ドメインで DMARC(Domain-based Message Authentication, Reporting, and Conformance)を設定する前に、この記事の情報をご確認ください。
お困りの場合
ここ数年で存在感を増している DMARC は、ドメインをなりすましから保護するための効果的な方法です。G Suite 管理者の方には、組織で DMARC を常に有効にすることをおすすめします。
Google は DMARC の設定をできる限り容易に行えるよう努めてまいりましたが、一部の手順では専門的な知識が要求されます。この記事で設定の各手順を詳しく説明いたしますので、よくお読みください。DMARC の設定をテストしてレポートを継続的にモニタリングすることで、DMARC を正しく導入することができます。
DMARC を設定する準備(全般)
ドメインで SPF と DKIM を設定する
ドメインで DMARC を使用する前に、SPF(Sender Policy Framework)と DKIM(DomainKeys Identified Mail)をドメインで有効にする必要があります。DMARC ポリシーを使用するには、ドメインから送信されたメールが受信サーバーで SPF と DKIM を使って認証される必要があります。
SPF、DKIM、DMARC はドメインごとに適用されます。複数のドメインを管理している場合は、各ドメインで SPF、DKIM、DMARC を個別に有効にする必要があります。
重要:
- DMARC を有効にする前に SPF と DKIM を設定していない場合、ドメインから送信されたメールの配信に問題が発生する可能性があります。
- SPF と DKIM を設定してから DMARC を設定するまでに、48 時間の間隔を空けてください。
SPF と DKIM の設定手順について詳しくは、なりすまし、フィッシング、迷惑メールの防止を支援するをご覧ください。
レポート用のグループまたはメールボックスを設定する
メールで送られてくる DMARC レポートの数は、ドメインから送信されるメールの量によって異なります。毎日多くのレポートを受け取ることができ、大規模な組織では数百本、数千本ものレポートが毎日届く場合があります。
そのため、DMARC レポートを受信、管理するためのグループまたは専用メールボックスを作成することをおすすめします。
ドメインホストのログイン情報を取得する
DMARC を有効にする操作は、Google 管理コンソールではなく、ドメインホスト プロバイダで行います。そのため、ドメインホスト アカウントのログイン情報が必要になります。
既存の DMARC レコードがあるかどうかを確認する(省略可)
ドメインで DMARC を設定する前に、必要に応じて、DMARC 用の既存の DNS TXT レコードがあるかどうかを確認できます。メール プロバイダとドメイン プロバイダは、デフォルトで常に DMARC を有効にしているわけではありません。
ドメインの DMARC レコードがすでにある場合は、DMARC レポートを検証することをおすすめします。自分の組織から送信されるメールが、受信サーバーによる認証に合格し、受信者に配信されることを確認してください。詳しくは、DMARC レポートの使用に関する記事をご覧ください。
重要: ドメインで DMARC を有効にする操作は、ご利用のドメイン プロバイダの設定で DNS TXT レコードを使用して行います。管理コンソールで DMARC レコードを確認したり、有効にしたりすることはできません。
現在の DMARC レコードを確認するには、Google 管理者ツールボックスを使用するか、ドメイン プロバイダでドメインの DNS TXT レコードをチェックします。
Google 管理者ツールボックスを使用して DMARC の TXT レコードを確認するには:
- Google 管理者ツールボックスにアクセスします。
- [DNS の問題を確認する] [Check MX] に移動します。
- [ドメイン名] 欄にドメイン名を入力し、[チェックを実行] をクリックします。
- ドメインに DMARC レコードがあるかどうかが表示されます。
- DMARC が設定されていません - ドメインにはまだ DMARC レコードがありません。
- DMARC ポリシーの形式 - ドメインに既存の DMARC レコードがあります。
ドメイン プロバイダで DMARC の TXT レコードを確認するには:
- ドメイン プロバイダの管理コンソールにログインします。
- ドメインの DNS TXT レコードを更新するためのページまたはダッシュボードを探します。
- ドメインの DNS TXT レコードがあるかどうかを確認します。v=DMARC で始まる TXT レコード エントリがあれば、ドメインの DMARC レコードがあるということです。
DMARC を設定する準備(高度)
大規模なユーザーベース、オンプレミスのメールシステム、高度なビジネス要件を特徴とする組織において、DMARC を設定する準備を行います。
サードパーティのメールが認証されることを確認する
DMARC で不審メールを効果的に管理するには、メールが自社ドメインから送信される必要があります。ただし、サードパーティのサービスを使用して組織のメールを送信することもあります(サードパーティのサービスを使用してマーケティング用のメールを管理しているなど)。
ドメインでサードパーティのメール プロバイダを使用している場合、そのプロバイダから送信された正当なメールが SPF または DKIM の検証に合格しない可能性もあります。そうした検証に合格しないメールは、DMARC ポリシーで定義された処理の対象となり、迷惑メールに分類されたり、拒否されたりするかもしれません。
サードパーティのプロバイダから送信されたメールが確実に認証されるよう、次の対応を行ってください。
- DKIM が正しく設定されていることを確認するため、サードパーティのプロバイダに問い合わせます。
- プロバイダのエンベロープ送信者ドメインが組織のドメインと一致していることを確認します。プロバイダの送信メールサーバーの IP アドレスをドメインの SPF レコードに追加します。
SMTP リレーサービスの設定を使用して、送信メールの経路を Google 経由にします。