DMARC設定ガイド:2025年にDMARCを設定する方法(メールを壊さずに)
読書時間 8 分
世界中の企業のうち、自社のドメインに DMARC を設定しているのはわずか53.8% で、残りの企業は電子メールベースの脅威に対して脆弱な状態にあります。
メール認証は、最初の防御線です。DMARC、SPF、DKIMは、なりすましやフィッシング攻撃を防ぐのに役立つメール認証プロトコルです。SPFは、承認されたIPアドレスのみが送信を許可されるようにし、DKIMはデジタル署名を追加してメッセージの整合性を検証します。DMARCはこれら2つのプロトコルを基盤として、これらのチェックに合格しなかったメールを受信サーバーに処理する方法を指示します。DMARCがなければ、SPFとDKIMが有効なドメインであっても、なりすましの被害に遭う可能性があります。
面倒な手間を省き、 PowerDMARCを使用して数分で DMARC を設定し、今すぐドメインを保護しましょう。
主なポイント
- SPF/DKIMに依存するDMARCの設定は、電子メールのなりすましやフィッシングから保護し、ドメインの評判を守ります。
- DNSのDMARCレコードは、不正な電子メールに対する処理ポリシー(`none`、`quarantine`、`reject`)を定義する。
- 正しいDMARCレコードフォーマット(例えば、必須の`v=DMARC1`、`p=policy`タグ)は、効果的な運用と配信の問題を避けるために極めて重要である。
- DMARCレポート(`rua`, `ruf`)を有効にすることで、メールフローや認証結果をモニタリングするための貴重な洞察を得ることができます。
- p=reject`は最大限の保護を提供する。
DMARC設定の前提条件
DMARCのセットアッププロセスに入る前に、以下のことを確認してください:
- DNS 管理コンソールへのアクセス:これは、DNS レコードの作成と公開に不可欠です。
- 承認済みメール送信者のリスト:意図しないブロックを回避するために、あなたに代わってメールを送信するすべてのサービスとサーバーを特定します。
- DNSにSPFまたはDKIMレコードが既に設定されていること:DMARCはメール認証にこれらのレコードを使用するため、DNSにこれらのレコードの少なくとも1つが設定されている必要があります。SPF(Sender Policy Framework)は、受信側サーバーにメールの送信元となるドメインを通知します。一方、 DKIM (DomainKeys Identified Mail)は、メールにデジタル署名を施し、送信者の信頼性を検証する手法です。
警告: SPF/DKIMを省略した場合、DMARCは機能しません。次の手順に進む前に、SPF/DKIMのいずれか、またはできれば両方が適切に設定されていることを確認してください。
DMARCのステップバイステップの設定
DMARC DNSのセットアップを開始するには、以下のセットアップ手順に従ってください:
ステップ1:DMARCレコードの作成
まず、ポリシーを定義し、実装を確立するDNS TXTレコードを作成します。このレコードは、ドメインのDNSゾーンファイルに追加されます。
無料のレコードを作成するには、上記のスクリーンショットに示すように、 DMARCジェネレーターツールをご利用ください。ツール画面を開くと、入力が必要な必須条件がいくつかあります。
PowerDMARCでDMARCセットアップを簡素化!
ステップ2:メールに適したDMARCポリシーを選択する
p=ポリシータグはDMARCセットアップで設定する必要のある必須タグです。これを省略すると、レコードは無効になります。
ステップ3:レポートを有効にし、"生成 "をクリックする
メールフローと認証結果を監視するには、レポートを受信するメールアドレスを指定して、DMARC集計レポート(rua)を設定します。最後に「生成」ボタンをクリックします。
ステップ4:レコード設定の公開と検証
TXT レコードの作成が完了したら、「コピー」ボタンを使用して構文を直接コピーし、DNS 管理コンソールに移動します。
- 新しいTXTレコードを作成します。
- 「ホスト/名前」フィールドに、「_dmarc」(DNS プロバイダーによっては「_dmarc.yourdomain.com」) と入力します。
- [値/データ] フィールドに、生成した DMARC レコード構文を貼り付けます。
- レコードを保存して DNS に公開し、DMARC の設定を完了します。
詳細については、DNSにDMARCレコードを公開する方法についての詳細なガイドをご覧ください。DNSの変更は、プロバイダーによっては反映までに最大48時間かかる場合があります。
DMARC設定の検証
DMARC を設定したら、よくある「DMARC レコードが見つかりません」というエラーが発生しないように設定を検証する必要があります。
設定を確認するには、PowerDMARCのDMARCチェッカーツールを無料でご利用いただけます。使用方法:
- 宛先ボックスにドメイン名を入力します(つまり、Web サイトの URL が https://company.com の場合、ドメイン名はcompany.comになります)。
- 検索」ボタンをクリック
- スクリーンに表示される結果を見る
より迅速、正確、そして手間のかからない体験のために、手動認証の代替としてこの認証方法をお勧めします。
高度なDAMRC設定のヒント
基本的な設定が完了したら、実装を改善するための高度なヒントをいくつか紹介します。
DMARC ポリシーの説明 (どれを選択すればよいですか?)
メールのなりすましを防ぐには、 DMARCポリシーを設定する必要があります。以下の3つの主要なポリシーから選択できます。
- なし (p=none): DMARC認証に失敗したメールに対しては何もアクションが実行されません。初期設定時のメールトラフィックの監視に最適です。
- 隔離 (p=quarantine):失敗した電子メールは疑わしいものとしてマークされ、スパム/迷惑メール フォルダーに送信されます。
- 拒否 (p=reject):失敗した電子メールはブロックされ、まったく配信されません。
注:完全な適用をコミットする前に、電子メールを監視するには「なし」ポリシーを選択します (p=隔離または p=拒否)。
アライメントモード(厳密 vs 緩和)
- リラックスしたアライメント
SPF リラックス アライメント: Return-Path (SPF 認証ドメイン) 内のドメインが From アドレス内のドメインと同じ組織ドメインを共有している場合は合格です。
例
aspf=r;
送信者: [email protected]
リターンパス: [email protected]
両方とも組織ドメイン example.com を共有しているため、緩和された SPF アライメントに合格します。
DKIM リラックス アライメント: DKIM 署名の d= ドメインが送信元アドレスのドメインと同じ組織ドメインを共有している場合は合格です。
例
adkim=r;
送信者: [email protected]
DKIM署名: d=alerts.example.com
緩和された DKIM アライメントに合格します (同じ組織ドメイン: example.com )。
- 厳密なアライメント
SPF リラックス アライメント: Return-Path 内のドメイン (SPF 認証ドメイン) が From アドレス内のドメインと完全に一致する場合 (組織的な一致だけでなく)、合格となります。
例
aspf=s;
送信者: [email protected]
リターンパス: [email protected]
両方ともドメインexample.comを共有しているため、厳密なSPFアライメントは合格です。Return-Pathがbounce.mail.example.comの場合、厳密なアライメントは不合格となります。
DKIM リラックス アライメント: DKIM 署名の d= ドメインが送信元アドレスのドメインと完全に一致する場合は合格です。
例
adkim=s;
送信者: [email protected]
DKIM署名: d=alerts.example.com
厳密なDKIMアライメントに合格しました(ドメイン: example.com )。d=domainがbounce.mail.example.comの場合、厳密なアライメントは失敗します。
DMARCセットアップの例
簡単な DMARC 設定の例を次に示します。
v=DMARC1; p=拒否; rua=mailto:[email protected];
注:電子メール認証の手順を開始する際は、DMARC ポリシー (p) を拒否ではなくなしのままにして、電子メール フローを監視し、厳格なポリシーに移行する前に問題を解決することができます。
DMARCレコード構文とオプションタグ
DMARC設定の構文によって、メールの認証方法と検証後のアクションが決まります。主なメカニズムをいくつか見ていきましょう。
- v (必須): DMARCバージョンを指定します。DMARC1で、レコードの先頭に記述する必要があります。
- p (必須): DMARC 失敗のポリシーを定義します (なし、隔離、または拒否)。
- rua (オプション): mailto: 形式を使用して集計レポートを受信する電子メール アドレスを指定します。
- ruf (オプション): mailto: 形式を使用してフォレンジック障害レポートを受信する電子メール アドレスを指定します。
- adkim (オプション): DKIMアライメントモードをr(relaxed)またはs(strict)に設定します。定義されていない場合は、デフォルトモードはrelaxedです。
- aspf (オプション): SPFアライメントモードをr (relaxed) またはs (strict) に設定します。定義されていない場合は、デフォルトモードはrelaxedです。
- pct (オプション): DMARC ポリシーの対象となる失敗した電子メールの割合を定義します (デフォルトは 100)。
- fo(オプション):フォレンジックレポートを送信するタイミングを制御します。オプションには0、1、d、sがあります。
DMARCタグに関する詳細なブログをご覧ください。正しいフォーマットを維持するために、タグはセミコロンで区切られ、余分なスペースがないことを確認してください。
DMARC セットアップ後: 次に何をすべきか?
DMARC の設定が成功した後は、レポートを継続的に監視し、徐々に適用に移行し、その過程でエラーをトラブルシューティングすることが重要です。
DMARC レポートの読み方
上記はDMARC RUAレポートの一部です。手動で分析するには、以下の手順に従ってください。
- Examine the <domain> and <source_ip> fields to verify your sending sources
- Check the <adkim> and <aspf> fields to confirm the alignment mode configured for your domain.
- Check your DMARC policy in the <p> field
- Check your email authentication results (pass/fail) by checking the <policy_evaluated> sections of the report.
DMARCレポートアナライザーを使用する
複雑なXMLファイルを読む手間をかけずに、 DMARCレポートを簡単に表示・分析するには、 PowerDMARCにご登録ください。PowerDMARCのDMARCレポートアナライザーは、人間が読める形式でレポートを視覚化し、詳細な可視性を実現します。
p=reject への安全な移行
DMARCを設定する際は、配信の問題を防ぐために、ap=rejectポリシーに安全に移行することが重要です。そのためには以下の手順を実行してください。
- p=none から開始し、DMARC レポートを有効にして電子メール トラフィックを監視します。
- 数週間後、p=quarantine に移行し、電子メール ボリュームの 50% に対してこれを適用します (pct=50 タグを使用)。
- pct=100 を設定して (またはデフォルトのままにして)、メール ボリュームの 100% に対してこれを徐々に適用します。
- 設定に自信が持てたら、メール量の 50% に対して p=reject (pct=50) に移行します。
- 設定が完了したら、メール ボリュームの 100% に対して p=reject を適用します (pct=100)。
プロのヒント:専門家のサポートを受けながら、強制ポリシーに安全に移行するには、当社のホスト型 DMARCソリューションをご利用ください。
DMARC設定における一般的な問題のトラブルシューティング
| 問題 | 原因 | 修正 |
|---|---|---|
| DMARCに失敗したメール | - SPF/DKIMの不整合 - メール転送 - なりすましの試み - 構文エラー | - 管理されたDMARCソリューションを使用する - DMARC設定でSPFとDKIMの両方を設定する - DNSレコードチェッカーツールを使用してDNSレコードを確認します - レポートを監視する |
| 報告はありません | - RUAメールが無効です - 受信者のメールプロバイダーがRUFレポートをサポートしていない | - RUAメールが有効でアクティブであることを確認してください |
| SPF パーマエラー | - 10回のDNSルックアップ制限を超える - SPFレコードの文字数制限を超える - SPF構文およびその他の設定エラー | -ホスト型SPFソリューションを使用 - フラット化やマクロなどの SPF 最適化サービスを使用します。 |
PowerDMARCがDMARCの設定を簡素化する方法
| 特徴 | PowerDMARC | DIYセットアップ |
|---|---|---|
| 自動レポート | ✅ はい | ❌ 手動解析 |
| MTA-STSモニタリング | ✅ 含まれています | ❌ 追加設定 |
| ホスト型 SPF、DKIM、DMARC | ✅ 完全ホスト | ❌ 自己管理型 |
| DNS設定ヘルプ | ✅ 組み込みウィザード | ❌ 手動設定 |
| 集計レポート閲覧者 | ✅ ビジュアルダッシュボード | ❌ 生のXMLレポート |
| 法医学報告書の取り扱い | ✅ PGP暗号化 | ❌ カスタムパーサーが必要 |
| アラート | ✅ リアルタイムアラート | ❌ ネイティブアラートなし |
| BIMIサポート | ✅ 利用可能 | ❌ 複雑な手動設定 |
| ドメインのグループ化 | ✅ 簡単にグループ化 | ❌ サポートされていません |
| ユーザーアクセス管理 | ✅ ロールベースの制御 | ❌ 手動調整 |
ケーススタディ:Fatty Liver Foundation が PowerDMARC を使用してエンタープライズ DMARC 設定を簡素化した方法
「PowerDMARCが提供するツールセットはユーザーフレンドリーで、DMARCやDKIMなどの機能の設定作業を非常に直感的に行うことができました。」 –ウェイン・エスクリッジ、Fatty Liver Foundation CEO
この米国を拠点とする非営利企業がDMARC の設定と管理をどのように簡素化したかの全容については、ケース スタディをご覧ください。
DMARC設定に関するよくある質問
- DKIM や SPF なしで DMARCを設定できますか?
いいえ。DMARCはSPFまたはDKIM(あるいはその両方)の認証チェック結果に依存します。DMARCを実装する前に、ドメインでこれらのプロトコル(SPFまたはDKIM)の少なくとも1つを設定する必要があります。
- DMARC レポートはどのくらいの頻度で確認する必要がありますか?
監視の頻度はいくつかの要因によって異なります。
- 大企業、クライアントの電子メール セキュリティを管理する MSSP、展開の初期段階にある場合、または最近 DMARC ポリシーを適用した場合は、レポートを定期的に確認することをお勧めします。
- 状況が安定したら、新しい送信元が追加されたときに特に注意しながら、レポートを毎週確認できるようになります。
サイバーセキュリティ専門家PowerDMARC
メイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。
最新記事 by Maitham Al Lawati(全て見る)
- DMARCとは?電子メール保護のための簡単なガイド- 2025年7月11日
- DMARCレポートの読み方:種類、ツール、ヒント- 2025年7月10日
- DMARCレコードの作成と公開方法- 2025年3月3日
