IT用語集 2024/05/14

DMARCとは？わかりやすく10分で解説

コラム

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、自社ドメインを名乗るメールについて、認証に失敗した場合の扱いを受信側へ伝え、レポートで状況を把握できるようにする仕組みです。中心になるのは、SPFとDKIMの結果を、Fromアドレスのドメインと照らし合わせて評価する点です。ビジネスメール詐欺やフィッシング詐欺の起点になりやすい「送信者表示のなりすまし」を減らしたいなら、DMARCは優先度の高い対策候補に入ります。

DMARCとは

DMARCは、送信ドメイン認証を実運用に乗せるための仕組みです。送信側はDNSへDMARCレコードを公開し、受信側はそのレコードを参照して、認証に失敗したメールを通常配送するのか、隔離対象にするのか、拒否対象にするのかを判断材料として使います。加えて、送信ドメインの管理者はレポートを受け取り、自社ドメインがどこから送られているか、どこで認証に失敗しているかを把握できます。

DMARCだけで認証を行うわけではありません。土台になるのはSPFとDKIMで、DMARCはその認証結果に「Fromアドレスとの整合性」と「失敗時の処理方針」を加える位置付けです。SPFやDKIMが通っていても、Fromアドレスのドメインと整合していなければ、DMARCでは不合格になる場合があります。

DMARCでできること

自社ドメインのなりすまし対策：認証に失敗したメールの扱いを受信側へ示せる
送信経路の可視化：レポートで正規送信と不審送信を切り分けやすくなる
段階導入：まず監視モードで状況を把握し、その後に隔離や拒否へ進める

DMARCだけでは片づかないこと

似た別ドメインを使う攻撃：自社ドメインそのものを使わない詐称は残る
正規アカウントの乗っ取り：侵害された正規アカウントからの送信は別論点になる
配信到達性の全問題：送信IPの評判や配信内容、苦情率など他の要因も効く

つまり、DMARCは「メールの安全を全部引き受ける仕組み」ではなく、自社ドメインのなりすましを抑えるための基盤と捉えるほうが実態に合います。

SPF・DKIM・DMARCの関係

SPF

SPFは、「このドメインからメールを送ってよい送信元ホストや送信サービスは何か」をDNSで宣言する仕組みです。受信側は、エンベロープFromやHELO/EHLOに使われたドメインに対してSPFを検証し、接続元が許可されているかを確認します。

注意点は、メール転送で失敗しやすいことです。転送後は送信元IPが変わるため、元ドメインのSPFと一致しない場合があります。DMARC導入後に正規メールが落ちる原因として、この論点はよく出ます。

DKIM

DKIMは、送信側がメールへ電子署名を付け、受信側がDNS上の公開鍵でその署名を検証する仕組みです。署名対象のヘッダーや本文が配送途中で大きく改変されていなければ、転送があっても合格しやすい傾向があります。

ただし、メーリングリストで件名を書き換える、フッターを追加する、ゲートウェイで本文を改変する、といった処理が入ると署名が壊れる場合があります。DKIMがあるから転送や中継に常に強い、とまでは言えません。

DMARCが見る整合性（アライメント）

DMARCの特徴は、SPFやDKIMが単に成功したかどうかだけでなく、その認証済みドメインがFromアドレスのドメインと整合しているかを見る点です。SPFではMAIL FROM側、DKIMではd=側のドメインが評価対象になります。

整合性には緩和（relaxed）と厳格（strict）があり、実運用では緩和から始めることが多くなります。サブドメインをどう扱うかで合否が変わるため、送信サービスが複数ある環境ではここを曖昧にすると支障が出やすくなります。

DMARCの仕組み

受信側は、メールを受け取るとSPFとDKIMを検証し、次にFromアドレスのドメインに対応するDMARCレコードをDNSから参照します。そのうえで、SPFまたはDKIMのどちらかが合格し、さらにFromアドレスと整合していればDMARC合格になります。

不合格の場合、受信側はDMARCレコードに書かれたポリシーを判断材料として、通常配送、迷惑メール相当の隔離、拒否などを選びます。DMARCは送信側の意思を示す仕組みですが、最終判断は受信側のローカルポリシーにも左右されます。

DMARCポリシーの種類

p=none：監視モード。配信を強く変えず、評価とレポート収集を進める
p=quarantine：不合格メールを隔離対象として扱うよう受信側へ求める
p=reject：不合格メールを拒否対象として扱うよう受信側へ求める

最初からp=rejectへ進むと、正規送信の設定漏れがそのまま配信事故になります。正規送信元の棚卸しが終わる前は、p=noneで観測するほうが安全です。

DMARCレポートで見えること

代表的なのは集計レポート（rua）で、送信元IP、認証結果、対象ドメインなどをまとめて確認できます。これにより、正規送信の失敗、不審な送信、設定漏れを切り分けやすくなります。

失敗レポート（ruf）も仕様上はありますが、個別メッセージに近い情報を含み得るため、送られない場合や制限される場合があります。実運用では、まずruaを軸に監視する構成が一般的です。

DMARCレコードの書き方

DMARCレコードは、_dmarc.example.com のような名前でDNSへTXTレコードとして公開します。最小構成なら、バージョンとポリシーだけでも動きます。

v=DMARC1; p=none;

ただし、これだけでは可視化が弱いため、通常はruaを加えて集計レポートの送付先を指定します。

v=DMARC1; p=none; rua=mailto:dmarc-report@example.com; adkim=r; aspf=r;

主なタグ

rua：集計レポートの送付先
ruf：失敗レポートの送付先
adkim：DKIM整合性のモード
aspf：SPF整合性のモード
pct：ポリシー適用割合
sp：サブドメイン向けポリシー

外部のレポート受信サービスを使う場合は、そのサービス側のドメインで追加の許可設定が要ることがあります。ここを見落とすと、DMARCレポートが届かない原因になります。

DMARCの導入手順

1. 送信元を棚卸しする

社内メールサーバだけでは足りません。請求書送付サービス、CRM、MA、問い合わせフォーム、SaaS通知、委託先配信など、自社ドメインのFromアドレスを使う送信元を洗い出します。この棚卸しが甘いと、後で正規メールが落ちます。

2. SPFとDKIMを整備する

DMARCはSPFかDKIMのどちらかが整合付きで合格すればよい設計ですが、片方だけに寄せるのは危険です。SPFの許可範囲、DKIM署名の有無、Fromアドレスとの整合性を送信サービスごとに確認します。

3. p=noneで観測する

最初は監視モードで、正規送信の失敗と不審送信を分けて見ます。ここで失敗している正規メールは、配信基盤、From設定、整合性、署名設定のどこかに原因があることが多く、先に直しておくと後工程が安定します。

4. quarantineからrejectへ段階移行する

正規送信の失敗が解消してきたら、隔離ポリシーへ進め、必要に応じてpctで適用割合を上げます。その後、問題が収束した段階でrejectへ進む流れなら、配信障害を起こしにくくなります。

5. 変更前提で監視を続ける

新しい送信サービスの追加、システム更改、委託先変更、サブドメイン運用の追加があると、DMARCの前提も変わります。導入直後だけでなく、運用に監視と設定更新を組み込んだほうが安定します。

よくある落とし穴

転送でSPFが落ちる

転送では送信元IPが変わるため、SPFは失敗しやすくなります。DKIMが維持できればDMARC合格に寄せられるので、転送が多い環境ではDKIMの整備が特に効きます。

SPFやDKIMは通るのにDMARCが落ちる

原因の多くは整合性です。SPFで見ているドメインやDKIM署名ドメインが、Fromアドレスのドメインと揃っていない場合、DMARCでは不合格になります。外部配信サービスを使うときは、From表示だけ自社ドメインにしても足りず、整合性まで満たす設定が要ります。

サブドメイン運用が曖昧なまま進める

親ドメインだけDMARCを整備しても、サブドメインの送信方針が曖昧だと未解決の箇所が残ります。どのサブドメインを送信に使うのか、spをどう置くのかまで決めておくと事故が減ります。

DMARCだけでフィッシング対策が完了したと見なす

DMARCが減らせるのは、あくまで自社ドメインを使うなりすましです。似た文字列の別ドメイン、正規アカウントの侵害、URLフィルタリングの外にある誘導型の攻撃は別軸で対策が要ります。アカウント保護、利用者教育、メールゲートウェイ対策は引き続き要ります。

まとめ

DMARCは、SPFとDKIMの結果にFromアドレスとの整合性、失敗時のポリシー、レポートを加え、自社ドメインのなりすまし対策を実運用で継続しやすくする仕組みです。導入の成否は、レコードの書き方よりも、送信元の棚卸し、p=noneでの観測、段階移行、継続監視に左右されます。自社ドメインの信頼を守りたいなら、単発設定ではなく、送信基盤全体の管理として扱うほうが安定します。