DMARC レコードを定義する

なりすましとフィッシングへの保護対策を行い、メールが迷惑メールに分類されないようにする

DMARC ポリシーは、DMARC レコードと呼ばれる 1 行のテキスト値で定義されます。レコードで定義するには次の項目です。

  • DMARC ポリシーでメッセージをどの程度厳格にチェックするか
  • メールが認証に合格しなかった場合の、受信サーバーによる推奨処理

DMARC ポリシーの設定

DMARC ポリシーは、ドメインからのメールが DMARC 認証に合格しなかった場合の処理を受信メールサーバーに指示するものです。

これは、DMARC ポリシー レコードの例です。v タグと p タグは最初に指定する必要がありますが、他のタグは任意の順序で指定できます。

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

これらのタグの定義と設定できる値については、DMARC レコードのタグをご覧ください。

DMARC の使用を開始するときは、ポリシーの適用設定に none を指定することをおすすめします。ドメインからのメールが受信サーバーによってどのように認証されるのかがわかってきた段階で、ポリシーを更新します。ある程度の期間を設けて、受信側のポリシーを quarantine に、最終的に reject に変更します。DMARC のロールアウト中に更新される DMARC ポリシーの例については、チュートリアル: DMARC のおすすめのロールアウト方法をご覧ください。

適用ポリシー 推奨事項 詳細情報
none 受信サーバーによる DMARC チェックに合格しなかったメールに対して、何の処理も行いません。メールは通常どおり受信者に配信されます。

DMARC を初めて設定するときは、このオプションの使用をおすすめします。オプション none では、ドメインからのメッセージは問題なく配信されます。ポリシーを none に設定している間は、DMARC レポートを定期的に検証して、メールがどのように認証、配信されているかを確認してください。

受信サーバーから管理者に送信される DMARC レポートには、SPF と DKIM で認証できないメッセージに関する詳細情報が記載されています。ドメインからの大量のメールが迷惑メールに分類される場合は、SPF と DKIM の設定を確認してください。詳しくは、DMARC のトラブルシューティングに関する記事をご覧ください。

受信サーバーによって認証されないメッセージの種類を把握できるようになるまでは、ポリシーの適用設定を quarantine または reject に変更しないでください。

BIMI に関する注意: ドメインで BIMI を使用している場合は、DMARC 適用ポリシー(p)を quarantine または reject に設定する必要があります。BIMI は、p オプションが none に設定された DMARC ポリシーには対応していません。

quarantine 受信サーバーによって DMARC 認証されないメールは、受信者の迷惑メールフォルダに送信されます。受信サーバーで検疫を設定している場合、メッセージは受信者の迷惑メールフォルダに直接配信されるのではなく、検疫に送信される場合があります。 この設定でも引き続き DMARC レポートを取得できます。
reject 受信サーバーによって DMARC 認証されないメールは拒否され、受信者に配信されることはありません。通常、受信サーバーから送信者にバウンスメールが送信されます。

すべての DMARC ポリシーで、最終的かつ永続的な設定として を使用することをおすすめします。

この設定でも引き続き DMARC レポートを取得できます。

すべての有効なメールが正常に認証、配信されていることを DMARC レポートで確認できたら、ポリシーを更新します。認証されないメールを拒否することは、迷惑メール、なりすまし、フィッシングから受信者を保護するのに役立ちます。

DMARC 調整の設定

DMARC では、メールの From: ヘッダーが SPF または DKIM で指定された送信ドメインとどの程度一致しているかに基づいて、メールを受理または却下します。これを DMARC 調整と呼びます。

調整には、厳格モードと緩和モードのいずれかを選択できます。DMARC レコードの中で SPF と DKIM の調整モードを設定します(DMARC レコードタグaspfadkim を使用)。

次のような場合は、なりすまし対策を強化するため、厳格モードの調整に変更することをおすすめします。

  • ドメインのメールが管理対象外のサブドメインから送信されている
  • 別のエンティティが管理しているサブドメインを利用している

メールが DMARC 認証に合格するには、次のチェックのうち少なくとも 1 つに合格する必要があります。

  • SPF 認証と SPF 調整
  • DKIM 認証と DKIM 調整

次の両方に合格しなかったメールは、DMARC チェックも不合格となります。

  • SPF または SPF 調整
  • DKIM または DKIM 調整
重要: 通常は、緩和モードの調整でも十分ななりすまし対策になります。厳格モードの調整にすると、関連サブドメインからのメッセージが拒否されたり、迷惑メール扱いにされたりする可能性があります。
認証方法 厳格モードの調整 緩和モードの調整
SPF SPF 認証の対象となるドメインと、ヘッダーの From: アドレスに含まれるドメインが、完全に一致している必要があります。 ヘッダーの From: アドレスに含まれるドメインが、SPF 認証の対象となるドメインと一致しているか、そのサブドメインである必要があります。
DKIM 関連する DKIM ドメインと、ヘッダーの From: アドレスに含まれるドメインが、完全に一致している必要があります。 ヘッダーの From: アドレスに含まれるドメインが、DKIM 署名の d= タグで指定されたドメインと一致しているか、そのサブドメインである必要があります。

エンベロープ送信者と From: アドレスについて

メールには、送信者を示す 2 種類のアドレスがあります。SPF、DKIM、DMARC を設定するときは、こうしたアドレスの違いを理解しておくことが重要です。

メールのエンベロープ送信者アドレスと From: アドレスは、異なっていたり、同じであったりする場合があります。

エンベロープ送信者アドレス - メールの送信元を示すメールアドレスです。配信不能メールの通知、つまりバウンスメールは、このアドレスに送信されます。エンベロープ送信者アドレスは、Return-Path アドレス、バウンス アドレスとも呼ばれます。メールの受信者にはエンベロープ送信者アドレスは表示されません。

SPF では通常、メールのエンベロープ送信者アドレスを使用して認証を行います。

From: アドレス - メッセージ ヘッダーに含まれるメールアドレスです。メールはメッセージ ヘッダーとメッセージ本文の 2 つの部分で構成されます。ヘッダーには、送信者の名前とメールアドレス、メールの件名、送信日など、メールに関する情報が含まれています。From: ヘッダーには、メールを送信したユーザーのメールアドレスと、多くの場合は名前も含まれます。

DKIM では、メールの From: アドレスを使用して認証を行います。

SPF 調整の例

SPF 調整では、SPF によって認証されるドメインと(通常はエンベロープ送信者アドレス)、メッセージ ヘッダーの From: アドレスに含まれるドメインが比較されます。SPF チェック結果の調整例を次に示します。

エンベロープ送信者アドレス ヘッダーの From: アドレス 厳格モードの調整 緩和モードの調整
jon@solarmora.com jon@solarmora.com 合格 合格
jon@mail.solarmora.com jon@solarmora.com 不合格 合格
jon@solarmora.org jon@solarmora.com 不合格 不合格

DKIM 調整の例

DKIM 調整では、メッセージ ヘッダーの DKIM 署名ドメイン欄(d=)の値と、メールの From: ヘッダーに含まれるドメインが比較されます。

DKIM チェック結果の調整例を次に示します。

From: ヘッダー DKIM d=[ドメイン] 厳格モードの調整 緩和モードの調整
jon@solarmora.com solarmora.com 合格 合格
jon@mail.solarmora.com solarmora.com 不合格 合格
jon@solarmora.org solarmora.com 不合格 不合格

DMARC レポートの設定

DMARC の設定を使用して、ドメインからのメールを取得するメールサーバーに対して定期レポートをリクエストすることができます。

DMARC レポートには次の情報が含まれます。

  • ドメインのメールを送信しているサーバーまたはサードパーティ サービス
  • ドメインから送信されるメールのうち、DMARC 認証に合格するメールの割合
  • DMARC に失敗するメールの送信元サーバーまたはサービス
  • ドメインからの未認証メールに対して受信サーバーが行う DMARC 処理(nonequarantinereject

DMARC レポートの取得を開始するには、DMARC レコード内で DMARC レコードタグ rua を使用します。

詳しくは、DMARC レポートに関する記事をご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false
false