DMARC対応とは？求められる背景と具体的な設定方法について解説します

メールの送信元認証に重要な役割を果たすDMARCは、不正メールからビジネスを保護します。しかし、設定方法を誤ると全てのメール送信に影響が生じる可能性があります。この記事では、DMARCの設定の流れと具体的な確認ポイントについて詳しく解説します。読者の皆様が抱える課題や疑問を解決し、メールセキュリティを強化するための一助となれば幸いです。

電子メールになりすまし対応が求められる背景

メール流通量の増加

インターネットの普及から今日に至るまで、電子メールは企業から一般ユーザーに対して行われるメールマーケティング活動やお知らせなど、多岐に渡る用途で活用され続け、その効果も高い事から国内のメール流通量は年々増加しています。

オンライン決済の増加とフィッシング詐欺対策強化の高まり

しかしながらメールのその仕組み上、送信側が送信元ドメインを容易に詐称できてしまう事から、犯罪者が送信元を詐称しショッピングサイト事業者やクレジットカード会社などのサービス事業者になりすましたメールに悪用できてしまい、そうした不正メール経由で送信偽サイトへ誘導し、ID・パスワード等の情報が盗み取られ不正な決済や送金が行われる犯罪（フィッシング）の報告件数が大幅に増加しています。

【フィッシング報告件数の推移】 　
　　　2017年： 9,812件 　
　　　2018年： 19,960件 　
　　　2019年： 55,787件 　
　　　2020年：224,676件 　
　　　2021年：526,504件 　
※フィッシング対策協議会(https://www.antiphishing.jp/)月次報告書より

この様な背景や、近年のキャッシュレス化によるオンライン決済の増加などもあり、サービス事業者には不正メールによる被害防止のための対策強化が求められています。

官庁がフィッシング対策として「DMARC」対応を要請

経産省・警察庁・総務省からのDMARC導入要請

これまでも迷惑メール対策協議会などの機関から各メール送信事業者・メール受信側となるプロバイダに対し、迷惑メール対策強化についての啓蒙活動は行われてきましたが、この様なフィッシングにはメール送信元の偽装が多く利用されることから、2023年2月1日、経産省・警察庁・総務省は、クレジットカード会社などの事業者に対し、送信ドメイン認証技術「DMARC」による送信元認証の導入によるフィッシング対策の強化を要請し、具体的には不正な送信元詐称メールは破棄する事が求められています。

DMARC対応の重要性と全業種への適用

官庁からの要請は、クレジットカード会社など一部業種に限られていますが、DMARC対応による、なりすまし・フィッシングメールへの対策は企業の信頼にもかかわる重要且つ有効な手段となりますので、ユーザとメールによるコミュニケーションを取るすべての業種に必要な対応と言えます。

DMARCとは？

DMARC（Domain-based Message Authentication, Reporting and Conformance）は、電子メールの認証技術の1つです。具体的には、SPF（Sender Policy Framework）、およびDKIM（Domain Keys Identified Mail）と組み合わせて使用され、メール受信サーバーが送信元ドメインを認証し、受信者に送信される前に詐称された不正なメールを把握し隔離・拒否を選択することができますので、フィッシングメールを防ぐため非常に有効な手段となります。

DMARCによるメール認証・レポート送信のイメージ

また、DMARCは正しい送信元（ドメイン保有者）に対してレポート送信することもできるため、SPFやDKIMでは把握できなかった詐称メールまで検知する事ができる点も、これまでの迷惑メール対策の技術より優れています。

　

DMARC設定までの流れ、確認ポイントや注意点など

次に、DMARC対応時の流れや設定方法、設定前に気を付けておくべき点について解説します。

流れとしては、DMARC対応に必要なSPF及びDKIMの設定を正しく行った後、DMARCレポート受信用のメールボックスを作成します。次に設定対象の送信元ドメインが利用される範囲を確認して設定時の影響を把握し、DMARC設定をテスト運用した後に、本番の設定に変更する流れとすると安全に設定を進める事ができます。

【DMARC対応の流れ】
①対象ドメインの利用範囲を確認
②送信元ドメインに対し、SPFとDKIMを設定
③DMARCレポート受信用のグループ又はメールボックスを作成
④DMARCポリシーの調整・決定
⑤DMARC本番ポリシー設定前のテスト運用
⑥DNSへ、DMARCレコードを本番用に調整・設定

DMARCの具体的な設定・確認方法

初期準備からテストまで

①対象ドメインの利用範囲を確認
DMARCはドメインに対して設定されるものとなり、官庁の要請では不正なメールアドレスは破棄する事が求められていますので、十分に利用範囲を確認しておく必要があります。対象ドメインを送信元としてメール配信されている業務やシステムなどの洗い出しを行い影響範囲を把握します。

②送信元ドメインに対し、SPFとDKIMを設定
DMARCはメール認証技術のSPFとDKIMを利用して送信元を判定しますので、これらを正しく設定します。

③DMARCレポート受信用のグループ又はメールボックスを作成
DMARCは、判定結果をドメイン保有者の指定するメールアドレス宛にレポート送信出来ますので、その受信用メールボックスなどを用意しておきます。

④DMARCポリシーの調整・決定
DMARCポリシーとは、対象ドメインを送信元としたメールが、DMARC認証（SPF又はDKIM）NGとなった場合の処理を受信メールサーバに指示するものです。

　・none：特別な処理を行わない
　・quarantine：受信者の迷惑メールフォルダに分類する等、隔離する
　・reject：拒否する

⑤DMARC本番ポリシー設定前のテスト運用
DMARCはSPF認証又はDKIM認証で不正と判断された送信元からのメールを排除又は隔離（迷惑メールボックスで受信）するため、誤った設定で認証が行われてしまいますと、本来届けなければならないメールが届かない、といった影響が生じます。

そのため、テスト運用としてDMARC認証がNGとなった場合も、受信拒否が行われない仮設定でDMARC認証テストを行い、認証OK・NGそれぞれでレポート受信までの一連動作を確認します。

以下の設定例は、ymirlink.co.jpドメインでメール送信を行い、認証NGの場合に処理を行わない設定（p=none）とし、DMARC集計レポート送信先を「report@ymirlink.co.jp」、フィッシングレポート送信先を「report@ymirlink.co.jp」としています。

【DMARCレコード：テスト設定例】
　_dmarc.ymirlink.co.jp. IN TXT "v=DMARC1; p=none; rua=mailto:report@ymirlink.co.jp; ruf=mailto:report2@ymirlink.co.jp; sp=none"

本番適用と最終設定

　テスト設定内容
　　・DMARC設定対象ドメイン：ymirlink.co.jp
　　・DMARCポリシー：p=none（隔離・拒否の処理を行わない）
　　・DMARC認証失敗時の動作： sp=none （隔離・拒否の処理を行わない）
　　・DMARCレポート送信先： report@ymirlink.co.jp
　　・DMARCフィッシングレポート送信先： report2@ymirlink.co.jp

　各パラメータの意味
　　v: DMARCバージョン（管理用）
　　p: DMARCポリシー（none、quarantine、rejectから選択）
　　rua: DMARCレポート（集計用）の受信先のメールアドレス
　　ruf: DMARCレポートの失敗したメール（DMARCフィッシングレポート）解析先メールアドレス
　　　　※DMARCフィッシングレポートは、ドメインにより対応していない場合があります。
　　sp: ドメインの送信元認証が失敗した場合の動作（none、quarantine、rejectから選択）

⑥DMARCポリシーを本番用に調整・設定
テストで問題ないことを十分に確認した後、本番ポリシーに設定変更します。ここでは送信元が不正と判定した場合に受信拒否（p=reject）する設定とします。

【DMARCレコード：本番設定例】
　_dmarc.ymirlink.co.jp. IN TXT "v=DMARC1; p=reject; rua=mailto:report@ymirlink.co.jp; ruf=mailto:report2@ ymir.co.jp; sp=reject"

まとめ

繰り返しになりますが、DMARC対応はSPFとDKIMを用いた認証技術となり、認証結果によりメールを拒否しますので、誤った設定が行われていた場合は対象ドメインを利用する全てのメール送信に影響が生じてしまいますので、影響範囲を正しく把握し慎重にテスト運用を行った上で設定を進めていただくのが望ましいものとなります。

専門技術が求められるにもかかわらず設定誤りによる影響が対象ドメインを利用するメール全般と大きいものとなりますので、専門業者から技術支援が受けられると非常に心強いものとなります。メール配信システム提供を受けている、又はメールサーバをはじめとした管理を外部委託されている場合は、その様な技術支援が受けられるかを確認しておくことを推奨します。