DMARCレコードの作成と公開方法
最終更新日:
9 読了時間:約9分
主なポイント
- DMARCレコードはDNSのTXTエントリで、送信メールの認証やなりすましやフィッシング攻撃の防止に役立ちます。
- 適切なDMARCポリシーを選択することは、不正な電子メールの処理を制御するために不可欠です。
- DMARCを実装するには、cPanel、GoDaddy、またはCloudflareなどのツールを使用して、レコードをドメインネームシステム(DNS)に公開する必要があります。
- 積極的にメールを送信しないドメインであっても、潜在的な悪用を防ぐために、制限的なDMARCレコード、特に "p=reject "を持つべきである。
- 最適な結果を得るためには、ドメインごとに1つのDMARCレコードを維持し、メール配信の問題を避けるために徐々に実施することをお勧めします。
- PowerDMARCのようなソリューションは、DMARCレコード管理を自動化し、AI主導の脅威インテリジェンスの使用により監視を簡素化します。
DMARC(ドメインベースメッセージ認証、報告、準拠)は、送信メールを認証するための技術プロトコルです。DMARCは、フィッシングやスプーフィングを含む様々なメールベースの脅威に対する第一の防御ラインとして機能します。 フィッシングやなりすましなどの様々なメールベースの脅威に対する最初の防御ラインとして機能します。
設定する DMARCを設定するにはには、DMARCレコードを作成する必要があります。作成されたDMARCレコードはTXTレコードであり、DNSに公開されます。これによりメール認証プロセスが開始されます。
DMARCレコードを設定することで、ドメイン所有者は受信者に対し、不正な送信元から送信されたメールへの対応方法を指示できるようになります。
マイサム・アル・ラワティの専門家アドバイス:「医療や金融分野の組織にとって、DMARCは単なるセキュリティ対策ではなく、厳格なコンプライアンス要件を満たすための手段です。まずは監視から始め、その後で強制的に適用しましょう。」
このガイドでは、DMARC DNS TXTレコードを正しく作成・公開する方法、および検証方法とよくあるエラーのトラブルシューティングについて説明します。
DMARCレコードとは何ですか?
DMARCレコードは DNS TXTレコード であり、メールサーバーが認証チェック(SPF および DKIM)に失敗したメッセージをどのように処理すべきかを指定します。
ドメイン所有者が メールのなりすまし およびフィッシングを防止します。これにより、受信サーバーに対して不正なメールを拒否、隔離、または許可するかを指示します。
DMARCレコードの構造
DMARCの各タグを理解することは、適切な設定に不可欠です。以下にDMARCレコードの全構成要素を包括的に解説します:
| タグ | 説明 | 可能な値 | 例 |
|---|---|---|---|
| v | バージョン(必須) | DMARC1 | v=DMARC1 |
| p | ドメインポリシー(必須) | なし、隔離、拒否 | p=quarantine |
| ルア | 集計レポートメール | メールアドレス | rua=mailto:[email protected] |
| ruf | 法医学報告書メール | メールアドレス | ruf=mailto:[email protected] |
| sp | サブドメインポリシー | なし、隔離、拒否 | sp=拒否 |
| adkim | DKIMアライメントモード | r (緩い), s (厳しい) | adkim=r |
| aspf | SPFアライメントモード | r (緩い), s (厳しい) | aspf=r |
| pct | ポリシーを適用するメールの割合 | 0-100 | pct=25 |
| fo | フォレンジックオプション | 0, 1, d, s | fo=1 |
| rf | 報告書様式 | afrf | rf=afrf |
| リ | レポート間隔(秒) | 番号 | ri=86400 |
DMARCレコードの例
以下は、さまざまなユースケースにおける実際のDMARCレコードの例です。ご自身のドメインに合わせてコピーしてカスタマイズしてください:
基本監視モード(初心者向け推奨)
- v=DMARC1; p=none; rua=mailto:[email protected]
- ユースケース:強制適用なしのメールトラフィック監視を目的とした初期DMARC実装。
検疫方針と報告
- v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=25
- ユースケース:段階的な適用によりメールの25%に影響を与え、集計レポートと詳細な調査レポートの両方を提供する。
厳格な施行方針
- v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected]; adkim=s; aspf=s
- ユースケース: ドメインとサブドメインの両方に対して厳密な整合性を伴う完全な保護。
送信元ドメイン保護
- v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s
- ユースケース: メールを送信しないが、なりすましからの保護が必要なドメイン。
DMARCレコードタグの解説
1.DMARCポリシーモード
DMARCポリシーは、DMARC認証に失敗したメールを受信者がどのように処理すべきかを定義します。p "で示されます。以下の3つの値があります:
- p=none: 不正なメールに対して何の措置も取らない。
- p=検疫: 不審なメールをフラグ付けする。
- p=reject: 受信者に届く前に、許可されていないメールを拒否します。
2.DMARCレポートオプション
- 集計レポート (rua=): 指定されたメールアドレスに送信される要約レポートで、ドメインからの全メールの認証結果を表示します。
- フォレンジックレポート (ruf=): これらは、メールがDMARC認証に失敗した際に送信される詳細な失敗レポートです。
3.DMARCアライメントモード
- SPF整合性 (aspf=): From: ヘッダーの送信者ドメインが SPF レコードと整合するかどうかを判定します。厳密な一致を要求する厳格な整合 (s) または組織単位レベルでの一致を許容する緩和された整合 (r) のいずれかを選択できます。
- DKIM整合性 (adkim=): DKIM署名が DKIM署名の ドメインが From: ヘッダーのドメインと一致するかどうかを判定します。厳密な一致を要求する厳格な (s) アライメントと、組織単位レベルでの一致を許容する緩和された (r) アライメントのオプションがあります。
DMARCがサブドメインでどのように機能するか
「sp」(サブドメインポリシー)タグは、DMARCポリシーがサブドメインにどのように適用されるかを制御します。指定されていない場合、サブドメインはメインドメインのポリシーを継承します。
- 継承: サブドメインは親ドメインのDMARCポリシーを自動的に継承します
- オーバーライド: サブドメインごとに異なるポリシーを設定するには「sp=」タグを使用してください
- ベストプラクティス: メールを送信しないサブドメインに対しては、より厳格なポリシーを設定する
DMARCレコードの作成方法
あなたのドメインにDMARC DNSレコードを作成するには、以下を確認してください:
- a) 記録を作成するための信頼できるツール
- b) DNS管理コンソールにアクセスし、レコードを公開する。
以下の手順に従って、記録を作成してください:
1.DMARCレコードを作成する
登録 メールアドレスで登録してポータルにアクセスするか、 Gmail/Office 365で登録してください。分析ツール > PowerToolbox > 無料DMARCレコード生成ツール に移動し、DMARC レコードの作成を開始してください。
2. DMARCレコード用のDMARCポリシーを定義する
DMARCポリシー DMARCポリシー希望する実施レベル(なし、隔離、拒否)に応じてDMARCポリシーを決定します。DMARCレコードポリシーの選択方法は以下の通りです:
- あなたのドメインから送信された迷惑メールに対して何もしない場合は、"none "を選択してください。
- DMARCに失敗したメールを隔離したい場合は、「隔離」を選択してください。
- 認証に失敗したメールを拒否または破棄し、なりすましやフィッシング攻撃を最小限に抑えたい場合は、「拒否」を選択してください。
3.推奨DMARCレコードオプションフィールドの設定
すべてのフィールドが必須というわけではありませんが、DMARCレコードにいくつかの便利なオプションフィールドを設定することをお勧めします。それでは、これらのフィールドについて見ていきましょう:
- 集計(rua)報告フィールド:ruaフィールドを設定すると、DMARC認証データをあなたのメールアドレスに直接送信します。
- フォレンジック(ruf)レポートフィールド:DMARCレコードにrufフィールドを設定することで、サイバー攻撃などのフォレンジックインシデントに関する洞察を得ることができます。
- DKIM/SPFアライメントモード" SPFやDKIMのアライメントを緩やかにするか、厳格にするかを選択します。
DMARCレコードを公開するには?
DMARCレコードを公開するには、いくつかの前提条件があります:
- DNS管理コンソールにアクセスする必要があります。
- ドメインのDNSレコードを編集・追加する権限が必要です。
cPanelでDMARCレコードを公開する
1.cPanel DNS管理コンソールにアクセスします。
2.ドメイン]セクションで、[DNSゾーンエディタ]または[詳細ゾーンエディタ]をクリックします。
3. TXT(テキスト)タイプのDMARCレコードを追加し、以下の詳細を入力します。「TXTデータ」または「値」フィールドには、事前に作成したDMARCレコードを貼り付ける必要があります。
GodaddyでDMARCレコードを公開する
- GoDaddyドメインポートフォリオにログインして、DNSゾーンにアクセスします。
- Domain Name(ドメイン名)]で、メール送信ドメインを検索して選択します。
- ドメイン名の下にある「DNS」をクリックします。
- 新規レコードの追加を選択し、以下の詳細でレコードの公開を開始します:
- タイプ: TXT
- 名前: _dmarc
- 値: DMARCレコードの値を貼り付けてください
CloudflareでDMARCレコードを公開する
- Cloudflareアカウントにログインします。
- 必要なアカウントとドメインを選択します。
- DNSに移動し、レコードの追加をクリックします。
- 以下の例のように、生成したDMARCレコードをAdd Recordセクションに貼り付けます:
10,000人以上の顧客がPowerDMARCを信頼する理由はこちらです
- なりすまし攻撃と不正メールの大幅な減少
- 迅速なオンボーディング+自動化された認証管理
- ドメイン横断型リアルタイム脅威インテリジェンス&レポート
- 厳格なDMARC施行によるメール配信率の向上
DMARCレコードの検証
DMARCレコードを確認し、よくある 「DMARCレコードが見つかりません」 エラーを回避するには、当社の無料検証ツールをご利用いただけます。
1. 無料登録後、分析ツール > PowerToolbox >DMARCレコードチェッカーツールに移動してください
2.DMARCレコードのステータス、構文、タグを確認し、エラーを発見する。
DMARCレコードの確認準備はできていますか? PowerDMARCの無料DMARCチェッカーをご利用ください
DMARCレコードの一般的なエラーのトラブルシューティング
このステップバイステップのチェックリストを使用して、一般的なDMARCレコードの問題を解決してください:
| 問題 | 症状 | ソリューション |
|---|---|---|
| レコードが見つかりません | DNS検索の結果が返されません | レコードが「_dmarc」という名前でTXTタイプとして公開されていることを確認する |
| シンタックスエラー | レコードの検証に失敗しました | セミコロンの欠落、余分なスペース、またはタイプミスを確認してください |
| 複数のレコード | 一貫性のない政策施行 | 重複レコードを削除し、ドメインごとに1件のみ保持する |
| 伝搬遅延 | 変更はグローバルには表示されません | DNSの完全な伝播には24~48時間お待ちください |
| 無効なメールアドレス | 報告書未受領 | rua/rufメールアドレスが有効かつアクセス可能であることを確認する |
クイックトラブルシューティングチェックリスト
|
よくあるDMARCレコードのエラー
| ステータス | その意味 | 何ができるか |
|---|---|---|
| 有効 | DMARCレコードが正しく、エラーがないこと。 | 何もしない |
| 無効 | DMARCレコードにエラーがあります。これは、不完全または誤った構文が原因である可能性があります。 | シンタックスを見直すか、DMARCタグに関する完全なガイドを参照するか、専門家によるサポートが必要な場合は弊社までお問い合わせください。 |
| レコードが見つかりません | DNSにDMARCレコードがありません。 | ドメインのDMARCレコードを作成し、DNSで公開する。 |
レコードのエラーを検出したら、DNSに必要な変更を実装し、変更を保存する必要があります。変更が処理されたら、レコードを再確認してください。
非送信ドメインのDMARCレコード
多くのユーザーはアクティブなドメインの保護で止まりますが、攻撃者は送信していないドメインを偽装し、あなたの名義で偽メールを送信できます! これを防ぐために、非送信ドメイン向けにDMARCを実装する手順は以下の通りです 非送信ドメイン向けDMARC設定手順:
- 非許可型DMARCレコードを公開する: まず、非アクティブなドメインに対して、p=rejectのような強制ポリシーを適用したDMARCレコードを公開します。
- レポート機能を有効にする(推奨): ドメインからメールが送信されていなくても、攻撃者はフィッシングメッセージ送信のためにドメインを偽装できます。 DMARCレポート は、このような事態が発生した際に警告します。
- 制限付きSPFレコードを公開する: v=spf1 -all を設定してメール送信を防止します。
- 統合メールサービスを無効化: ドメインが外部メールサーバーにまだ紐付けられている場合、そのドメインが使用されなくなったのであれば、それらを制限するのが賢明な判断となる可能性があります。
非アクティブドメインのセキュリティを確保しないことの結果
非送信ドメインに対するDMARCの実装を怠ると、以下のような様々な結果を招く可能性がある:
- なりすましやフィッシング攻撃のリスク増大
- ブランドとドメインの評判の低下
- ドメインの悪用 長期間にわたり気づかれないまま放置される
ドメインごとに単一のDMARCレコード
DMARCレコードを設定する際は、ドメインごとに1つのレコードエントリを公開することが重要です。 単一ドメインに対する複数のDMARCレコードは は、競合や不要な認証失敗を引き起こす可能性があります!
複数のDMARCレコードが問題になる理由
- メール認証の失敗: メール受信者は、どのDMARCレコードに従うべきか分からない場合があります。
- 設定ミスと不整合: 競合するポリシー(例: あるレコードがp=noneを使用し、別のレコードがp=rejectを使用する場合)は、予測不可能な適用を引き起こします。
- 不正確な報告: DMARCレポートは不完全または信頼性が低い場合があります。
正しいDMARC実装のためのベストプラクティス
DMARCレコード設定を正しく行うためのベストプラクティスを以下に示します:
- ドメインごとにDMARCの単一レコードを発行する。
- の設定は避けてください。 DMARC spタグの設定は避けてください。
- DMARCチェックツール DMARCチェッカーツールを使用して、公開後にレコードを検証してください。
- DMARCレポートを定期的に監視し、不審な活動に気づかれないようにしましょう。
DMARCレコード公開後の次のステップ
DMARCレコードの公開が終わったら、次は詐欺師やなりすましからドメインを守ることに集中しましょう。これが、セキュリティプロトコルやメール認証サービスを導入する際の主な課題です。
p=noneポリシーのDMARCレコードを公開するだけでは、ドメインなりすまし攻撃やメール詐欺に対する保護は提供されません。そのためには、 DMARCの強制に移行する必要があります。
DMARCの実施に移行するには、配信性に悪影響を与えることなく理想的な結果を得るために、段階的なアプローチが最善の方法です。以下は、ステップバイステップのプロセスです:
- p=noneポリシーで開始します。これは監視モードです。
- ドメインのDMARCレポート機能を有効にして メールのトラフィックと配信状況を分析する トラフィックと配信率を分析します。
- pct(パーセンテージ)を10に保ったまま隔離に移行し、数週間かけて徐々に100%まで上げる。
- 自分の設定に自信が持てたら、p=rejectに移行し、pctを最低のパーセンテージ設定に保ち、メール量の100%に対して徐々に完全な強制に上げていく。
PowerDMARCによるDMARCレコード管理の簡素化
複数のドメインを運用する組織、あるいは単にDMARCレコードの手動設定や維持管理の手間をかけたくない組織のために、PowerDMARCが存在します。単一のプラットフォームでDMARCレコード管理を自動化する、シンプルでユーザーフレンドリーなソリューションです。 AI駆動の脅威インテリジェンス技術と詳細なレポート機能により、PowerDMARCは世界中の2000社以上の顧客がDMARC導入プロセスを簡素化するお手伝いをしています。
以下を提供します:
- 単一のダッシュボードからのマルチドメイン・マルチクライアント管理
- 手厚いオンボーディングとサポート
- SOC2、ISO27001、およびGDPRへの準拠が認証されています
まずは無料でお試しください 今すぐ15日間の無料DMARC保護トライアルを開始 を今すぐお試しください!
よくあるご質問
1. DMARCレコードを追加するにはどうすればよいですか?
DMARCレコードを追加するには:1) PowerDMARCのジェネレーターなどのツールを使用してDMARCレコードを生成する2) DNS管理コンソールにアクセスする3) 名前「_dmarc」で新しいTXTレコードを作成し、DMARCレコードを値として貼り付ける4) 変更を保存し、DNSの伝播(最大48時間)を待つ
2. DMARCレコードがない場合、どうなりますか?
DMARCレコードがない場合、ドメインはなりすましやフィッシング攻撃に対して脆弱です。GmailやYahooなどのメールプロバイダーは、DMARCのない一括送信者からのメールを拒否する可能性があります。不正使用によってドメインの評判が損なわれる恐れがあり、メール認証の失敗を把握する手段もありません。
3. 典型的なDMARCレコードはどのようなものですか?
基本的なDMARCレコードは、DNS TXTレコードとして _dmarc.yourdomain.com に公開され、通常は監視モードで開始されます。一般的な例は以下のようになります:
v=DMARC1; p=none; rua=mailto:[email protected]
この機能は次のことを行います:
- v=DMARC1 このレコードをDMARCポリシーとして識別します。
- p=none メールをブロックせずに監視を有効にします。
- rua DMARCの集計レポートの送信先を指定します。
この設定により、メール配信に影響を与えることなく認証結果を監視し、なりすまし攻撃を検知できます。レポートを確認し、正当な送信者がすべて整合していることを確認したら、段階的に p=quarantine または p=reject に段階的に移行して適用できます。
サイバーセキュリティ専門家PowerDMARC
マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。
最新記事 by Maitham Al Lawati(全て見る)
- フィッシングメールとDMARC統計:2026年メールセキュリティ動向 - 2026年1月6日
- 2026年に「SPFレコードが見つかりません」を修正する方法 - 2026年1月3日
- SPF パーエラー:DNS ルックアップが多すぎる場合の修正方法 - 2025年12月24日
