チュートリアル: DMARC のおすすめのロールアウト方法

なりすましとフィッシングへの保護対策を行い、メールが迷惑メールに分類されないようにする

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、段階的にロールアウトするように設計されています。まずはメールフローのみをモニタリングする none ポリシーから始めて、最終的にはすべての未認証メールを拒否するポリシーに変更します。

none ポリシーを使用すると、受信サーバーによってメールが拒否されたり、迷惑メールに分類されたりすることなく、レポートの取得を開始できます。また、組織から送信される一部のメールだけに DMARC ポリシーが適用されるように設定することもできます。この 2 つの機能を利用することで、メールフローを制御しながら、DMARC を段階的に導入できます。

重要: DMARC を設定する前に、DKIM（DomainKeys Identified Mail）と SPF（Sender Policy Framework）を設定してください。DMARC を有効にする 48 時間以上前から、DKIM と SPF によるメールの認証が行われている必要があります。SPF と DKIM の設定手順について詳しくは、なりすまし、フィッシング、迷惑メールの防止を支援するをご覧ください。

1. 制限が緩和された DMARC ポリシーから開始する

初めての DMARC レコードの設定では、DMARC ポリシーの適用設定に none を指定し、毎日の DMARC レポートを受け取るためのメールアドレスを指定します。このように設定することで、ドメインからのメールが受信サーバーによって拒否されたり、迷惑メールに分類されたりすることなく、レポートの取得を開始できます。このレコードは 1 週間以上使用することをおすすめします。すべてのメールストリームの主なデータが日次レポートに含まれるようになるまでに、通常は 1 週間あれば十分です。

毎日の DMARC レポートを検証して、ドメインからのメールが既知の承認済みサーバーによって送信され、認証チェックに合格することを確認します。

DMARC ポリシーは、制限がそれほど厳格でないもの、またはごく一部のメールトラフィックにのみ適用されるものから使い始めることをおすすめします。次に設定例を示します。

ドメインホストにログインし、ドメインプロバイダで DMARC 用の DNS TXT レコードを更新します。
すべてのメールに適用する一方で、適用設定に none: を指定したポリシーを入力します。
v=DMARC1; p=none; rua=mailto:dmarc@solarmora.com

このポリシーは、メールサーバーが受信するすべてのメールに適用されます。ただし、適用設定に none を指定しているため、メールは DMARC 認証に合格しなくても通常どおりに配信されます。ドメインからのメールを受信するすべてのメールサーバーによって、dmarc@solarmora.com 宛てに毎日レポートが送信されます。

2. DMARC レポートを検証する

DMARC レポートを毎日検証して、次の項目を確認してください。

ドメインのメールの送信元であるサーバーまたはサードパーティの送信者
ドメインからのメールのうち、DMARC 認証に合格するメールの割合
DMARC 認証に合格しないメールの送信元であるサーバーまたはサービス

次のような問題の傾向がないか探します。

自分が送信した正当なメールが、受信者に届くものの、迷惑メールフォルダに振り分けられる。
受信者からバウンスメールまたはエラーメッセージが返される。

ドメインからのメールが拒否されたり、迷惑メールに分類されたりする問題を解決するには、DMARC に関する問題のトラブルシューティングをご覧ください。

DMARC の日次レポートを継続的に取得するには、レコードを更新するごとに、rua タグでメールアドレスまたはメールボックスアドレスを指定していることを確認してください。レコード更新の次のフェーズに進む前に、少なくとも 7 日間は初期フェーズを続けることをおすすめします。初期フェーズの期間は、組織の規模とメールフローの量によって異なります。

詳しくは、DMARC レポートに関する記事をご覧ください。

3. ごく一部のメールを検疫する

DMARC レポートのモニタリングを 1 週間以上続けて不都合な結果が見受けられない場合は、ポリシーを quarantine に更新し、pct タグを追加して、ごく一部のメールだけにポリシーが適用されるようにします。次に設定例を示します。

ドメインホストにログインし、ドメインプロバイダで DMARC 用の DNS TXT レコードを更新します。
全メールの 5% にポリシーを適用し、適用設定に quarantine を指定します。5% のメールのうち DMARC 認証に合格しないものを、受信者の迷惑メールフォルダに振り分けます。
v=DMARC1; p=quarantine; pct=5; rua=mailto:dmarc@solarmora.com

このポリシーは、メールサーバーが受信するメールの 5% にのみ適用されます。DMARC 認証に合格しないメールは、受信者の迷惑メールフォルダに配信されます。影響を受けるのはごく一部のメールのみであり、受信者は迷惑メールに分類されたメールを検証できます。ドメインからのメールを受信するすべてのメールサーバーによって、dmarc@solarmora.com 宛てに毎日レポートが送信されます。

小規模な組織の場合、すべてのメールフローを十分に把握しているケースもあるので、ポリシーの適用先となるメールの割合を大規模な組織より高くすることができます。大規模な組織の場合は、複数のメールフローがあり、フローの中に以前のサーバーとサードパーティの送信者が含まれていることがよくあります。

大規模な組織では、多くのメールが拒否されたり、迷惑メールに分類されたりするリスクを減らすために、ポリシーの適用対象となるメールの割合を徐々に高くすることをおすすめします。検疫を開始するときは、たとえば小規模な組織では 10% のメール、大規模な組織では 1% のメールを対象にします。

4: 未認証のメールをすべて拒否する

これは、DMARC 導入の最後のステップです。ドメインからのメールの大多数またはすべてが調整され、認証（SPF と DKIM）に合格することを確認したら、より厳格な DMARC ポリシーを適用できます。

DMARC レコードが想定どおりに機能している場合は、組織から送信されるすべてのメールについてポリシーを reject に更新します。次に設定例を示します。

ドメインホストにログインし、ドメインプロバイダで DMARC 用の DNS TXT レコードを更新します。
レコードをより厳格なものに更新します。たとえば、次のようになります。
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com,dmarc@solarmora.com

このポリシーは、メールサーバーが受信するすべてのメールに影響します。レコードに pct タグを含めない場合、ドメインから送信されるすべてのメールにポリシーが適用されます。DMARC 認証に合格しないメールはすべて拒否されます。送信者は、拒否されたメールごとにバウンスメールを受け取ります。ドメインからのメールを受信するすべてのメールサーバーによって、postmaster@solarmora.com と dmarc@solarmora.com の 2 つのメールアドレスに日次レポートが送信されます。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。