管理者は、SPF と DKIM の設定後、Domain-based Message Authentication, Reporting, and Conformance(DMARC)を設定できます。DMARC を使用すると、SPF または DKIM の認証チェックに合格しなかったメールをユーザーが受信したときに、受信メールサーバーにその処理方法を指示できます。また、ドメインから送信されたメールについて、潜在的な認証の問題と悪意のあるアクティビティを特定するのに役立つレポートを取得することもできます。
DMARC を使用すると、ユーザーが偽装メールの被害に遭わないように対策できるほか、
SPF や DKIM に合格しないメールを管理できます。
目次
- 手順 1: SPF と DKIM を有効にする
- 手順 2: DMARC がすでに設定されているかどうかを確認する
- 手順 3: レポート用のグループまたはメールボックスを設定する
- 手順 4: サードパーティ サービスが認証されていることを確認する
- 手順 5: DMARC レコードを準備する
- 手順 6: DMARC レコードを追加する
- 手順 7: DMARC レコードを確認する
- 関連トピック
手順 1: SPF と DKIM を有効にする
DMARC を使用する前に、ドメインで SPF と DKIM を有効にする必要があります。SPF と DKIM を設定していない場合は、なりすまし、フィッシング、迷惑メールの防止を支援するをご覧ください。
SPF、DKIM、DMARC はドメインごとに適用されます。複数のドメインを管理している場合は、各ドメインで SPF、DKIM、DMARC を個別に有効にする必要があります。
重要:
- DMARC を有効にする前に SPF と DKIM を設定していない場合、ドメインから送信されたメールの配信に問題が発生する可能性があります。
- SPF と DKIM を設定してから DMARC を設定するまでに、48 時間の間隔を空けてください。
手順 2: DMARC がすでに設定されているかどうかを確認する
Google Workspace を使用している場合は、Google 管理者ツールボックスを使用して DMARC が設定されているかどうかを確認します。使用していない場合は、ドメイン プロバイダで確認する手順に沿って操作します。
Google 管理者ツールボックスを使用して確認する:
- Google 管理者ツールボックスにアクセスします。
- [DNS の問題を確認する] [Check MX] に移動します。
- [ドメイン名] 欄にドメイン名を入力し、[チェックを実行] をクリックします。
- ドメインに DMARC レコードがあるかどうかが表示されます。
- DMARC が設定されていません - ドメインにはまだ DMARC レコードがありません。
- DMARC ポリシーの形式 - ドメインに既存の DMARC レコードがあります。
ドメイン プロバイダで確認する:
- ドメイン プロバイダの管理コンソールにログインします。
- ドメインの DNS TXT レコードを更新するページに移動します。
- DMARC レコードがある場合は、_dmarc.example.com サブドメイン(example はドメイン名)に、v=DMARC で始まる TXT レコード エントリが表示されます。
結果に応じて次の手順に進みます。
- DMARC がすでに設定されている場合は、DMARC レポートで、DMARC がメールを効果的に認証し、メールが想定どおりに配信されていることを確認する必要があります。
- DMARC が設定されていない場合は、このページのレポート用のグループまたはメールボックスを設定するに進みます。
手順 3: レポート用のグループまたはメールボックスを設定する
メールで送られてくる DMARC レポートの数は、ご利用のドメインが送信するメールの量と送信先のドメイン数によって異なります。毎日多くのレポートを受信することになります。大規模な組織では数百本、数千本ものレポートが毎日届く場合があります。
DMARC レポートでは、ドメインから送信されたどのメールが SPF と DKIM で認証されているか、認証に定期的に失敗しているメールがあるかどうかを確認できます。また、ドメインのメールの送信元をチェックしたり、潜在的なスパマーに関する通知を受け取ったりすることもできます。DMARC レポートのモニタリングは、ロールアウト フェーズで特に役立ちます。DMARC のおすすめのロールアウト方法をご覧ください。
Google では、DMARC レポートを受信、管理するためのグループまたは専用メールボックスを作成することをおすすめしています。
重要: 通常、レポートのメールアドレスは、DMARC レコードをホストするドメインと同じドメインにします。 メールアドレスのドメインが異なる場合は、そのドメインに DNS レコードを追加する必要があります。詳しくは、DMARC レポートのページで、別のドメインのメールアドレスにレポートを送信するをご覧ください。
手順 4: サードパーティ サービスが認証されていることを確認する
サードパーティ サービスを使用して組織のメール送信を行う場合は、サードパーティ サービスから送信されたメールが認証され、SPF と DKIM のチェックに合格していることを確認する必要があります。
- DKIM が正しく設定されていることを確認するため、サードパーティのプロバイダに問い合わせます。
- プロバイダのエンベロープ送信者ドメインが組織のドメインと一致していることを確認します。プロバイダの送信メールサーバーの IP アドレスをドメインの SPF レコードに追加します。
- SMTP リレーサービスの設定を使用して、送信メールの経路を Google 経由にします。
手順 5: DMARC レコードを準備する
DMARC ポリシーは、DMARC レコードと呼ばれる 1 行のテキスト値で定義されます。レコードで定義するには次の項目です。
- DMARC ポリシーでメッセージをどの程度厳格にチェックするか
- メールが認証に合格しなかった場合の、受信サーバーによる推奨処理
DMARC ポリシー レコードの例(example.com はご利用のドメインに置き換えてください):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.
v タグと p タグは最初に指定する必要がありますが、他のタグは任意の順序で指定できます。
DMARC の使用を開始するときは、ポリシー オプション(p)を none に設定することをおすすめします。ドメインからのメールが受信サーバーによってどのように認証されるのかがわかってきた段階で、ポリシーを更新します。ある程度の期間を設けて、受信側のポリシーを quarantine (or reject) に変更します。DMARC のおすすめのロールアウト方法をご覧ください。
DMARC レコードのタグの定義と値
タグ | 説明と値 |
v |
(必須)DMARC のバージョン。DMARC1 を指定します。 |
p | (必須)認証に合格しないメールの処理方法を受信メールサーバーに指示します。
BIMI に関する注意: ドメインで BIMI を使用している場合は、DMARC の [p] オプションを [検疫] または [拒否] に設定する必要があります。BIMI は、p オプションが none に設定された DMARC ポリシーには対応していません。 |
pct |
pct タグは省略可能ですが、DMARC ポリシーが適用されるメールの割合を管理できるように、DMARC をリリースするときに DMARC レコードに含めることをおすすめします。 DMARC ポリシーの対象となる未認証メールの割合を指定します。DMARC を段階的に導入する場合は、一部のメールから開始することをおすすめします。受信サーバーによる認証に成功するメールが増えたら、100% に達するまで徐々に割合を増やしながらレコードを更新します。 1~100 の整数を指定する必要があります。レコードでこのオプションを使用しないと、ドメインから送信されたすべてのメールに DMARC ポリシーが適用されます。 BIMI に関する注意:ドメインで BIMI を使用している場合は、DMARC ポリシーの pct 値を 100 に設定する必要があります。BIMI は、pct に 100 より小さい値が設定された DMARC ポリシーには対応していません。 |
rua |
rua タグは省略可能ですが、DMARC レコードには常に含めることをおすすめします。 DMARC レポートをメールアドレスに送信します。メールアドレスには mailto: を付ける必要があります。
|
ruf |
(サポートされていません)Gmail は、失敗レポートの送信に使用される ruf タグには対応していません。失敗レポートはフォレンジック レポートとも呼ばれます。 |
sp | (省略可)プライマリ ドメインのサブドメインからのメールに関するポリシーを設定します。サブドメインに異なる DMARC ポリシーを使用する場合は、このオプションを使用します。
レコードでこのオプションを使用しない場合、サブドメインは親ドメインに設定されている DMARC ポリシーを継承します。 |
adkim | (省略可)DKIM の調整ポリシーを設定し、メールの情報が DKIM 署名とどの程度一致する必要があるかを定義します。調整の仕組み(このページの後半)をご覧ください。
|
aspf | (省略可)SPF の調整ポリシーを設定し、メールの情報が SPF 署名とどの程度厳格に一致する必要があるかを指定します。調整の仕組み(このページの後半)をご覧ください。
|
DMARC の調整
DMARC では、From: ヘッダーのドメインが SPF または DKIM で指定された送信ドメインとどの程度一致しているかに基づいて、メールを受理または却下します。これを「調整」と呼びます。
調整には、厳格モードまたは緩和モードのいずれかを選択できます。DMARC レコードタグの aspf と adkim を使用して、DMARC レコードの中で SPF と DKIM の調整モードを設定します。
場合によっては、なりすまし対策を強化するため、厳格モードの調整に変更することをおすすめします:
- ドメインのメールが管理対象外のサブドメインから送信されている
- 別のエンティティが管理しているサブドメインを利用している
メールが DMARC 認証に合格するには、次のチェックのうち少なくとも 1 つに合格する必要があります。
- SPF 認証と SPF 調整
- DKIM 認証と DKIM 調整
次の両方に合格しなかったメールは、DMARC チェックも不合格となります。
- SPF または SPF 調整
- DKIM または DKIM 調整
手順 6: DMARC レコードを追加する
DMARC レコードのテキストを準備したら、ドメイン プロバイダで DMARC DNS TXT レコードを追加または更新します。DMARC ポリシーを変更してレコードを更新するときは必ず、ドメイン プロバイダで DMARC TXT レコードも更新する必要があります。
レコードを追加または更新する
重要: DMARC を設定する前に、DKIM と SPF を設定してください。DMARC を有効にする 48 時間以上に、DKIM と SPF でメールを認証している必要があります。
- DMARC レコードのテキスト ファイルまたは行を用意します。
- ドメインホスト(通常はドメイン名の販売元)にログインします。ドメインホストがわからない場合は、ドメイン登録事業者を特定するをご覧ください。
- ドメインの DNS TXT レコードを更新するページに移動します。このページを見つける方法については、ドメインのドキュメントをご確認ください。
-
次の情報を含めて TXT レコードを追加または更新します(使用するドメインのドキュメントを参照)。
フィールド名 入力する値 Type レコードタイプは TXT です。 Host(名前、ホスト名、エイリアス) この値は _dmarc.example.com にする必要があります(example.com はドメイン名に置き換えてください)。 Value TXT レコードを構成する文字列。例: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. 詳しくは、このページの前述のDMARC レコードを準備するをご覧ください。 注: ドメインホストによっては、ドメイン名が自動的に追加されます。TXT レコードを追加または更新した後で、DMARC レコードのドメイン名の確認を行って、形式が正しいことを確認してください。 - 変更を保存します。
- DMARC を複数のドメインに設定する場合は、ドメインごとに次の手順を完了してください。各ドメインに異なるポリシーと異なるレポートを設定できます(レコードで定義します)。
手順 7: DMARC レコードを確認する
重要: 以下の手順で使用するドメインは一例にすぎません。ドメインの例は、ご自分のドメインに置き換えてください。
ドメインホストによっては、TXT レコード名の末尾にドメイン名が自動的に追加される場合があります。その結果、DMARC TXT レコードの名前の形式に誤りが生じることがあります。たとえば、「_dmarc.example.com」と入力した場合にドメインホストによってドメイン名が自動的に追加されると、TXT レコード名が _dmarc.example.com.example.com のように誤った形式になります。
レコードを追加または更新するの手順で DMARC TXT レコードを追加した後で、TXT レコード名の形式が正しいことを確認します。
Google 管理者ツールボックスの Dig 機能を使用して、DMARC TXT レコードを表示、確認できます。
- Google 管理者ツールボックスに移動し、[Dig] 機能を選択します。
- [名前] 欄に「_dmarc.」に続けてドメイン名を入力します。たとえば、ドメイン名が example.com の場合は「_dmarc.example.com」と入力します。
- [名前] 欄の下にある [TXT] をクリックします。
- 検索結果で DMARC TXT レコードの名前を確認します。「_dmarc」で始まるテキスト行を探してください。
関連トピック
- DMARC に関する問題のトラブルシューティング
- 推奨される DMARC のロールアウト
- DMARC を無効にする
- DMARC レポートについて
- TXT レコードについて
- DMARC RFC 7489
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。