DMARC(Domain-based Message Authentication, Reporting and Conformance)

2025年7月18日 最終更新日時 : 2025年7月18日 KoAN
dmarc

DMARC(Domain-based Message Authentication, Reporting and Conformance)について

DMARCとは

DMARC(Domain-based Message Authentication, Reporting and Conformance)は、電子メールのなりすましやフィッシング詐欺を防止するためのメール認証技術です。SPF(Sender Policy Framework)やDKIM(DomainKeys Identified Mail)と連携し、送信ドメインの管理者が自らのドメインを使った不正メールに対し、受信側サーバがどのように対応するか(合格/拒否/隔離など)をポリシーとして定義できます。また、認証結果のレポート機能も備えています。

DMARCの仕組みと動作原理

DMARCは、SPFとDKIMの認証結果に基づき、メールが正規の送信者から送られているかを判定します。受信側のメールサーバは、送信ドメインのDNSに公開されたDMARCレコードを参照し、ポリシー通りの対応を実施します。これにより、なりすましメールの排除だけでなく、管理者へのレポート送付による監視・分析も可能です。

DMARCレコードの例

_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-report@example.com; ruf=mailto:dmarc-forensic@example.com; pct=100"
  • v=DMARC1:DMARCのバージョン
  • p=reject:認証に失敗したメールは拒否
  • rua:集計レポート(Aggregate Report)の送信先メールアドレス
  • ruf:フォレンジックレポート(詳細レポート)の送信先アドレス
  • pct:ポリシー適用率(100=すべてのメールに適用)

DMARCの主なポリシー設定

  • none:認証失敗時も通常通り配送(モニタリングのみ)
  • quarantine:認証失敗時は隔離(迷惑メール扱いなど)
  • reject:認証失敗時は受信拒否

まずはnoneで運用を開始し、問題なければquarantine、最終的にrejectへ移行するのが一般的です。

DMARCの導入手順

  1. ドメインのSPFおよびDKIM設定を適切に行う
  2. DMARC用のTXTレコードをDNSに追加し、最初はp=noneで運用開始
  3. DMARCレポートを受信・分析し、正当なメールが失敗していないか確認
  4. 段階的にp=quarantine、p=rejectへ強化し、安全性を高める
  5. 継続的にレポート監視と設定の見直しを行う

DMARCのメリット

  • なりすましやフィッシングメールの大幅な減少
  • ドメインブランドの信頼性向上
  • レポート機能により運用状況の可視化と改善が可能
  • メールの到達率向上(正当なメールがスパム判定されにくくなる)

DMARCのデメリット・注意点

  • SPFやDKIMが正しく設定されていないと、正当なメールも受信拒否や隔離される恐れがある
  • メール転送時に認証が失敗する場合がある(ARC等の対策技術の導入も検討)
  • レポート分析や設定管理に一定の手間がかかる

DMARCのレポート機能

  • Aggregate Report(集計レポート):認証結果を日次などでまとめて報告。ruaで指定したアドレスに送信。
  • Forensic Report(詳細レポート):個別メールごとに詳細な失敗情報を報告。rufで指定したアドレスに送信。

これにより、不正利用の兆候や設定ミスを早期に発見できます。

DMARCと他の認証技術との連携

  • SPF:送信元サーバの認証。なりすましの判定基準のひとつ。
  • DKIM:メール本文やヘッダの電子署名による改ざん検知。
  • ARC(Authenticated Received Chain):メール転送時の認証情報の維持に役立つ。

SPF・DKIM・DMARCの3つを併用することで、多層的なメールセキュリティを実現できます。

DMARCを運用する際のポイント

  • 導入前に必ずSPFとDKIMが正しく設定されているか確認する
  • 最初はp=noneで運用し、レポートをもとに設定を調整する
  • メールサービスや転送経路を定期的に見直し、漏れがないか点検する
  • 正当な送信元が認証失敗していないか常にレポートを監視する

まとめ

DMARCは、メールのなりすましや不正利用を強力に防止し、ドメインの信頼性向上と安全なメール運用を支える重要な認証技術です。SPF・DKIMと連携し、段階的にポリシーを強化することで、企業や組織だけでなく個人のドメイン管理にも効果的です。導入後もレポート監視や設定の最適化を継続することで、安定したセキュアなメール環境を実現できます。

カテゴリー
Linuxインフラ
タグ
前の記事
DKIM(DomainKeys Identified Mail)New!!
2025年7月17日