無料DMARCレコードジェネレーター
わずか数秒で、ご自身のドメイン用の有効なDNS TXTレコードを作成できます。ポリシーを選択し、報告先アドレスを追加して、結果を直接DNSに貼り付けるだけ。アカウント登録は不要です。
わずか数秒で、ご自身のドメイン用の有効なDNS TXTレコードを作成できます。ポリシーを選択し、報告先アドレスを追加して、結果を直接DNSに貼り付けるだけ。アカウント登録は不要です。
サブドメイン_dmarc.YOURDOMAIN.comに、以下のDNS TXT レコードを登録してください。
0+
世界中の組織0+
フォーチュン100企業および政府0+
対応国DMARCとは、Domain-based Message Authentication, Reporting, and Conformance(ドメインベースのメッセージ認証、報告、および準拠)の略称です。DMARCレコードとは、_dmarc.yourdomain.com に公開されるDNSのTXTレコードであり、SPFやDKIMの認証に失敗したメッセージをメール受信者がどのように処理すべきかを指定するものです。これにより、ドメインをなりすましから保護し、メールの配信率を向上させるとともに、誰があなたの名義でメールを送信しているかを把握できるようになります。
さらに詳しく知りたい方は、以下の記事をご覧ください:
当社のDMARCジェネレーターはレコード作成を自動化するため、構文エラーを心配する必要はありません。ポリシーを選択し、レポート送信先アドレスを設定し、サブドメインの挙動やアラインメントモードなどの詳細オプションを調整してください。
このツールはすべてのフィールドの妥当性を検証し、公開可能なDNS TXTレコードを出力します。手動でのレコード作成とは異なり、npやtといった新しいタグのサポートを含め、RFC 9989への準拠が最初から確保されています。
5つの簡単なステップでDMARCレコードを作成しましょう:
ルートドメインに対して、「なし(監視)」、「隔離(ソフト)」、または「拒否(強制)」のいずれかを選択してください。新しいドメインの場合は、強制適用を行う前にトラフィックを監視するため、p=none から開始してください。
集計レポートをご覧になるには、RUAメールアドレスを入力してください。必須ではありませんが、レポートにはドメインの認証に関するあらゆる状況が反映されるため、入力することを強くお勧めします。
spタグを使用してサブドメインの動作を定義します。空白のままにするとルートポリシーが継承され、段階的な導入を行う場合は明示的に設定してください。
障害報告(RUF)を追加し、アライメントモード(厳格モードの場合はadkim、緩和モードの場合はaspf)を設定し、フォレンジックトリガー(fo)を選択します。
「生成」をクリックします。出力された内容をコピーし、DNSプロバイダーに貼り付けます。これで完了です。
初めてご利用の方へ:各フィールドごとの手順やベストプラクティスについては、ガイドをご覧ください。
DMARCレコードはタグから構成されます。各タグは、ポリシーおよびその適用に関する特定の側面を制御します。以下は、新たに追加されたタグや非推奨となったオプションを含め、RFC 9989に準拠するすべてのタグに関する完全なリファレンスです。
| タグ | 目的 | 例 | 必須ですか? | ステータス |
|---|---|---|---|---|
| v | バージョン | v=DMARC1 | はい。 | 現在 |
| p | ルートドメインポリシー | p=none | はい。 | 現在 |
| sp | サブドメインポリシー | sp=reject | オプション | 現在 |
| いいよ | 存在しないサブドメインに関するポリシー | np=reject | オプション | 新規 (RFC 9989) |
| ルア | 集計レポートのメール | rua=mailto:[email protected] | オプションだが推奨 | 現在 |
| ruf | 障害報告メール | ruf=mailto:[email protected] | オプション | 現在 |
| adkim | DKIMアライメント | adkim=s | オプション | 現在 |
| aspf | SPFアライメント | aspf=r | オプション | 現在 |
| fo | フォレンジックオプション | fo=1 | オプション | 現在 |
| t | テストモード | t=y | オプション | 新規 (RFC 9989) |
| psd | パブリックサフィックスドメインフラグ | psd=y | オプション | 新規 (RFC 9989) |
| pct | 保険契約の進行率 | pct=100 | オプション | 非推奨 |
| rf | 報告書様式 | rf=afrf | オプション | 非推奨 |
| リ | レポート間隔 | ri=86400 | オプション | 非推奨 |
p=none → p=quarantine → p=reject. DMARCには、さまざまなドメインレベルでの適用を制御する3つのポリシータグがあります:
| ポリシータグ | 価値観 | 使用方法 |
|---|---|---|
| p | none, quarantine, reject | これは、組織全体におけるデフォルトとなる主要なポリシーです。 |
| sp | none, quarantine, reject | サブドメイン(例:mail.company.com、marketing.company.com)の動作を制御します。指定しない場合、サブドメインはルート p ポリシーの設定を継承します。ルートポリシーの制限を強化する前に、サブドメインに対して段階的に制限を適用したい場合にこれを使用します。 |
| いいよ | none, quarantine, reject | これまでメールを送信したことがないサブドメインの動作を制御します。タイポスクワッターによるドメインネームスペースの悪用を防ぎます。spとは独立して設定することで、未使用のサブドメインを悪用から保護します。 |
ホスティングプロバイダーごとに、DMARCレコードを公開するための手順は異なります。詳細については、各プロバイダーのサポートにお問い合わせください。一般的な手順は以下の通りです:
DNS管理コンソールにアクセスする— ドメイン登録業者またはホスティングプロバイダのコントロールパネルにログインしてください。
新しいTXTレコードを作成する— ドメインのDNSゾーンファイルに新しいDNSレコードを追加します。
レコードタイプを「TXT」に設定してください— レコードタイプが「A」、「CNAME」、または「MX」ではなく、「TXT」に設定されていることを確認してください。
host/name を「_dmarc」に設定してください。— host フィールドには、必ず「_dmarc」(引用符なし)と入力してください。
生成されたレコード値を貼り付けてください— 当社のジェネレーターツールからDMARCレコード値全体をコピーし、「値」フィールドに貼り付けてください。
保存と確認— 公開したら「保存」をクリックしてください。DMARCレコードがDNSに反映されるまで最大72時間かかる場合がありますが、多くの場合、それより早く有効になります。当社の無料DMARCチェッカーツールを使用して、レコードが有効になっているか確認してください。
DMARCを導入する際は、以下の落とし穴に注意してください:
p=reject から開始— 認証情報が完全に一致しない場合、正当なメールもブロックされてしまいます。監視を行う場合は、必ず p=none から開始し、数週間から数か月にわたって検疫を経て、最終的に拒否へと段階的に移行してください。
「rua(レポート)」メールの受信を無効にする— レポートがなければ、何が起きているのか把握できません。集計レポートは、不整合な送信元や、正当なメールが認証に失敗しているケースを特定するために不可欠です。
厳格な整合モードを早すぎる段階で適用すること— adkim=s と aspf=s の両方を設定すると、転送メールやサードパーティの送信者が直ちに機能しなくなります。最初は緩やかな設定(r)から始め、ソースの整合が進むにつれて徐々に厳格化してください。
sp を使用してサブドメインを無視する— sp を設定しない場合、すべてのサブドメインはルートポリシーを継承しますが、そのポリシーが厳しすぎる可能性があります。段階的な導入を管理するために、サブドメインの挙動を明示的に定義してください。
RFC 9989 との互換性を考慮せずに pct=0 を設定する場合— メール受信側は pct を認識しません。RFC 9989 準拠のシステムでは、代わりに t=y を使用して段階的な導入を通知してください。
DMARCの有効化は、あくまで第一歩に過ぎません。以下にロードマップをご紹介します:
当社の無料DMARCチェッカーを使用して、レコードが有効であり、構文的に正しいことを確認してください。所要時間はわずか数秒で、後々のデバッグ作業の煩わしさを防ぐことができます。
RUAのメールアドレスに毎日の集計レポートが届くようになります。当社のDMARCアナライザーを使用してレポートを解析し、メールのフローを把握し、不整合な送信元を特定してください。
SPFレコードとDKIMレコードも正しく設定されていることを確認してください。DMARCの適用には、両方が正常に機能していることが必要です。当社のSPFチェッカーおよびDKIMチェッカーをご利用ください。
1~2週間、問題のないレポートが続いた後、p=none → p=quarantine → p=reject の順に段階的に引き上げていきます。適用を急がないでください。設定が合っていない正当なメールがブロックされ、ユーザーからの苦情につながる恐れがあります。
自社ドメインを装った未認証のメールに対して、リアルタイムのアラートを設定してください。これにより、ユーザーの受信箱に届く前に、進行中のなりすましを検知することができます。
すべての正当なメール送信元(マーケティングプラットフォーム、決済処理業者、通知システムなど)を特定し、SPFまたはDKIMによる認証が行われていることを確認してください。
PowerDMARCのホスト型DMARCサービスは、リアルタイムの可視性を活用し、監視から「p=reject」の完全な適用に至るまで、安全に導きます。
ホスト型DMARC→Channel Next 最高経営責任者(CEO)
「PowerDMARCのMSPパートナープログラムは、お客様のメールドメインをサイバー脅威から守る最先端のソリューションを提供すると同時に、新たな収益源を開拓し、当社のサービス提供体制を強化します。」