ここ数年の間に、Google、Yahoo、その他の主要なメールプロバイダーは、メールセキュリティ要件に大きな変更を加えました。今日、DMARC、DKIM、SPF、MTA-STSによるドメインの認証は、さまざまな業界や国で推奨または必須となっています。
大手電子メールプロバイダー、政府機関、規制機関の取り組みがこのように大きく変わったのは、電子メールのセキュリティ強化に向けた世界的な取り組みの顕著な反映である。その目的は、電子メールの配信性を高め、スパム率を下げ、大規模なデータ漏洩や風評被害を引き起こす可能性のある電子メールベースのサイバー攻撃を減らすことである。
このように急速に進化する要件により、DMARCは近い将来、世界中で義務付けられているサイバーセキュリティ戦略の不可欠な要素になる可能性が高い。
2025年におけるDMARCの主な要件
グローバルDMARC要件
- GoogleとYahooのバルク送信者の要件
大量送信者(5,000通/日以上)は、TLS、DKIM、SPFでドメインを認証し、少なくともp=noneのDMARCポリシーを持たなければならない。この要件は当初、2024年2月から施行される予定だった。
- グーグルおよびヤフーの一般的な送信者の要件
一般的な電子メール送信者は、正当な電子メールを認証し、高いスパム率やなりすましを防止するために、SPFまたはDKIMのいずれかを実装することも期待されている。
- PCI-DSSバージョン4の推奨事項
PCI DSS v4.0では、フィッシングを防止するためのメカニズムが推奨されており、グッドプラクティスではDMARC、SPF、DKIMの使用が推奨されています。
地域のDMARC要件
地域 | 要件名 | 要件 説明 | ソースリンク |
---|---|---|---|
EU諸国 | GDPR(一般データ保護規則) | GDPRの下では、貴社に代わって欧州の消費者のデータを取り扱うクラウドサービスプロバイダー各社との間で、データ処理契約(DPA)を締結することが義務付けられている。 | 続きを読む |
EU諸国 | DORA(デジタル・オペレーショナル・レジリエンス法) | デジタル・オペレーショナル・レジリエンス法(DORA)は、20の異なるタイプの金融機関とICTサードパーティ・サービス・プロバイダーに適用されることで、金融部門(銀行、保険会社、投資会社など)のオペレーショナル・レジリエンスに関する規則の調和を目指している。DMARCは、電子メールベースのサイバー攻撃からの保護を提供し、間接的にDORA法への準拠を保証するため、金融機関にとって重要な意味を持つ。 | 続きを読む |
カナダ | 電子メール管理サービスの構成要件 | 政府機関の電子メールは、SPF、DKIM、およびDMARCを使用して検証されなければならない。 | 続きを読む |
デンマーク | 政府当局の最低技術要件 | 政府機関は、すべてのドメインにp=rejectのDMARCポリシーを導入しなければならない。 | 続きを読む |
ニュージーランド | ニュージーランド情報セキュリティマニュアル バージョン3.6 | DMARCとDKIMコントロールのコンプライアンスをSHOULDからMUSTに変更し、DMARCポリシーの設定をp="none "からp="reject "に変更。 | 続きを読む |
アイルランド | 公共部門サイバーセキュリティ基本基準 | Public Sector Cyber Security Baselinesは、電子メールのセキュリティを強化するためにSPF、DKIM、DMARC、TLSを使用することを推奨しています。しかし、これはあくまでも提案であり、必須条件ではありません。 | 続きを読む |
オランダ | 「遵守または説明」基準 | DKIM、SPF、STARTTLS、DANEとともに、DMARCを実装することが政府機関の要件となっている。これは、電子メールの保護と認証のための「Comply or Explain」基準の一部である。 | 続きを読む |
サウジアラビア | 必須サイバーセキュリティ統制(ECC)導入ガイド | サウジアラビアの組織は、詐欺的なメッセージをフィルタリングするための高度なフィッシング・プロテクション技術として、DKIM、SPF、DMARCを使用することが推奨されている。 | 続きを読む |
英国 | 政府サイバーセキュリティ政策ハンドブック 原則 | 2024年3月、政府のサイバーセキュリティポリシーが最小限のサイバーセキュリティポリシーに取って代わった。この更新により、MTA-STSとTLS-RPTが「推奨」から「必須」に変更され、PTRレコードへの言及が追加された。 | 続きを読む |
米国 | 拘束力のある運用指令18-01 | 拘束力のある運用指令18-01は、すべての連邦政府機関にSTARTTLS、SPF、DKIM、およびp=rejectのDMARCポリシーの使用を義務付けている。 | 続きを読む |
米国 | HIPAA(医療保険の相互運用性と説明責任に関する法律) | 1996年のHIPAA(Health Insurance Portability and Accountability Act:医療保険の 相互運用性と説明責任に関する法律)に基づき、HIPAAプライバシー・ルールは、 特定の機密性の高い医療関連情報を保護するための国家基準を定めています。DMARCは、HIPAA規制の遵守を保証する上で不可欠なツールとなります。 | 続きを読む |
オーストラリア | ASD(オーストラリア通信総局)による情報セキュリティマニュアル | SPF、DKIM、DMARCを使用して、電子メールベースの脅威を抑えることを推奨しています。 | 続きを読む |
オーストラリア | ASD(オーストラリア通信総局)による情報セキュリティマニュアル | SPF、DKIM、DMARCを使用して、電子メールベースの脅威を抑えることを推奨しています。 | 続きを読む |
オーストラリア | 偽メールに対抗する方法 | SPF、DKIM、DMARCなどの電子メール認証プロトコルを実装し、なりすましを最小限に抑えるための、セキュリティ専門家や電子メールサーバー運営者への推奨事項を概説しています。 | 続きを読む |
オーストラリア | サイバー・セキュリティ・インシデントを軽減する戦略 | オーストラリア通信総局(ASD)によるサイバーリスク軽減戦略の詳細。 | 続きを読む |
ベルギー | DMARC、SPF、DKIMによるランサムウェアの保護と予防 | サイバーセキュリティ・ベルギーセンターによるガイダンス。 | 続きを読む |
チェコ共和国 | サイバーセキュリティ法 - 実施の手引き | 電子メールを送信するドメインは、RFC 7489に記載されている特定のパラメータに準拠したDMARCレコードを持つ必要があります。 | 続きを読む |
フィンランド | Microsoft 365サービスを保護する方法 | フィンランド運輸通信庁Traficomの国立サイバーセキュリティセンターは、Exchange Onlineサーバーの保護戦略について概説している。 | 続きを読む |
フランス | 健全な情報システムのためのガイドライン | 認証メカニズムを実装し、電子メールインフラ(MX、SPF、DKIM、DMARC)に関連するパブリックDNSレコードを適切に設定するための提案。 | 続きを読む |
フランス | サイバー脅威の概要 2021 | 情報セキュリティ機構(Agence Nationale De La Securité des Systèmes D'Information)が発表したサイバー脅威の概要と可能な緩和策。 | 続きを読む |
ドイツ | インターネット・サービス・プロバイダーへの提言 | 電子メールのセキュリティと認証を含むサイバーセキュリティに関する BSI 出版物。 | 続きを読む |
インド | 銀行におけるサイバーセキュリティの枠組み | インド準備銀行のレベルIコンプライアンスは、金融機関に電子メールの脅威を防ぐための適切なセキュリティ対策の実施を求めている。 | 続きを読む |
ノルウェー | メールセキュリティの基本対策 | 電子メールのセキュリティを強化するためのDMARCの実装に関する推奨事項を含む。 | 続きを読む |
フィリピン | DICT、ランサムウェア「WannaCry」に対するサイバーセキュリティ対策について | 強力なスパムフィルターを有効にし、SPF、DMARC、DKIMなどの技術を使って受信メールを認証することで、メールのなりすましを防ぐ。 | 続きを読む |
ポーランド | 電子通信における不正行為の防止に関する法律-電子メール・プロバイダーおよび公的機関に対する新たな義務 | 2023年9月25日以降、ポーランドの公的機関は、電子メールの送信者を認証し、なりすましやスミッシングに対抗するため、SPF、DKIM、DMARCの導入を義務付けられている。 | 続きを読む |
ポルトガル | 技術的な推奨 2019年01月および2020年01月 | 組織内のメールセキュリティを強化するために、SPF、DKIM、DMARC標準を実装することが推奨されます。ドメインのDNSにSPF、DKIM、DMARC、MXレコードを設定することで、受信者にメールが「パーク」ドメインから発信されてはならず、発信された場合は破棄されるべきであることを通知することができます。これらの対策は、最適な効果を得るために指定された順序で適用されるべきである。 | 続きを読む(2019年) 続きを読む(2020年) |
スコットランド | スコットランド公共部門サイバー・レジリエンス・フレームワークV1.2 | DKIMおよびSPFレコードと並行してDMARCを実装し、スパムおよびマルウェアのフィルタリングを有効にすることを推奨します。また、インバウンドメールへのDMARCポリシーの適用もベストプラクティスの一つです。 | 続きを読む |
シンガポール | ビジネスメール詐欺(BEC)プレイブック | DMARCを活用することで、悪意のある電子メールをブロックし、ドメイン偽装やフィッシングの試みが受信者の受信トレイに到達するのを最小限に抑えることができる。 | 続きを読む |
2025年にDMARCコンプライアンスが重要な理由
DMARCレコードを利用するメリットについて。
- DMARCはあなたとあなたの会社をメールフィッシングから守ります、 ドメインスプーフィングメールなりすまし、ビジネスメール侵害(BEC)の脅威から企業とお客様を守ります。
- 電子メール送信者のレピュテーションは以下の方法で改善されます。 DMARCの実施.
- DMARCは、メールの到達率を徐々に10%ずつ上げていきます。
- ドメインサーバーにDMARCを導入することで、メールが迷惑メールと判定されることがなくなり、開封率が向上します。
さらに、企業は自社のドメインから誰がビジネスメールの送信を許可されているかを簡単に追跡することができます。これにより、不正な行為を避けることができる。どのように?DNSエントリにドメインのDMARCレコードを公開すると、受信メールサーバーはすべて受信メールを検証し、受信者の受信トレイに配信する前に正当性を確認します。
2025年DMARC要件を満たすための課題
2025年にDMARCの要件を満たすには、あらゆる規模の企業がいくつかの課題に直面する可能性がある:
1.手動セットアップの複雑さ
以下のようなプロトコルの実装 DMARC、SPF、DKIMのようなプロトコルのようなプロトコルの実装は、技術的に困難な場合があり、消極的になったり、しばしば設定を誤ったりすることがあります。しかし、DMARCサービスプロバイダーによる最新の自動化ソリューションのおかげで、この問題は大幅に改善されました。現在では、あらゆる規模の企業がニーズに合ったプロバイダーを選択できるようになり、手作業に伴う手間や複雑さを回避できるようになりました。
2.モニタリングの障害
要件を満たすためのDMARCの設定は、プロトコルのセットアップだけにとどまりません。あなたの旅はそこから始まるのです!DMARCの実装から可能な限り最良の結果を得るには、レポートを通じて結果を監視する必要があります。DMARCの生レポートを解読するのは難しいかもしれませんが DMARCレポートアナライザーツールは、実用的な洞察を提供しながら、それらを人間が読めるようにし、監視しやすくします!
3.第三者送信者の管理
ドメインに代わってメールを送信するすべてのサードパーティサービスを特定することが重要です。これらのサービスが、揃ったDKIM署名でメールを適切に認証していることを確認する必要があります。手作業でこれを行うのは困難です、 マネージドDMARCサービスを利用することで大きな違いが生まれます。
4.メール配信に関する懸念
DMARCポリシーから DMARCポリシーp=noneからp=rejectに移行するには、慎重な監視が必要です。組織はしばしば、正当なメールがブロックされることを恐れます。一貫した配信性を確保するためには、レポートを通じてメールチャネルを監視しながら、DMARCを徐々に実施することが推奨されます。
5.専門知識の欠如
多くのITチームは、DMARC、SPF、DKIMに関する深い知識がありません。組織は、従業員に無料の DMARCトレーニングコースを選択することを推奨することができます。また、DMARC管理プロバイダーに専門家集団をアウトソーシングすることで、既存従業員のトレーニングやスキルアップにかかる時間と労力を削減することができます。
PowerDMARCの2025年コンプライアンスへの貢献
PowerDMARCは、DMARC 要件を満たすためのワンストップ電子メール認証プラットフォームです。PowerDMARC は以下を提供します:
- 自動コンプライアンス監視変化するDMARC規制に対応
- ポリシーの実施を導くp=noneからp=rejectへ安全に移動する。
- リアルタイムの脅威インテリジェンスフィッシング未遂を事前に検知。
- フォーチュン100社や90カ国以上のMSPに信頼されています。
- 包括的なSPF & DKIMアライメントサードパーティの送信者が適切に認証されるようにします。
- 高度なレポートと分析詳細なDMARCレポートにより、メール認証の失敗を完全に可視化します。
- BIMIとMTA-STSのサポート認証レイヤーを追加することで、ブランドの信頼と電子メールのセキュリティを強化します。
- SPFの自動最適化SPFルックアップの失敗を防ぐための SPFマクロ.
最後の言葉
2025年はDMARC施行の転換期であり、企業はメールの混乱やセキュリティリスクを回避するために今すぐ行動を起こす必要があります。大手メールプロバイダのポリシーが厳しくなる中、コンプライアンスの確保はもはやオプションではありません。 あなたのドメインはDMARCに準拠していますか? コンプライアンス今すぐステータスを確認し、Eメールチャネルを保護するために必要な対策を講じてください。
手遅れになるまで待つ必要はありません!今すぐ PowerDMARC にご連絡ください。 DMARCトライアル2025年DMARC要件への完全準拠を保証します!
- DMARCの誤検知:原因、対策、予防ガイド- 2025年6月13日
- ニュージーランド政府、新しいセキュアメールフレームワークでDMARCを義務化- 2025年6月9日
- なりすましメールとは?- 2025年5月29日