DMARCポリシーとは？なし、隔離、拒否

2024年初頭、グーグルとヤフーは次のことを明らかにした。 すべての大量送信者はDMARCポリシーを導入しなければならないことを明らかにした。この要件により、DMARCポリシーの設定は、日常的な技術的ステップから、あらゆる規模の組織にとって緊急の優先事項となりました。この発表後、DMARCポリシーの見直し、更新、実施に着手し、新たな基準を満たし、配信可能性の問題を防止し、メールの脅威が増大し続ける中、ドメインが悪用されるリスクを低減しました。

適切なポリシーを設定することで、企業はブランド、従業員、顧客をなりすましの試みから守ることができます。また、DMARCポリシーだけではすべてのメールセキュリティの課題を解決することはできませんが、DMARCは次のような課題に対する最も効果的な防御策の1つです。 フィッシング やなりすまし攻撃に対する最も効果的な防御策の1つです。

この記事では、DMARCポリシー、その実装方法、課題と利点、そしてポリシーの実装に当社のホステッドDMARCソリューションを選ぶべき理由について説明します。

DMARCポリシーとは何ですか？

DMARCポリシーとは、ドメインネームシステム(DNS)を使用し、受信メールサーバーに対し、独自ドメインからのメールであるにもかかわらず認証チェックに失敗した場合の対処方法を指示するメール検証システムである。DMARCレコードの"p "タグで示され、メールがDMARC認証に失敗した場合にメールサーバーが取るべき行動を指定します。

適切に実装されたポリシーでは、認証に合格しないメッセージをメールプロバイダがどの程度厳しく扱うかを決めることができます。簡単に言うと、不審な電子メールや不正な電子メールに適用する強制力のレベルを選択するのです。

ポリシーを設定することができる：

• とにかく通す (p=なし)
• 疑わしいとフラグを立てる（p=隔離）
• 完全にブロックする（p=拒否）

DMARCレコードのp=タグはこの動作を制御するものです。どの強制レベルを適用するかを受信サーバーに伝えるもので、DMARCセットアップの最も重要な部分の1つです。p=rejectのような厳格なポリシーは、なりすましメールや未承認メールの配信を防止し、最強の保護を提供します。

3つのDMARCポリシーオプション

ポリシーを選択する前に、各オプションが何をするのか、そしてそれがあなたのドメインの保護方法にどのように影響するのかを理解するのに役立ちます。

3つのDMARCポリシータイプがある：

1.DMARCポリシー：なし（p=none）

DMARCポリシーのnone (p=none)は、受信者側でのアクションをトリガーしないリラックスモードです。このポリシーは、電子メールのアクティビティを監視するために使用することができ、通常、監視とデータ収集のための最初のDMARC実装フェーズで使用されます。

これは、サイバー攻撃に対するいかなるレベルの保護も提供せず、認証結果に関係なく、すべてのメッセージの配信を許可する。このオプションは、DMARCレコードで "p=none "タグを使って指定する。

例：v=DMARC1; p=none; rua= mailto:(メールアドレス)；

p=noneを使用する場合

• このポリシーは、DMARCを実施する前にメールトラフィックを監視したい場合に使用します。
• まだすべての正当な送信元を識別しているドメインに最適です。
• 受信メールサーバーは、失敗したメッセージに対して何もしない。
• DMARCの集計レポートを引き続き受け取ることで、より厳格なポリシーに移行する前に認証の問題を把握することができます。

2.DMARCポリシー隔離 (p=quarantine)

このオプションは、「p=quarantine」タグを使用してDMARCレコードで指定されます。p=quarantineは、ドメイン所有者がDMARCが失敗した場合に備えて、後で確認するためにスパムまたは隔離フォルダにメールをロールバックするように受信者に促すことができるため、ある程度の保護を提供します。

このポリシーは、DMARC認証に失敗したメッセージを疑ってかかるように受信メールサーバーに指示します。多くの場合、"none "と "reject "の中間として実装されます。

例：v=DMARC1; p=quarantine; rua=mailto:(メールアドレス)；

p=quarantineを使用する場合

• このポリシーは、より強力な保護が必要だが、疑わしいメールを完全にブロックする前に確認する必要がある場合に使用します。
• 失敗したメッセージはスパム／迷惑メールフォルダに送られ、正当なメールを失うことなく、それらを検査するチャンスが与えられます。
• 中間の実施レベルとして機能し、p=rejectへのスムーズな移行を助ける。
• DMARCの影響を評価し、フラグが付けられたメールが正当なものか、破棄されるべきものかを判断することができます。
• 疑わしいメールをメインの受信トレイから除外することで、受信トレイの乱雑さを軽減します。

3.DMARCポリシー：拒否（p=reject）

このオプションは、DMARCレコードで "p=reject "を使って指定されます。これは最も厳格なポリシーであり、認証されていないメッセージを拒否するよう受信者に指示します。

DMARCポリシーの拒否は、DMARCチェックに失敗したメッセージが全く配信されないことを保証し、最大の強制力を提供します。このポリシーは、ドメイン所有者がメール認証セットアップに自信を持っている場合に実装されます。

例：v=DMARC1; p=reject; rua= mailto:(メールアドレス)；

p=rejectを使う場合

• このポリシーは、フィッシング、なりすまし、およびドメインの不正使用に対する最高レベルの保護が必要な場合に選択します。
• 認証に失敗したメールは完全にブロックされるため、不審なメッセージが受信者に届くことはありません。
• すでにすべての送信サービスで完全に認証されており、境界線上のケースを隔離する必要がないドメインに最適です。

そうすべきだ：

• 徹底的にテストし、正当な送信者がすべてSPFとDKIMをパスしたことを確認してから、p=rejectに移行する。
• DMARCレポートを有効にしておくと、残りの障害を監視し、すべてがスムーズに実行され続けるようにすることができます。
• 安全な展開のためには、p=noneから始め、p=quarantineに移行し、レポートが一貫したアライメントを示した時点でp=rejectに移行する。

その他のDMARCポリシー

DMARCは、実装を微調整するための追加のポリシーパラメーターを提供します。

• パーセンテージ (pct=) パラメータ は、DMARCの対象となるメッセージの部分を指定することで、ポリシーを段階的に展開することができます。例えば、 pct=50 はメッセージの50%にポリシーを適用する。
  • いつ使うか：
    • pct=は、p=none → p=quarantine → p=rejectと移行するときに、すべての送信メールに影響を与えることなく、段階的に強制力をテストしたいときに使います。
  • タイムラインのガイダンス：
    • 初期のテストではpct=20から始める。
    • ほとんどの正当な送信者が認証をパスしている場合は、pct=50-70に増やす。
    • セットアップが安定していると確信したら、pct=100に移行する。
• サブドメインポリシー(sp=) は、サブドメインに対して個別のルールを設定するポリシーレコードです。サブドメインが異なる処理を必要とする場合に便利です。例えば、v=DMARC1; p=reject; sp=quarantine;rua=mailto:[email protected]。
  • いつ使うか：
    • sp=は、サブドメインで送信動作が異なる場合や、プライマリドメインよりも厳格または緩やかに実施したい場合に使用します。
  • タイムラインのガイダンス：
    • サブドメインの送信者を評価する際にsp=noneを適用する。
    • 認証を確認したら、sp=quarantineに切り替える。
    • スプーフィングにサブドメインを悪用されたくない場合は、sp=rejectに移行する。

PowerDMARCでDMARCポリシーを正しく設定する！

DMARCが重要な理由

メールは簡単に偽造できるため、本物と危険な偽物を見分けるのは難しい。そこでDMARCの出番となる。DMARCは、メッセージを通過させる前に送信者の身元を確認する電子メールのセキュリティ・チェックポイントのようなもので、GDPR、HIPAA、PCI-DSSなどのフレームワークで規制コンプライアンスを達成する上で重要な役割を果たしている。

世界のサイバー犯罪被害額は2025年に 兆米ドルに達すると予測されている。と予測されており、その脅威の大きさを浮き彫りにしている。一方 ベライゾン2025年データ侵害調査報告書によると、フィッシングとクレデンシャルベースの攻撃が依然として優勢であり、全破損の約15％がフィッシングから始まっている。

IETFのRFC 7489によると、DMARCは、電子メールの送信者が認証のためのプリファレンスを設定できるユニークな機能を持っている。DMARCを有効にすることで、電子メールの取り扱いや潜在的なドメイン不正使用に関するレポートを取得することもできます。このため、DMARCはドメイン認証の点で際立っている。

最新のDMARC統計によると、DMARCが実装されていないために、かなりの数のドメインが依然としてフィッシング攻撃に対して脆弱である。

DMARCのセットアッププロセスを開始するには、適切なDNSを変更し、プロトコルのDNS TXTレコードを含めます。しかし、DMARCプロトコルを手作業で実装することは、技術者でないユーザーにとっては非常に複雑です。また、DMARCの管理を外部のCISOに依頼した場合、かなりのコストがかかる可能性があります。そのため、PowerDMARCのDMARCアナライザーのようなソリューションを使用することは 理にかなっています：それはセットアップを自動化し、設定を合理化し、時間とコストの両方を節約します。セットアップを自動化し、コンフィギュレーションを合理化し、時間とコストを節約します。

DMARCレポートオプション

DMARCのレポートオプションには以下のものがあります：

• 集計レポート (rua=)： 毎日送信され、どのIPがお客様に代わってメールを送信しているか、何通のメッセージが通過または失敗したかなど、メール認証結果のハイレベルなサマリーを提供します。
• 法医学レポート (ruf=)：リアルタイムで送信され、認証されなかった個々のメッセージのより詳細な障害情報が含まれる。

これらのパラメータにより、組織はDMARC認証結果に関する貴重な洞察を収集することができ、DMARC認証に不合格または合格したメールの数に関する洞察を得ることができます。DMARCレポートも役立ちます：

1. 潜在的な問題と虐待のパターンを特定する
2. Eメールの設定ミスを検出する
3. メール行動とメールフローに関するインサイトを得る
4. SPFとDKIMプロトコルの認証結果を確認する

共通の利点と課題

DMARCは強力な保護と貴重な可視性を提供しますが、正しく実装するには運用と技術的な考慮も必要です。利点と課題の両方を理解することで、導入に対する現実的な期待値を設定することができます。

メリット

• ドメインのなりすまし防止とフィッシング対策： 不正な送信者をブロックし、なりすまし攻撃のリスクを低減します。
• メール到達率の向上（10～15％）： 認証されたドメインは受信箱プロバイダーからの信頼が高まり、受信箱の配置が改善されます。
• 送信元に関するレポートによる可視化：DMARCレポートにより、誰がお客様に代わってメールを送信しているのか、またメッセージがどのように認証されているのかを明らかにします。
• GDPR、HIPAA、Google/Yahoo 2024に準拠：規制当局や大手メールボックスプロバイダーが定めるセキュリティおよび認証要件を満たすのに役立ちます。

課題

• 実施スケジュール（安全な展開のために3～6ヶ月）： モニタリングから完全実施に移行するには、時間と慎重な検討が必要。
• すべての正当なメール送信元に対するディスカバリーの要件： 厳格なポリシーを適用する前に、すべての送信システムを識別し、認証しなければならない。
• 技術的な知識が必要（DNS、SPF、DKIM）：適切なセットアップには、メール認証とDNS管理に精通している必要があります。
• サードパーティ・サービス認証の制限：ツールやプラットフォームによっては、SPF/DKIMのサポートが制限されており、構成が複雑になっている。

DMARCポリシーエラーのトラブルシューティング

DMARCを使用する際、エラーメッセージが表示されることがあります。以下は一般的なDMARCポリシーエラーです：

• 構文エラー： プロトコルが正しく機能するように、レコードのセットアップ中に構文エラーに注意する必要があります。
• 設定エラー：DMARCポリシーの設定中のエラーはよくあることで、DMARCチェッカーツールを使うことで回避できる。
• DMARC spポリシー：DMARC拒否ポリシーを設定しても、サブドメインポリシーを「なし」に設定すると、コンプライアンスを達成できません。これは、送信メールのポリシーが上書きされるためです。
• 「DMARC ポリシーが有効になっていません： DMARC Policy Not Enabled（DMARCポリシーが有効でない）」エラー：ドメインがこのエラーをハイライト表示する場合、DNSにDMARCドメインポリシーがないか、「なし」に設定されていることが原因です。レコードを編集してp=reject/quarantineを組み込むと、問題が解決するはずです。

PowerDMARCによるDMARCポリシーの実施

DMARCは、なりすまし、フィッシング、不正なメールの使用からドメインを保護する最も効果的な方法の1つです。適切なポリシーモード(なし、隔離、拒否)を選択することで、受信サーバーが疑わしいメッセージをどのように処理し、ドメインがどの程度強力に保護されるかを制御できます。pct=やsp=などの追加パラメータは、導入の微調整に役立ち、ruaやrufなどのレポートオプションは、認証結果、送信元、設定ミス、悪用の可能性を明確に可視化します。

DMARCのセットアップは、特に複数のサードパーティ・サービスにまたがる場合や、完全な実施スケジュールを管理する場合など、複雑になりがちですが、長期的なメリットは大きく、配信可能性の向上、コンプライアンスの改善、ブランド保護の強化などが挙げられます。

PowerDMARCのDMARCアナライザーは、設定の自動化、ポリシー管理の合理化、生のXMLレポートを実用的な洞察に変えることにより、このプロセスをよりシンプルにします。DMARC 実施へのより簡単で安全なパスをお望みであれば、弊社のプラットフォームはあらゆるステップでお客様をサポートするように設計されています。

お問い合わせ 今すぐDMARCポリシーを導入し、簡単に結果を監視することができます！

よくある質問 (FAQ)

デフォルトのDMARCポリシーは何ですか？

DMARCのコンプライアンスは、DMARCレポートを確認し、メールがSPFとDKIMのアライメントをパスしていることを確認することでチェックできます。PowerDMARCのようなレポートダッシュボードを備えたプラットフォームを使用している場合、ドメインの認証ステータスを表示し、メッセージがDMARC要件を満たしているかどうかを確認できます。

どのDMARCポリシーが最適か？

最大のセキュリティのための最良のポリシーはp=rejectである。

しかし、最善の戦略は段階的に実施することである：

1. 配信に影響を与えずにレポートを監視するには、p=noneで開始します。
2. p=quarantineに移動して、失敗したメールをスパムに送る。
3. p=rejectで終了するのは、準備ができたときだけです（つまり、正当なメールがすべて正しく設定されていると確信したときだけです）。

DMARCポリシーを修正するには？

DNS管理に入ることで、手動でポリシーを修正することができます。DMARC TXTレコードを編集する必要があります。より簡単な解決策は、ワンクリックでポリシーを変更できる当社のホスト型ソリューションを使用することです。

メッセージがDMARCチェックに失敗した場合、どのDMARCポリシーを使用して電子メールを受け入れないようにしますか？

DMARCチェックに失敗したメールを拒否するには、p=rejectポリシーを使用します。

このポリシーは、DMARC認証に失敗したメッセージの配信を全面的にブロックし、完全に拒否するよう受信メールサーバーに明示的に指示します。このメールは受信者の受信箱や迷惑メールフォルダにも表示されません。それでもメールをスパムや迷惑メールフォルダに送りたい場合は、p=quarantineを使うことができます。

• について
• 最新記事

マイサム・アル・ラワティ

サイバーセキュリティ専門家PowerDMARC

マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。

最新記事 by Maitham Al Lawati(全て見る)

• DMARCとは？その仕組み、ポリシーと設定のヒント- 2025年11月28日
• DMARCポリシーとは？なし、隔離、拒否- 2025年11月27日
• DMARCの設定方法：ステップ・バイ・ステップ設定ガイド- 2025年11月25日