DMARCとは？

※本ページは、Valimail公式サイトのBlog に掲載された記事を翻訳・編集し、日本向けに作成されています。
　-What is DMARC: Records, reports, and how it works

DMARC（Domain-based Message Authentication, Reporting & Conformance）は、SPFやDKIMという電子メールの認証技術を補完し、さらに強化する仕組みです。

メールの「From」アドレス（ユーザー画面に表示される送信元アドレス）を確認し、不正に利用されていないかを検証します。

1. メールの正当性を確認
   送信されたメールが本当にそのドメインから送られたものであるかを確認できる仕組みを提供します。
2. 不正メールを防ぐ
   フィッシング詐欺やなりすまし攻撃を未然に防止します。
3. ポリシーの設定と報告
   ドメイン所有者が「不正メールをどう処理するか」を設定し、その処理結果をレポートとして受け取ります。

メールセキュリティの基本であるSPFとDKIMには、1つの大きな弱点があります。
それは、送信元（差出人）の「From」アドレスを直接認証しない点です。
そのため、詐欺メールやフィッシングメールの送信者が、偽のFromアドレスを使って、あたかも信頼できる企業や知人から送られたように見せかけることが可能です。
DMARCはこの問題を解決します。

DMARCは、送信者が受信側のメールサーバーに対して、認証に失敗した場合の処理方法を指定できます。
設定できるポリシーは以下の3つです。

1. p=none（モニタリングのみ）
   認証に失敗しても特に処理は適用せずに通常通り配信。処理結果をレポートとして送信するよう指示します。
2. p=quarantine（隔離）
   認証に失敗したメールを迷惑メールフォルダに隔離するよう指示します。
3. p=reject（拒否）
   認証に失敗したメールを受信拒否するよう指示します。

DMARCは以下のステップで動作します。

1.  メール受信時にDMARCレコードを確認
   受信側メールサーバーが送信元ドメインのDMARCポリシー設定を確認します。
2.  SPFとDKIMによる認証チェック
   SPF: メール送信元のIPアドレスが正しいか確認します。
   DKIM: メールが改ざんされていないか確認します。
   （SPFまたはDKIMのいずれか一方、または両方が認証に合格していることが必要です）
3.  「From」アドレスとの整合性をチェック
   SPFやDKIMで認証されたドメインと、「From」アドレスのドメインが一致しているかを確認します。
4. ポリシーに基づく処理
   認証に失敗した場合、設定されたポリシーに従い以下のいずれかを実行します：
   　・p=none：通常通り配信
   　・p=quarantine：迷惑メールフォルダに隔離
   　・p=reject：受信拒否
5. 処理結果をレポート
   処理結果のDMARCレポートを、送信元ドメインに送信します。

DMARCレコードは、ドメインのDNS（Domain Name System）に保存される設定情報です。
これにより、インターネット上のすべてのメールサーバーが即座にアクセス可能となります。

DMARCレコードは他のDNSレコードと並んでTXTレコードとして挿入され、名前は「_dmarc」から始まり、その後に適用されるドメイン名が続きます。
たとえば、「example.com」のDMARCレコードは「_dmarc.example.com」として公開します。

DMARCレコードにはさまざまなタグがありますが、基本的に理解する必要があるのは以下の3つのタグだけです。

1. v=DMARC1（DMARCバージョン）
   このタグはDMARCレコードであることを識別します。大文字と小文字を区別します。
2. p=（ポリシー）
   ドメイン所有者が、DMARC認証に失敗したメールをどのように処理するかを指定します。以下の3つの値があります：
   　p=none – 特にアクションを適用しない（通常通り配信）
   　p=quarantine – 迷惑メールフォルダに隔離
   　p=reject – 受取拒否
3. rua=（DMARCレポート送信先）
   DMARC認証結果のDAMRCレポートを送信するメールアドレスを指定します。
   この情報をもとに、不正メールを監視し、ドメインのメール認証を最適化できます。

上述のv=, p=, rua=がDMARCレコードで必要な3つのタグです。これらが正しく設定されていれば、DMARCの基本的な機能を活用できます。

特定のニーズに応じて使用されるタグもありますが、多くの場合は必須ではありません：

• sp（サブドメインポリシー）: サブドメインに個別のポリシーを設定可能
• adkim（DKIMの一致条件）: 厳密一致（strict）または緩和一致（relaxed）を指定
• aspf（SPFの一致条件）: DKIMと同様に一致条件を設定
• pct（適用率）: ポリシーを適用するメールの割合を指定
• ruf（失敗レポート送信先）: DMARC認証に失敗したメールの失敗レポート送信先
• fo（失敗報告オプション）: どの条件で失敗レポートを送信するかを指定
• ri（レポート間隔）: レポートを送信する間隔を秒数で指定（デフォルトは86400秒＝1日）

DMARCレポートは、対象ドメイン名を指定してメールを送信するすべての送信者とその認証状況を把握するための重要なツールです。
これにより、不正な送信者や認証に問題のあるサービスを特定し、ドメインのセキュリティを強化できます。
DMARCレポートには次の情報が含まれます：

• メール送信者のIPアドレス
• 使用されたドメイン名
• 認証結果（SPF、DKIM、DMARC）

DMARCを導入し、エンフォースメントを達成することは、メールセキュリティ強化において重要です。
エンフォースメントを達成するためには、最初に「p=none」を設定し、DMARCレポートを分析して現状を把握します。
その後、問題点を特定・改善しながら、段階的に「p=quarantine」や「p=reject」へ移行することで、安全性を高めていきます。

具体的には、以下のステップを繰り返し実施することが必要です：

1. 監視モードでDMARCレコードを設定する
   「p=none」ポリシーを設定し、DMARCレポート収集用のアドレスを指定します。
2. DMARCレポートを収集し、分析する
   受信したDMARCレポートをもとに、正規なメール送信サービスと不正なものを特定します。
3. メール送信サービスを認証
   すべての正当な送信サービスがSPF、DKIM、DMARC認証を通過するよう設定を調整します。

DMARCは非常に効果的ですが、以下のような制約もあります。

• 転送メールの認証失敗
  メールが転送されると、SPFやDKIMが失敗する場合があります。
  この問題を解決するため、ARC（Authenticated Received Chain）が使用されることがあります。
• 適切な設定の複雑さ
  SPFのDNSルックアップ制限や、すべての送信サービスを特定する必要があるなど、設定には注意が必要です。

Valimailを利用すれば、DMARC、SPF、DKIM、BIMIの管理を簡単に行い、ドメインを確実に保護することができます。
自動化ツールを使用することで設定の複雑さを解消し、より早くエンフォースメントを達成できます。

Monitorに登録して、Valimailをお試しください！
～ValimailのMonitorサービスを体験し、DMARC導入・運用の第一歩を踏み出しましょう～