DMARC を設定する

DMARC は、SPF または DKIM の認証に合格しなかったメールに対して受信メールサーバーが行う処理方法を指示します。処理方法には、メールの拒否、検疫、配信があります。また、ドメインから送信されたメールについて、潜在的な認証の問題と悪意のあるアクティビティを特定するのに役立つレポートを取得することもできます。 ドメインに DMARC DNS TXT レコード(DMARC レコード)を追加して、DMARC を設定します。

DMARC レコードは、ドメイン プロバイダの手順に沿ってドメインに追加する 1 行のテキストです。DMARC レコードの例を次に示します。

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

受信側のサーバーは、組織のドメインから SPF または DKIM に合格しなかったメールを受信すると、DMARC レコードをチェックして、メールに対して拒否、検疫、通常の配信のいずれの処理を実行するかを決定します。

DMARC を使用すると、ユーザーが偽装メールの被害に遭わないように対策できるほか、
SPF や DKIM に合格しないメールを管理できます。

目次

始める前に

  • DMARC を使用するには、ドメインで SPF または DKIM を有効にする必要があります。SPF や DKIM を設定していない場合は、なりすまし、フィッシング、迷惑メールを防止するをご覧ください。
    • DMARC を有効にする前に SPF と DKIM のいずれかまたは両方を設定していない場合、ドメインから送信されたメールの配信に問題が発生する可能性があります。
    • SPF や DKIM を設定してから DMARC を設定するまでに、48 時間の間隔を空けてください。
  • ドメインで DMARC がすでに設定されているかどうかを確認するには、多数の無料ツールがインターネットで公開されていますので、そちらをご利用ください。DMARC がすでに設定されている場合は、DMARC レポートで、DMARC がメールを効果的に認証し、メールが想定どおりに配信されていることを確認する必要があります。
  • DMARC の設定に関して、Google 管理コンソールでは特に何もする必要はありません。代わりに、このページの手順に沿って DMARC レコードを決定します。その後、ドメインホストにログインし、ドメインホストの DMARC の手順に沿って DMARC レコードを追加します。

ステップ 1: レポート用のグループまたはメールボックスを設定する

メールで送られてくる DMARC レポートの数は、ご利用のドメインが送信するメールの量と送信先のドメイン数によって異なります。毎日多くのレポートを受信することになります。大規模な組織では数百本、数千本ものレポートが毎日届く場合があります。 Google では、DMARC レポートを受信、管理するためのグループまたは専用メールボックスを作成することをおすすめしています。

重要: 通常、レポートのメールアドレスは、DMARC レコードをホストするドメインと同じドメインにします。 メールアドレスのドメインが異なる場合は、そのドメインに DNS レコードを追加する必要があります。 DMARC レポートのページで、別のドメインのメールアドレスにレポートを送信するをご覧ください。

ステップ 2: サードパーティのメールが認証されていることを確認する

サードパーティ サービスを使用して組織のメール送信を行う場合は、サードパーティ サービスから送信されたメールが認証され、SPF と DKIM のチェックに合格していることを確認する必要があります。

  • SPF と DKIM が正しく設定されていることを確認するため、サードパーティのプロバイダに問い合わせます。
  • プロバイダのエンベロープ送信者ドメインが組織のドメインと一致していることを確認します。プロバイダの送信メールサーバーの IP アドレスをドメインの SPF レコードに追加します。
  • SMTP リレーサービスの設定を使用して、送信メールの経路を Google 経由にします。

ステップ 3: DMARC レコードを決定する

DMARC ポリシーは、DMARC レコードと呼ばれる 1 行のテキスト値で定義されます。このレコードでは次の項目を定義します。

  • DMARC ポリシーでメッセージをどの程度厳格にチェックするか
  • メールが認証に合格しなかった場合の、受信サーバーによる推奨処理

DMARC レコードの例(example.com はご利用のドメインに置き換えてください):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

v タグと p タグは最初に指定する必要がありますが、他のタグは任意の順序で指定できます。

DMARC の使用を開始するときは、ポリシー オプション(p)を none に設定することをおすすめします。ドメインからのメールが受信サーバーによってどのように認証されるのかがわかってきた段階で、ポリシーを更新します。ある程度の期間を設けて、受信側のポリシーを quarantine (or reject) に変更します。DMARC のおすすめのロールアウト方法をご覧ください。

ステップ 4: ドメインに DMARC レコードを追加する

重要: このステップでは、ドメインホストの DMARC ヘルプ ドキュメントを使用してください。DMARC レコードを追加する手順は、ドメインホストによって異なります。

レコードを追加または更新する

重要: DMARC を設定する前に、DKIM と SPF を設定してください。DMARC を有効にする 48 時間以上に、DKIM と SPF でメールを認証している必要があります。

  1. DMARC レコードのテキスト ファイルまたは行を用意します。
  2. ドメインホスト(通常はドメイン名の販売元)にログインします。ドメインホストがわからない場合は、ドメイン登録事業者を特定するをご覧ください。
  3. ドメインの DNS TXT レコードを更新するページに移動します。このページを見つける方法については、ドメインのドキュメントをご確認ください。
  4. 次の情報を含めて TXT レコードを追加または更新します(使用するドメインのドキュメントを参照)。

    フィールド名 入力する値
    タイプ レコードタイプは TXT です。
    Host(名前、ホスト名、エイリアス) この値は _dmarc.example.com にする必要があります(example.com はドメイン名に置き換えてください)。
    Value TXT レコードを構成する文字列。例: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. 詳しくは、このページの前述のDMARC レコードを決定するをご覧ください。
    : ドメインホストによっては、ドメイン名が自動的に追加されます。TXT レコードを追加または更新した後で、DMARC レコードのドメイン名の確認を行って、形式が正しいことを確認してください。
  5. 変更を保存します。
  6. DMARC を複数のドメインに設定する場合は、ドメインごとに次の手順を完了してください。各ドメインに異なるポリシーと異なるレポートを設定できます(レコードで定義します)。
  7. ドメインに DMARC が設定されていることを確認するには、多数の無料ツールがインターネットで公開されていますので、そちらをご利用ください。

関連トピック


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
3488998799389495359
true
ヘルプセンターを検索
true
true
true
true
true
73010
検索
検索をクリア
検索を終了
メインメニュー
false
false
false
false