能性があるためです。これは、レポートを受け取るドメインにとって潜在的に有害であり、また、そのドメインを使用して独自のレポートを受け取っているあなたにとっても問題を引き起こす可能性があります。 

PowerDMARCの外部ドメイン検証はどのように行うのですか？

PowerDMARCのアカウントを作成し、レポートを受信しているクライアント様には DMARCレポートアナライザーダッシュボードは、外部ドメインの検証を弊社が代行するため、心配する必要はありません。受信者から送信されたすべてのレポートは自動的にルーティングされ、弊社のプラットフォームに送信されます。お客様が外部宛先検証プロセスを合理化するためにレコードを発行しなくても、きちんと解析され整理されて表示されます。DMARCレコードに当社のカスタムrua（またはruf）アドレスを指定するだけです。

外部宛先の検証およびDMARCの実装プロセスを容易にするために、今すぐご登録ください。 DMARCトライアル.

• について
• 最新記事

Ahona Rudra

ドメインとメールセキュリティのエキスパートPowerDMARC

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

• マイクロソフト、メール送信者ルールを強化：見逃せない主なアップデート- 2025年4月3日
• DKIMの設定：メールセキュリティのためのDKIM設定ステップバイステップガイド (2025)- 2025年3月31日
• PowerDMARC が G2 Spring Reports 2025 で DMARC のグリッドリーダーに認定される- 2025年3月26日