DMARCとは？仕組みや設定方法をわかりやすく解説します。

現在、なりすましメールによる被害が問題となっており、DMARCはその対策として重要です。
なりすましメールは、企業が配信しているメールのフリをして送る手法です。配信したメールをきっかけにして大切なお客様が被害に合わないよう、メールの認証対応は重要で、DMARCの注目度が上がっています。

2023年10月にはGoogleと米Yahooはメール送信者向けのガイドラインを更新し、DMARCの設定を求める記述が追加されました。2025年4月にはマイクロソフト社もDMARCの設定を求める要件が同社のブログ上に掲載されました。他のメーラーもDMARCの設定を求める可能性が高く、DMARC対応はほぼ必須です。

本記事ではDMARCについて、設定の流れと具体的な確認ポイントについて分かりやすく詳しく解説します。

【2024年2月】Gmail送信者ガイドライン変更！メルマガ送信者は要注意

DMARCとは

DMARCとは、2012年に大手電子メールサービス等が協力して発表した、なりすましメールやフィッシング詐欺を防ぐための送信ドメイン認証技術です。

メールの送信元を検証することで送信元ドメインの偽装を防ぎ、受信者に安全で信頼性の高いメールを提供することにつながります。

DMARCの仕組みを解説

DMARCは、他のなりすましメールを防ぐ技術であるSPF、DKIMの認証を行った上で、メール受信サーバーが送信元ドメインを認証し、受信者のメールボックスに届く前に詐称された不正なメールを把握し隔離・拒否を指定することができます。

正しい送信元（ドメイン保有者）に対してレポート送信することもできるため、SPFやDKIMでは把握できなかった詐称メールまで検知することができる点も、これまでの迷惑メール対策と合わせることでより強固な迷惑メール対策を実現できます。

そもそもヘッダFromとエンベロープFromとは？

メールの送信情報には、アドレスが2種類存在します。１つは、多くのメーラーでメールを作成する時に自動的に「差出人」に記載されているアドレス「ヘッダFrom」です。そして、普段のメール送受信で見ることが少ない、なりすまし認証などの情報が記載されている「メールヘッダ」の「Return-Path」の項目に記載されているアドレス「エンベロープFrom」です。

２種類は手紙に例えられ、エンベロープFromが封筒に書いてある送信名、ヘッダFromは封筒内にある手紙に記載してある記載者の名前のような関係性があります。手紙の場合、基本的に封筒に記載する宛て名や送信元名は正しいものを記載しますが、手紙自体にはニックネームなど自由に記載します。

メールも同じように、エンベロープFromは本当の送信元情報を記載しますが、ヘッダFromは仕様上自由に書き換えられるため、必ずしも実際の差出人とは限りません。

SPFとは？

SPFは正しいメールサーバーから送られたかを確認するドメイン認証技術です。ドメイン情報を管理しているDNSに「このドメインは、このメールサーバーから送ります」という設定の記述しておくことで、受信側が送られたメールが、DNSに設定された正しいメールサーバーから送られてきたかを確認することができます。

一方で、メールに表示されるメールの送信元(ヘッダFrom)の認証を行っているわけではないため、DMARCの対応も必要になります。

DKIMとは

秘密鍵と公開鍵という鍵を使用して、なりすまし対策やメールの改ざんの検知を行います。DNSに公開鍵を設定し、送信するメールには秘密鍵を用いて電子署名を行います。
受信者側はDNSにある公開鍵を用いて秘密鍵のかかった電子署名を照合することで認証します。

DKIMは、メールの内容やヘッダが送信後に改ざんされていないことを検証する技術です。しかし、DKIM自体はメールの送信元（ヘッダFrom）のドメインの認証を行うものではなく、あくまで送信されたメールの署名を検証して、その整合性を確認します。送信元のドメイン認証を行いたい場合には、DMARCやSPFの技術と併用する必要があります。

フィッシング詐欺の対策として「なりすまし対応」が重要に

近年、ECサイトの増加や、さまざまなサービスのデジタル化に伴い、以前よりも重要な内容を含むメールが増えつつあります。その状況を悪用したフィッシング詐欺の被害は、増加傾向にあります。

2024 年 12 月にフィッシング対策協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より 53,697 件増加し、232,290 件となりました。

引用元：フィッシング対策協議会＜月次報告書＜2024/12 フィッシング報告状況

なぜ、なりすましメールができてしまう？

メールの仕組みでは、ヘッダFromとエンベロープFromが一致する必要はなく、ヘッダFromは自由に書き換えられることにより、送信側が送信元ドメインを容易に詐称できてしまうためです。

犯罪者がショッピングサイト事業者やクレジットカード会社などのサービス事業者のドメインになりすまし、メール文面も実際に企業から送られるメールに似せることでユーザーをあざむき、送信偽サイトへ誘導し、ID・パスワード等の情報を盗み取ろうとします。

そのため、サービス事業者は被害防止のための対策として、送信元ドメインを認証するDMARCに対応することは非常に重要です。

DMARC設定までの流れ、確認ポイントや注意点など

DMARC対応時の流れや設定方法、設定前に気を付けておくべき点について解説します。

1.対象ドメインの利用範囲を確認する

DMARCはドメインに対して設定されるものとなり、官庁の要請では不正なメールアドレスは破棄する事が求められていますので、十分に利用範囲を確認しておく必要があります。対象ドメインを送信元としてメール配信されている業務やシステムなどの洗い出しを行い影響範囲を把握します。

2.送信元ドメインに対し、SPFとDKIMを設定する

DMARCはメール認証技術のSPFとDKIMを利用して送信元を判定しますので、これらを正しく設定します。

3.DMARCレポート受信用のグループ又はメールボックスを作成する

DMARCは、判定結果をドメイン保有者の指定するメールアドレス宛にレポート送信出来ますので、その受信用メールボックスなどを用意しておきます。

4.DMARCポリシーを調整・決定する

DMARCポリシーとは、対象ドメインを送信元としたメールが、DMARC認証（SPF又はDKIM）NGとなった場合の処理を受信メールサーバに指示するものです。

5.DMARC本番ポリシー設定前のテスト運用

DMARCはSPF認証又はDKIM認証で不正と判断された送信元からのメールを排除又は隔離（迷惑メールボックスで受信）するため、誤った設定で認証が行われると、本来届けなければならないメールが届かないといった影響が生じます。

そのため、テスト運用としてDMARC認証がNGとなった場合も、受信拒否が行われない仮設定でDMARC認証テストを行い、認証OK・NGそれぞれでレポート受信までの一連動作を確認します。

以下の設定例は、ymirlink.co.jpドメインでメール送信を行い、認証NGの場合に処理を行わない設定（p=none）とし、DMARC集計レポート送信先を「report@ymirlink.co.jp」、フィッシングレポート送信先を「report@ymirlink.co.jp」としています。

DMARCレコード：テスト設定例

_dmarc.ymirlink.co.jp. IN TXT "v=DMARC1; p=none; rua=mailto:report@ymirlink.co.jp; ruf=mailto:report2@ymirlink.co.jp; sp=none"

【テスト設定例の内容】
上記のテスト設定例で指定している内容は以下の通りです。

• DMARC設定対象ドメイン：ymirlink.co.jp
• DMARCポリシー：p=none（隔離・拒否の処理を行わない）
• DMARC認証失敗時の動作： sp=none （隔離・拒否の処理を行わない）
• DMARCレポート送信先： report@ymirlink.co.jp
• DMARCフィッシングレポート送信先： report2@ymirlink.co.jp

【各パラメータの意味】
DMARCレコードの各パラメーターの意味は以下の通りです。

• v: DMARCバージョン（管理用）
• p: DMARCポリシー（none、quarantine、rejectから選択）
• rua: DMARCレポート（集計用）の受信先のメールアドレス
• ruf: DMARCレポートの失敗したメール（DMARCフィッシングレポート）解析先メールアドレス

※DMARCフィッシングレポートは、ドメインにより対応していない場合があります。
　　sp: ドメインの送信元認証が失敗した場合の動作（none、quarantine、rejectから選択）

DMARCポリシーを本番用に調整し、設定する

テストで問題ないことを十分に確認した後、本番ポリシーに設定変更します。ここでは送信元が不正と判定した場合に受信拒否（p=reject）する設定とします。

【DMARCレコード：本番設定例】
　_dmarc.ymirlink.co.jp. IN TXT "v=DMARC1; p=reject; rua=mailto:report@ymirlink.co.jp; ruf=mailto:report2@ ymir.co.jp; sp=reject"

DMARC認証を合格（パス）するためには、条件がある

DMARC認証を合格するためには、SPFまたはDKIMのどちらかにおいて、通常の認証＋アライメントに合格する必要があります。そのため、DKIMが未対応であったとしても、SPF認証、またSPFアライメントにおいて合格していれば、DMARC認証も合格します。

SPF・DKIMともに認証に合格していても、アライメントに合格していなければ、DMARC認証は不合格になります。

• SPFアライメントとは？
  SPFアライメントとは、ヘッダFromのアドレスとSPF認証したエンベロープFromのアドレスが一致するかチェックします。
• DKIMアライメントとは？
  DKIMアライメントとはヘッダFromのアドレスとDKIM署名の「d=」に指定したドメインと一致するかチェックします。

DMARC対応の先にBIMIという技術も

BIMIとは、SPF・DKIM・DMARCの認証が出来た証としてロゴマークをメールに表示させる仕組みです。

他のメール認証とは異なり、ユーザー側が視覚的に認証されたかどうかを確認できるため、注目されている仕組みです。DMARCの普及に伴い、次の段階として対応が求められる可能性があります。

BIMIとは？認証の仕組みやなりすまし対策の効果を解説

Dmarcの導入、運用にお困りなら「Cuenote」へ

メール配信システム「CuenoteFC」を提供している当社では、DMARC・BIMIの導入・運用に詳しい企業と協力のもと支援サービスを提供しています。

ぜひ当サイトよりお問合せください。

詳しくはコチラから＞＞

まとめ

繰り返しになりますが、DMARC対応はSPFとDKIMを用いた認証技術となり、認証結果によりメールを拒否しますので、誤った設定が行われていた場合は対象ドメインを利用する全てのメール送信に影響が生じてしまいますので、影響範囲を正しく把握し慎重にテスト運用を行った上で設定を進めていただくのが望ましいものとなります。

　

専門技術が求められるにもかかわらず設定誤りによる影響が対象ドメインを利用するメール全般と大きいものとなりますので、専門業者から技術支援が受けられると非常に心強いものとなります。メール配信システム提供を受けている、又はメールサーバをはじめとした管理を外部委託されている場合は、その様な技術支援が受けられるかを確認しておくことを推奨します。