自分のドメインに複数のDMARCレコードがあるのは絶対にダメ!その理由は?DMARCのような電子メール認証プロトコルを実装することは、組織のレピュテーションとデータセキュリティにとって不可欠であり、そのためにはドメインオーナーはDNSにTXTレコードを発行する必要があることがわかっています。しかし、コミュニティで何度も繰り返される質問は、" 自分のドメインに複数のDMARCレコードを持つことができますか?" というものです。答えはノーです。同じドメインに複数のDMARCレコードがあると、レコードが無効になり、ドメインに設定されたDMARC認証ポリシーが機能しなくなります。
DMARCレコードはMTAでどのように処理されるのですか?
あなたのドメインのDNSで公開されているDMARCレコードは、以下のようなものです。
TXT mydomain.com v=DMARC1; p=reject; rua=mailto:[email protected]
したがって、DMARCが設定されているドメインが電子メールを送信すると、電子メールを受信するMTAは、v=DMARC1で始まるすべてのTXTレコードをフェッチします。MTAは送信ドメインのDNSを照会し、次のようなシナリオに遭遇する可能性があります。
- 送信元ドメインのDNSに有効なDMARCレコードを1つ発見し、DMARCポリシーの仕様に基づいてメールを処理する。
- 送信ドメインのDMARCレコードが見つからず、DMARCの処理が自動的に停止した場合、送信元を確認せずにメールが配信される。
- 同一ドメイン上に複数のDMARCレコードが見つかり、この場合、DMARC処理が中止され、適用されたポリシーが実行されません。
複数のDMARCレコードがあります。修正方法は?
ドメインにDMARCを設定し、ポリシーを設定すると、MTAがあなたの意図に沿った方法でメールに応答するようになります。このようにして、DMARCはなりすましやスプーフィングからドメインを保護することができます。設定されたプロトコルが効果的に機能するためには、以下の手順を推奨します。
- ドメインに複数のDMARCレコードが発行されていないか確認してください。
- DMARCレコードに構文エラーが含まれていないことを確認してください。
- DMARCレコードを手動で作成する代わりに、当社の無料DMARCレコードジェネレーターのような信頼性の高いツールを使用して作業を行ってください。
- ドメインのDMARCレポートを有効にして、メールの流れと認証結果を随時監視することで、配信の問題を追跡し、悪意のある送信元に対して対策を講じることができます。
- permerrorの結果にならないように、SPF10のルックアップの上限を超えないようにしてください。
あなたのドメインに正しくDMARCを実装し、複数のDMARCレコードを回避するためにできるいくつかのステップの代わりに、単に私たちのDMARCアナライザーにサインアップすることもできます。
PowerDMARCは、複雑な作業のほとんどをバックグラウンドで処理し、メール認証作業を自動化するとともに、メール配信の問題を引き起こす可能性のある設定エラーを軽減することができます。
