DMARCとは？DMARCの仕組み、ポリシーと設定のヒント

2025年には、およそ 3760億通2025年には、世界中で毎日およそ3,760億通のEメールが送信され、Eメールは最も利用されているコミュニケーション・チャネルの1つとなっている。残念ながら、この人気はサイバー犯罪者をも惹きつけている：AIを利用したフィッシング攻撃は増加の一途をたどっている。 196万件のフィッシング攻撃報告書によると、1年間で約196万件のフィッシング攻撃があり、2021年の水準と比較しておよそ182％の増加となっている。

メールコミュニケーションとブランドの評判を守るために、DMARCとは何か、なぜ重要なのかを学ぶ必要があります。DMARCは、お客様のメッセージが正当なものであることを確認し、攻撃者がお客様のドメインになりすますのを防ぎ、受信箱に届く可能性を高めます。DMARCは現在、金融、医療、製造、テクノロジーなど、安全な通信が不可欠な業界で広く使用されています。

DMARCとは何ですか？

DMARCは、電子メール詐欺やフィッシングを阻止するために設計された電子メール認証プロトコルです。DMARCは、ドメイン所有者に、電子メールがどのように認証されるべきか、また、メッセージが認証に失敗した場合にどのような処理を行うべきかを管理させる。

DMARCは、メールが本当にお客様のドメインから送信されたものかを検証し、誰がお客様の代わりに送信しているかを示すレポートを提供します。これにより、企業はセキュリティを強化し、ドメインのレピュテーションを保護することができます。また、多くの企業がDMARCプロバイダーを利用して、セットアップ、レポート、ポリシーの実施を管理しています。

DMARCは、SPF (Sender Policy Framework)やDKIM (DomainKeys Identified Mail)と共に機能し、許可された送信者のみがあなたのドメインを使用できるようにします。DMARCはアンチウイルスやファイアウォールに取って代わるものではありませんが、必要不可欠な保護レイヤーを追加するものです。DMARCを使用することで、組織は認証されていないメールの処理（拒否、隔離、配信）を選択することができます。

DMARCとは何の略ですか？

DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略。

DMARCの頭文字の各パートの意味を理解することで、プロトコルがどのようにドメインを保護し、配信性を向上させ、誰があなたの代わりにメールを送信しているかを可視化することができます。各コンポーネントは、DMARCを正しく設定し、レポートを解釈するために理解する必要がある機能を反映しています。

• ドメインベース： DMARCはドメインレベルで機能する。DNSポリシーを公開し、受信サーバーにあなたのドメインから来たと主張するメールをどのように扱うかを伝えます。
• メッセージ認証： DMARCは、メールがSPFまたはDKIMをパスしているかどうか、そして検証されたドメインが "From "ヘッダーのドメインと一致しているかどうかをチェックします。この一致は、なりすましメッセージのブロックに役立ちます。
• レポート： DMARCは、誰があなたのドメインを使用しているのか、あなたのメールがどのように機能しているのかを示すレポートを送信することができます。これらのレポートには、集計サマリーや、有効な場合は障害に関するフォレンジックの詳細が含まれます。
• 適合性： DMARCチェックに不合格となったメールに対して、受信者がどのような処理を行うか、ポリシー（なし、隔離、拒否）を設定します。これにより、ドメインがどの程度厳密に保護されるかが決まります。

DMARCによる電子メールの保護

DMARCは、既存の認証方法の上にポリシーの実施と報告のレイヤーを追加することで、電子メールのセキュリティを強化します：SPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）です。送信者ドメインは、ポリシーを指定したDMARCレポートをDNSに公開する。そのドメインからのメールであると主張するメールが送信された場合：

1. 電子メールの送信と初期チェック：送信サーバーは通常DKIM署名を適用する。電子メールは標準的なトランジットを経る。
2. 電子メールの受信と認証 受信サーバーは以下のチェックを行う：
   • SPFチェック：送信IPアドレスがドメインのSPFレコードに記載されているかどうかを確認します。
   • DKIMチェック：ドメインのDNSにある公開鍵を使用して電子メールのデジタル署名を検証し、改ざんされていないことを確認します。
   • アライメントチェック：From」ヘッダーのドメインが、SPFまたはDKIMによって検証されたドメインと一致することを確認する。これにより、なりすましドメインが認証を通過するのを防ぐ。
3. DMARCポリシーの実施： 受信サーバーは送信者ドメインの DMARCレコード DNSで。
   • メールがSPFまたはDKIMのチェックをパスし、少なくともそのうちの1つについてアライメントを達成した場合、DMARCをパスし、通常は正常に配信されます。
   • メールがSPFとDKIMの両方に失敗した場合、または両方のアライメントに失敗した場合、受信サーバーはDMARを適用します。
   • 送信者のDMARCレコードで指定されたCポリシー（例：p=noneで監視、p=quarantineでスパム送信、p=rejectでメールブロック）。
4. 報告：受信サーバーは、認証データ（合格/不合格カウント、IP、アライメント結果）を要約した集約（RUA）レポートと、個々の失敗の詳細を潜在的にフォレンジック（RUF）レポートを生成する。これらのレポートは、送信ドメイン のDMARCレコードで指定されたアドレスに送信される。

多くの組織は、PowerDMARCのようなソリューションを使用して、このプロセス全体を簡素化し、自動化することを選択します。例えば、英国を拠点とするマネージド・サービス・プロバイダー プライマリーテックは PowerDMARC と提携し、複数のクライアント・ドメインにまたがる SPF、DKIM、DMARC レコードの管理を合理化しました。

これにより、正確なDNSレコードの設定とポリシーの適用が可能になっただけでなく、クライアントのEメール配信能力が向上し、なりすまし攻撃からの保護も強化され、効果的なDMARCの実装が実世界に与える影響が実証されました。

このアプローチは、複数のメールアカウントとドメインを管理しながら、一貫したDMARCポリシー、可視性、および適用を維持する必要があるチームやMSPにとって特に価値があります。

メールセキュリティにDMARCが不可欠な理由

DMARCは、今日組織が直面している最大のリスクのいくつかに対処することで、電子メールのセキュリティを強化します：

• なりすましメールやフィッシングの防止： DMARCは、メールが本当にお客様のドメインから送信されたものであることを確認し、お客様になりすまそうとする攻撃者をブロックします。これは、フィッシング攻撃がより説得力を増し、頻繁に行われるようになるにつれ、特に重要です。
• メール配信性の向上： 認証されたメールは、（スパムフォルダではなく）受信トレイに届く可能性が高くなります。DMARCは、正当なメッセージが一貫してフィルターを通過するのを助け、全体的な配信性を向上させます。
• ブランドの評判を守る 攻撃者が貴社のドメインをフィッシングやスパムに悪用すると、顧客は信頼を失います。DMARCはドメインの不正使用を防止し、ブランドを詐欺行為から守ります。
• 実用的な洞察を提供します： DMARCレポートは、誰がお客様のドメインを使用してメールを送信しているか、どのメッセージが認証に失敗しているか、どこに設定の問題が存在する可能性があるかを示します。この可視性により、不正な送信者を検出し、問題を迅速に解決することができます。
• 業界のコンプライアンス要件への対応 DMARCの採用は、金融（PCI-DSS）、ヘルスケア（HIPAAガイダンス）、さらにはGoogleやYahooのようなハイテクプラットフォームなど、さまざまな分野におけるコンプライアンスへの期待にますます結びついています。

DMARCを導入することで、企業はより強固なセキュリティ、より信頼できるドメイン、そして正当な通信のためのより良い受信箱の配置を得ることができる。

PowerDMARCでDMARCを簡素化！

DMARCを設定するには？

DMARCを設定することは、あなたのドメインから送信されたメールをどのように扱うかを受信メールサーバーに伝えるために不可欠です。適切な設定を行わないと、正当なメッセージでさえ認証に失敗し、攻撃者はより簡単にあなたのドメインになりすますことができます。

以下はその手順である：

1.SPFとDKIMを設定する

DMARCを実装する前に、SPFとDKIMがあなたのドメインとすべての正当な送信元に対して適切に設定されていることを確認してください：

• SPF：どのIPアドレスとサーバーがお客様のドメインに代わってメールを送信することを許可されているかを定義します。
• DKIM：電子メールにデジタル署名を追加し、送信者を確認し、メッセージが転送中に改ざんされていないことを保証します。

これらのプロトコルはDMARCの基礎を形成する。DMARCは、SPFまたはDKIMの少なくとも一方を通過させ、整合させる必要がありますが、セキュリティ強化のためには両方の実装を強く推奨します。正当なメール送信元（マーケティングプラットフォームやCRMのようなサードパーティサービスを含む）を*すべて*特定し、SPF/DKIMで認証するようにしましょう。

2.DMARCレコードの作成

DMARCレコードは、ドメインのDNS（ドメインネームシステム）設定で公開されるTXT（テキスト）レコードです。メール認証ポリシーを指定します。これには以下が含まれます：

• 必須タグ
  • v=DMARC1:DMARCのバージョンを示す（現在は常にDMARC1）。
  • p=none/quarantine/reject:DMARC認証およびアライメントチェックに失敗したメールの処理ポリシーを定義します。
• オプションだが推奨タグ：
  • rua=mailto:[email protected]：集計レポートの送信先。
  • ruf=mailto:[email protected]：フォレンジック障害報告書の送付先。
  • pct=100:ポリシーが適用されるメッセージの割合。
  • sp=none/quarantine/reject： サブドメインのポリシー。
  • adkim=r/s： DKIMのアライメントモード（relaxまたはstrict）。
  • aspf=r/s：SPF のアライメントモード（relax または strict）。

DMARCレコード構文を正しく生成するために、オンラインツールを使用することができます。

3.DMARCポリシーを選択する

DMARCポリシーは、認証またはアライメントチェックに失敗したメッセージをどのように処理するかを電子メール受信者に指示する。DMARCポリシーには3つのタイプがある。 DMARCポリシーDMARCポリシーには3つのタイプがあり、それぞれ異なる実施レベルを提供する：

• p=none（監視モード）：失敗したメールには何もしません。送信元を把握するためのレポートが送信されます。
• p=隔離：失敗したメールは疑わしいものとして扱われ、通常はスパムフォルダに入れられます。
• p=reject： 失敗したメールは完全にブロックされ、最強の保護が提供されます。

4.DMARCレコードを公開する

DMARCレコードが作成されたら、DNS設定でTXTレコードとして公開します：

• ホスト/名前フィールド： エンター _dmarc (例えば、_dmarc.yourdomain.com）。
• レコードタイプ： 選択 TXT.
• 値/データフィールド：DMARCレコード文字列を貼り付けます（例："v=DMARC1; p=none; rua=mailto:[email protected];"）。
• TTL (Time to Live)：通常は1時間（3600秒）またはDNSプロバイダーのデフォルトに設定します。

これにより、DMARCポリシーは世界中のメール受信者がアクセスできるようになります。

5.DMARC設定の確認

レコードを公開した後、すべてが正しく設定されていることを確認する必要があります。以下のようなツールがあります。 Google Admin Toolboxなどのツールで、DMARC、SPF、DKIMレコードが表示され、有効かどうかを確認できます。

より深い検証のために PowerDMARCのDMARCチェッカーは、DNS レコードの完全な分析、構文エラーのハイライト、メールプロバイダー間でポリシーが正しく適用されているかどうかを表示します。これにより、セットアップの正確性、安全性、モニタリングの準備が整います。

6.レポートの有効化と監視

DMARCレコードに、集計レポートを受信するための専用メールボックスを指す`rua`タグが含まれていることを確認してください。これらのレポートは、通常XML形式で毎日送信され、モニタリングには欠かせません：

• 集計レポートrua): 様々な受信者からのメール認証結果の概要を提供します。これには、お客様のドメインからと主張するメールを送信しているIPアドレス、SPF/DKIMパス/フェイルカウント、およびアライメントステータスが含まれます。これらのレポート（多くの場合、DMARCアナライザサービスを使用）を分析することで、設定調整が必要な正当な送信元を特定し、不正使用を発見することができます。
• 科学捜査報告書ruf): メール配信の失敗に関する詳細な情報（ヘッダーや場合によっては内容のスニペットを含む）を提供します。量とプライバシーの問題から、すべての受信者がRUFレポートを送信するわけではありません。

特に `p=none` で開始した後は、定期的にレポートを見直して、 `p=quarantine` または `p=reject` に移行する前に、正当な送信者の SPF/DKIM/alignment の問題を修正する。送信元が変更された場合は、DNSレコードを正確かつ最新の状態に保つ。

DMARCレコードとはどのようなものか？

DMARCレコードの構造は、DNS(ドメインネームシステム)でドメイン、特に`_dmarc`サブドメインに関連付けられたTXTレコードとして定義されている。DMARCレコードには、セミコロンで区切られたタグと値のペアがいくつか含まれており、ポリシーモードやレポートオプションを指定するものも含まれています。以下にDMARCレコードの例を示す：

_dmarc.example.com.IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; pct=100; adkim=r; aspf=r;"

この例では

• 「_dmarc.example.com. は "example.com "のDMARCレコードのDNSホスト名を指定します。
• "IN TXT"は、レコード・タイプがテキスト・レコードであることを示す。
• "v=DMARC1" は、使用されているDMARCプロトコルのバージョンがバージョン1であることを示す。このタグは必須である。
• "p=reject" は、メインドメインのDMARCポリシーを "reject "に設定します。これは、example.comのDMARCチェックに失敗したメールを拒否するよう、受信メールサーバーに指示します。このタグは必須です。
• "rua=mailto:[email protected]"は、集計レポート（認証結果のサマリー）の受信先としてメールアドレスを指定します。このタグは監視用に強く推奨される。
• "ruf=mailto:[email protected]"は、フォレンジック報告書（詳細は個々の失敗について）の受信先としてメールアドレスを指定する。このタグはオプションです。
• "sp=reject" サブドメインポリシーを "reject "に設定し、このDMARCポリシーがサブドメイン（例：mail.example.com）にも厳密に適用されるようにする。このタグはオプションです。
• "pct=100"は、DMARCチェックに失敗したメールの100%にポリシー(この場合は拒否)を適用することを示します。オプション。デフォルトは100。
• "adkim=r" DKIMのアライメント要件をrelaxedに設定する(サブドメインのマッチが許可される)。オプション。デフォルトは relaxed (r)。
• "aspf=r" SPFのアライメント要求をrelaxedに設定する(サブドメインのマッチが許可される)。オプション。デフォルトは relaxed (r)。

よくあるDMARCの間違いとその回避方法

DMARCの実装と管理は複雑であり、経験豊富な管理者であってもよく落とし穴にはまります。この実用的なガイドでは、DMARC設定の有効性を左右する現実的な問題を取り上げます。

DMARCを最大限に活用し、メールドメインの安全性を維持するために、これらの間違いとその回避方法を理解しておきましょう。

ポリシーの設定ミスは、DNSレコードのDMARCポリシーの設定ミスで最も頻繁に発生するエラーの1つです。これは、間違った構文、サポートされていないタグの使用、または v =（DMARCバージョンを指定する）や p =（なし、隔離、拒否などのポリシーアクションを設定する）の ような必須タグの欠落を意味します。

ポリシータグの誤りや欠落は、電子メールが適切に執行されなかったり、正当なメッセージが配信されなかったりするなど、深刻な問題を引き起こす可能性があります。ポリシーの構文が正しく、サポートされているタグのみが含まれていることを確認することは、DMARCが意図したとおりに機能するために不可欠です。

DMARCを設定することは一般的ですが、 レポートを監視しないことは多くの組織が間違いを犯すところです。DMARCアグリゲート (ルア)とフォレンジック(ruf)レポートを有効にし、定期的に確認することは、ドメインがどのように使用または悪用されているかを理解するための鍵となります。 これらのレポートを無視することは、認証の失敗、未承認の送信者、不正な送信元に関する貴重な洞察を見逃すことを意味します。

DMARCレポートはXML形式であるため、その複雑さゆえに軽視されがちです。Postmark、DMARCian、または同様のサービスのような使いやすいツールやダッシュボードを使用することで、このデータを実用的な洞察に変え、メールセキュリティを強化することができます。

SPF/DKIMの調整を忘れることもよくある問題です。DMARCは単にSPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）を設定するだけでなく、適切なアライメントが必要であることを覚えておくことが重要です。これは、目に見える「From」アドレスのドメインが、SPFおよび/またはDKIMによって認証されたドメインと一致していなければならないことを意味します。 SPFとDKIMが個別にパスしても、ドメインが正しく一致していなければDMARCは失敗する。アライメントを誤解したり見落としたりすると、予期せぬエラーにつながり、メール配信に影響を与える可能性があります。

十分な監視をせずに、いきなり厳格なp=拒否ポリシーに飛びつくのは逆効果になりかねない。十分なモニタリングもなしに、いきなり厳格なp=拒否ポリシーに飛びつくのは逆効果になりかねない。データを収集せずに なしまたは 隔離モードでデータを収集しないと、特にCRM（カスタマー・リレーションシップ・マネジメント）、マーケティング・プラットフォーム、サポート・ツールなどのサードパーティ・サービスからの正当なメールをブロックしてしまう危険性があります。 段階的なアプローチが最適です。 p=noneでレポートを収集し、問題を慎重に確認して修正し、次に p=隔離に移行し、最後に p=拒否へと移行します。このように段階的に導入することで、メールフローを中断させることなく、スムーズな運用が可能になります。

結論

DMARCは、フィッシングやなりすまし、AIによる攻撃の増加からお客様のドメインを保護する最も効果的な方法の1つです。SPFやDKIMと併用することで、メールのセキュリティを強化し、配信性を向上させ、誰があなたの代わりにメールを送信しているのかを正確に把握することができます。適切なポリシーを導入することで、金融、医療、政府機関、その他さまざまな分野の組織が、信頼できるセキュアなコミュニケーションを維持することができます。

DMARCを正しく設定するには、継続的なモニタリング、アライメントチェック、そして段階的な実施への移行が必要です。PowerDMARCは、ホストされた認証、読みやすいレポート、リアルタイムのアラート、および各段階での専門家のガイダンスを提供することにより、これを容易にします。

当社のお客様は、社内のDMARCエキスパートによる献身的なサポートを受け、ニーズに合ったソリューションを設定することができます。DMARCの無料トライアルをご希望の方は、今すぐ弊社までご連絡ください。

よくある質問 (FAQ)

DMARCは法律で義務付けられていますか？

DMARCはほとんどの国で法的に義務付けられているものではありませんが、フィッシングやなりすましからメールドメインや顧客を守るためのベストプラクティスとして、多くの業界や組織が採用しています。

DMARCはすべてのフィッシング攻撃を阻止できるか？

DMARCは無許可の送信者をブロックすることでフィッシングを大幅に減少させますが、すべての攻撃を阻止できるわけではありません。フィッシングの中にはメール認証を回避する手口もあるため、DMARCはより広範なセキュリティ戦略の一部であるべきです。

DMARCの実装にはどのくらい時間がかかりますか？

基本的なセットアップに数時間かかるものから、完全な監視、ポリシーのチューニング、すべてのメールソースとの整合に数週間かかるものまで、導入にかかる時間はさまざまです。綿密な計画と段階的な実施により、確実に成功させることができます。

"`

• について
• 最新記事

マイサム・アル・ラワティ

サイバーセキュリティ専門家PowerDMARC

マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。

最新記事 by Maitham Al Lawati(全て見る)

• フィッシングメールとDMARC統計：2026年メールセキュリティ動向 - 2026年1月6日
• 2026年に「SPFレコードが見つかりません」を修正する方法 - 2026年1月3日
• SPF パーエラー：DNS ルックアップが多すぎる場合の修正方法 - 2025年12月24日