DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーは、DMARC レコードと呼ばれる 1 行のテキスト値で定義されます。レコードで定義するには次の項目です。
- DMARC ポリシーでメッセージをどの程度厳格にチェックするか
- メールが認証に合格しなかった場合の、受信サーバーによる推奨処理
DMARC ポリシーの設定
DMARC ポリシーは、ドメインからのメールが DMARC 認証に合格しなかった場合の処理を受信メールサーバーに指示するものです。
これは、DMARC ポリシー レコードの例です。v タグと p タグは最初に指定する必要がありますが、他のタグは任意の順序で指定できます。
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
DMARC の使用を開始するときは、ポリシーの適用設定に none を指定することをおすすめします。ドメインからのメールが受信サーバーによってどのように認証されるのかがわかってきた段階で、ポリシーを更新します。ある程度の期間を設けて、受信側のポリシーを quarantine に、最終的に reject に変更します。DMARC のロールアウト中に更新される DMARC ポリシーの例については、チュートリアル: DMARC のおすすめのロールアウト方法をご覧ください。
| 適用ポリシー | 推奨事項 | 詳細情報 |
| none | 受信サーバーによる DMARC チェックに合格しなかったメールに対して、何の処理も行いません。メールは通常どおり受信者に配信されます。 |
DMARC を初めて設定するときは、このオプションの使用をおすすめします。オプション none では、ドメインからのメッセージは問題なく配信されます。ポリシーを none に設定している間は、DMARC レポートを定期的に検証して、メールがどのように認証、配信されているかを確認してください。 受信サーバーから管理者に送信される DMARC レポートには、SPF と DKIM で認証できないメッセージに関する詳細情報が記載されています。ドメインからの大量のメールが迷惑メールに分類される場合は、SPF と DKIM の設定を確認してください。詳しくは、DMARC のトラブルシューティングに関する記事をご覧ください。 受信サーバーによって認証されないメッセージの種類を把握できるようになるまでは、ポリシーの適用設定を quarantine または reject に変更しないでください。 BIMI に関する注意: ドメインで BIMI を使用している場合は、DMARC 適用ポリシー(p)を quarantine または reject に設定する必要があります。BIMI は、p オプションが none に設定された DMARC ポリシーには対応していません。 |
| quarantine | 受信サーバーによって DMARC 認証されないメールは、受信者の迷惑メールフォルダに送信されます。受信サーバーで検疫を設定している場合、メッセージは受信者の迷惑メールフォルダに直接配信されるのではなく、検疫に送信される場合があります。 | この設定でも引き続き DMARC レポートを取得できます。 |
| reject | 受信サーバーによって DMARC 認証されないメールは拒否され、受信者に配信されることはありません。通常、受信サーバーから送信者にバウンスメールが送信されます。 |
すべての DMARC ポリシーで、最終的かつ永続的な設定として を使用することをおすすめします。 この設定でも引き続き DMARC レポートを取得できます。 すべての有効なメールが正常に認証、配信されていることを DMARC レポートで確認できたら、ポリシーを更新します。認証されないメールを拒否することは、迷惑メール、なりすまし、フィッシングから受信者を保護するのに役立ちます。 |
DMARC 調整の設定
DMARC では、メールの From: ヘッダーが SPF または DKIM で指定された送信ドメインとどの程度一致しているかに基づいて、メールを受理または却下します。これを DMARC 調整と呼びます。
調整には、厳格モードと緩和モードのいずれかを選択できます。DMARC レコードの中で SPF と DKIM の調整モードを設定します(DMARC レコードタグの aspf と adkim を使用)。
次のような場合は、なりすまし対策を強化するため、厳格モードの調整に変更することをおすすめします。
- ドメインのメールが管理対象外のサブドメインから送信されている
- 別のエンティティが管理しているサブドメインを利用している
メールが DMARC 認証に合格するには、次のチェックのうち少なくとも 1 つに合格する必要があります。
- SPF 認証と SPF 調整
- DKIM 認証と DKIM 調整
次の両方に合格しなかったメールは、DMARC チェックも不合格となります。
- SPF または SPF 調整
- DKIM または DKIM 調整
エンベロープ送信者と From: アドレスについて
メールには、送信者を示す 2 種類のアドレスがあります。SPF、DKIM、DMARC を設定するときは、こうしたアドレスの違いを理解しておくことが重要です。
メールのエンベロープ送信者アドレスと From: アドレスは、異なっていたり、同じであったりする場合があります。
エンベロープ送信者アドレス - メールの送信元を示すメールアドレスです。配信不能メールの通知、つまりバウンスメールは、このアドレスに送信されます。エンベロープ送信者アドレスは、Return-Path アドレス、バウンス アドレスとも呼ばれます。メールの受信者にはエンベロープ送信者アドレスは表示されません。
SPF では通常、メールのエンベロープ送信者アドレスを使用して認証を行います。
From: アドレス - メッセージ ヘッダーに含まれるメールアドレスです。メールはメッセージ ヘッダーとメッセージ本文の 2 つの部分で構成されます。ヘッダーには、送信者の名前とメールアドレス、メールの件名、送信日など、メールに関する情報が含まれています。From: ヘッダーには、メールを送信したユーザーのメールアドレスと、多くの場合は名前も含まれます。
DKIM では、メールの From: アドレスを使用して認証を行います。
SPF 調整の例
SPF 調整では、SPF によって認証されるドメインと(通常はエンベロープ送信者アドレス)、メッセージ ヘッダーの From: アドレスに含まれるドメインが比較されます。SPF チェック結果の調整例を次に示します。
| エンベロープ送信者アドレス | ヘッダーの From: アドレス | 厳格モードの調整 | 緩和モードの調整 |
jon@solarmora.com |
jon@solarmora.com |
合格 | 合格 |
jon@mail.solarmora.com |
jon@solarmora.com |
不合格 | 合格 |
jon@solarmora.org |
jon@solarmora.com |
不合格 | 不合格 |
DKIM 調整の例
DKIM 調整では、メッセージ ヘッダーの DKIM 署名ドメイン欄(d=)の値と、メールの From: ヘッダーに含まれるドメインが比較されます。
DKIM チェック結果の調整例を次に示します。
| From: ヘッダー | DKIM d=[ドメイン] | 厳格モードの調整 | 緩和モードの調整 |
jon@solarmora.com |
solarmora.com |
合格 | 合格 |
jon@mail.solarmora.com |
solarmora.com |
不合格 | 合格 |
jon@solarmora.org |
solarmora.com |
不合格 | 不合格 |
DMARC レポートの設定
DMARC の設定を使用して、ドメインからのメールを取得するメールサーバーに対して定期レポートをリクエストすることができます。
DMARC レポートには次の情報が含まれます。
- ドメインのメールを送信しているサーバーまたはサードパーティ サービス
- ドメインから送信されるメールのうち、DMARC 認証に合格するメールの割合
- DMARC に失敗するメールの送信元サーバーまたはサービス
- ドメインからの未認証メールに対して受信サーバーが行う DMARC 処理(none、quarantine、reject)
DMARC レポートの取得を開始するには、DMARC レコード内で DMARC レコードタグ rua を使用します。
詳しくは、DMARC レポートに関する記事をご覧ください。
