DMARC(Domain-based Message Authentication, Reporting, and Conformance)を設定して、ドメインからのメールを受け取るメールサーバーから定期的にレポートを受け取るように設定できます。
Google では、メールで届く DMARC 日次レポートを定期的に確認することをおすすめしています。レポート内の情報を確認することで、ドメインから送信されたどのメールが SPF、DKIM、DMARC 認証に合格しているかを把握できます。
DMARC レポートには次の情報が含まれます。
- ドメインのメールの送信元であるサーバーまたはサードパーティの送信者
- ドメインから送信されるメールのうち、DMARC 認証に合格するメールの割合
- DMARC 認証に合格しないメールの送信元であるサーバーまたはサービス
- ドメインからの未認証メールに対して受信サーバーが行う処理(none、quarantine、reject)
DMARC レポートの対象ユーザー
重要: ドメインで DMARC を有効にする場合は、必ずレポートを使用することをおすすめします。
レポートを見れば、ドメインから送信されたどのメールが SPF と DKIM で認証されているかがわかります。また、ドメインのメールの送信元を定期的にチェックしたり、潜在的なスパマーを特定したりすることが可能です。
DMARC レポートの情報をもとに、ドメインのメールが承認済みサーバーによって送信され、認証チェックに合格していることを確認します。ドメインからのメールの受信サーバーによる認証状況がわかったら、ポリシーを none から quarantine または reject. に変更することを検討してください。
レポート専用のグループまたはメールボックスを作成する
メールで送られてくる DMARC レポートの数は、ご利用のドメインが送信するメールの量と送信先のドメイン数によって異なります。メールを受信したすべてのメールサーバーから日次レポートが送信されるため、毎日多くのレポートを受信することになります。大規模な組織では数百本、数千本ものレポートが毎日届く場合があります。
DMARC レポート専用のグループまたはメールボックスを作成することをおすすめします。日次レポートの数が多い場合や、レポート分析のサポートが必要な場合は、サードパーティ サービスの使用を検討してください。サードパーティの DMARC サービスで、レポートの受信、管理、分析を行えます。
別のドメインのメールアドレスにレポートを送信する
DMARC レポートは、DMARC レコードの rua タグで指定したメールアドレスに送信されます。メールアドレスのドメインが、DMARC レコードがホストされているドメインと異なる場合は、他のドメインに DNS レコードを追加する必要があります。
たとえば、DMARC レコードがドメイン examplepetstore.com でホストされ、レポートのメールアドレスが dmarc-reports@myownpersonaldomain.com の場合、以下のように myownpersonaldomain.com に DNS TXT レコードを追加します。
ドメインの例は、ご自分のドメインに置き換えてください。 詳しくは、ドメインホストのドキュメントをご覧ください。
| フィールド名 | 入力する値 |
| Type | レコードタイプは TXT です。 |
| Host(名前、ホスト名、エイリアス) | examplepetstore.com._report._dmarc.myownpersonaldomain.com |
| Value | v=DMARC1; |
サードパーティ サービスを利用する(推奨)
レポートはそのままでは解釈しにくい場合があるので、DMARC レポートの受信、保存、分析に特化したサードパーティ サービスの利用をおすすめします。一部の Google Cloud パートナーは、DMARC レポートの管理や分析など、DMARC のサポートを提供しています。DMARC をサポートする Google Cloud パートナーを探す
- メールの量によっては、1 日に最大で数百件のレポートが届く場合があります。受信するレポートの数は、送信先のドメイン数、送信メール数、DMARC ポリシー レコードで指定したレポート オプションなど、複数の要因で決まります。
- サードパーティ サービスを使用しない場合は、レポートの受信と保存専用のグループかメールボックスの作成をおすすめします。
- サードパーティ サービスは個々のレポートを集約できます。
- サードパーティ サービスは集約レポートを分析し、DMARC レコードの効果に関するフィードバックを提供します。
DMARC レポートの読み取り
DMARC レポートは通常 1 日に 1 回メールで送信されます。送信先は、DMARC レコードの準備時に指定したメールアドレスです。DMARC レコードの rua DMARC レコードタグでレポートを有効にすると、ドメインからのメールを受信したすべてのサーバーからレポートが送信されます。
レポートは XML 形式で、レポート メタデータと 1 つ以上のレコードが記載されています。レポート内の情報で重要なのは、ドメインからのメールが DMARC に合格しているかどうかです。
各レコードに含まれる情報:
- レポート期間に 1 つの IP アドレスから送信されたメールの数
- メールの SPF、DKIM、DMARC 認証の結果
- 受信サーバーでの処理(ARC 認証に合格した未認証のメールを受信など)
次のような問題の傾向がないか探します。
- 自分が送信した正当なメールが、受信者に届くものの、迷惑メールフォルダに振り分けられる。
- 受信者からバウンスメールまたはエラー メッセージが返される。
注: ドメインからのメールが拒否されたり、迷惑メールに分類されたりする問題を解決するには、DMARC に関する問題のトラブルシューティングをご覧ください。
XML 形式の DMARC レポートの例
次の例は、2 件のメールの結果を示した 1 つのレコードを含むレポートです。XML レコードを読み取るには、次のようにレポートを読み取り可能な形式に変換します。
- レコードをリレーショナル データベースに追加して表形式に変換する
- XSL スタイルシートを適用して XML を HTML に変換する
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>example.com</org_name>
<email>noreply-dmarc-support@example.com</email>
<extra_contact_info>http://example.com/dmarc/support</extra_contact_info>
<report_id>9391651994964116463</report_id>
<date_range>
<begin>1335571200</begin>
<end>1335657599</end>
</date_range>
</report_metadata>
<policy_published>
<domain>bix-business.com</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>203.0.113.209</source_ip>
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>bix-business.com</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>bix-business.com</domain>
<result>fail</result>
<human_result></human_result>
</dkim>
<spf>
<domain>bix-business.com</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
表形式の DMARC レポートの例
次の例は、表形式の 2 つのレコードを含むレポートです。このレポートは、XML 形式から表形式に変換されています。
