検索
検索をクリア
検索終了
Google アプリ
メインメニュー

DMARC

DMARC レコードを追加する

レコードを作成する

SPF と DKIM を設定したら、DMARC を設定します。これを行うには、ドメインの DNS レコードに TXT レコードの形式でポリシーを追加します(SPF や ADSP の場合と同様です)。

重要: G Suite ドメインで DMARC レコードを作成する前に、まず DKIM 認証を設定する必要があります。DKIM を設定しておかないと、Google カレンダーなどのサービスからのメールがメール認証に失敗し、ユーザーに配信されません。

一般的なドメインホストの設定手順で、TXT レコードを作成し、適切な名前と値を設定します。TXT レコードの名前は「_dmarc.your_domain.com」にします。「your_domain.com」の部分はご自分のドメイン名に置き換えてください。また、一部のドメインホストには制限事項がありますので確認してください。

DMARC TXT レコードでよく使用されるタグは次のとおりです。

タグ名 必須 目的 サンプル

v

必須 プロトコルのバージョン v=DMARC1

p

必須 ドメインのポリシー p=quarantine

pct

オプション フィルタ処理するメールの割合 pct=20

rua

オプション 集計レポートの報告先となる URI rua=mailto:aggrep@example.com

sp

オプション ドメインのサブドメインのポリシー sp=reject

aspf

オプション SPF の調整モード aspf=r

その他のタグについては、DMARC Tag Registry(英語)をご覧ください。

Google では、フォレンジック レポートの配信に使用する DMARC の ruf タグはサポートしていません。

v(バージョン)タグと p(ポリシー)タグのみが必須です。次の 3 つのポリシー設定からメールの処理方法を指定します。

  • none - 何もしません。該当メールを毎日のレポートに記録するだけです。
  • quarantine - 該当メールに迷惑メールのマークを付けます。
  • reject - SMTP 層でメールをキャンセルします。

調整モードは、送信者レコードを SPF や DKIM の署名と比較する際の精度を指します。relaxed と strict の 2 つの値があり、それぞれの頭文字をとって「r」と「s」で表されます。簡単に説明すると、relaxed は部分一致(特定のドメインのサブドメインなど)、strict は完全一致となります。

毎日のレポートを受信するには、オプションの rua タグを使用してメールアドレスを指定します。

時間をかけて導入する

DMARC の使用を増やす場合のおすすめの方法

DMARC を使用するにあたっては、以下のポリシーを順に適用して、順次導入することを強くおすすめします。まず、トラフィックを監視して、未署名のメールや偽装の疑いのあるメールなど、レポートに変則的なトラフィックがないか探します。次に、結果に問題がなければ、TXT レコードのポリシー設定を「none」から「quarantine」に変更します。再び、結果を確認します。今度は迷惑メールのキャッチ レポートと毎日の DMARC レポートの両方を確認します。最後に、すべてのメールが確実に署名されるようになったら、ポリシー設定を「reject」に変更して DMARC をフルに活用します。再びレポートをチェックし、結果が適切であることを確認します。

また、pct タグ(省略可)を使用すると、DMARC の試験導入とサンプリングを行うことができます。pct のデフォルトは 100% であるため、DMARC TXT レコードで「pct=20」を指定します。こうすると、実際に処理されるのは該当するすべてのメールではなく、該当メールの 5 分の 1 になります。一旦メールを検疫して拒否する場合にはこの設定が便利です。低い割合から始めて、数日おきに割合を増やしていきます。

慎重に導入する場合は、次のようにします。

  1. すべて監視。
  2. 1% を検疫。
  3. 5% を検疫。
  4. 10% を検疫。
  5. 25% を検疫。
  6. 50% を検疫。
  7. すべて検疫。
  8. 1% を拒否。
  9. 5% を拒否。
  10. 10% を拒否。
  11. 25% を拒否。
  12. 50% を拒否。
  13. すべて拒否。

導入を完了するには、できるだけ早く割合の指定を削除するようにします。

毎日のレポートは常に確認してください。

レコードの例

DMARC TXT レコード(テキスト形式の _dmarc.your_domain.com)の例を示します。これらの例を修正してご使用いただけます。「your_domain.com」や「postmaster@your_domain.com」の部分はご自分のドメイン名やメールアドレスに置き換えてください。

何もしない

この TXT レコードを使用すると、送信元が「your_domain.com」となっているメールが DMARC チェックを通過しなかった場合、何も行いません。該当するすべてのメールは、「postmaster@your_domain.com」宛に送信される毎日の集計レポートに記載されます。

"v=DMARC1; p=none; rua=mailto:postmaster@your_domain.com"

メールを検疫する

この TXT レコードを使用すると、送信元が「your_domain. com」となっているメールが DMARC チェックを通過しなかった場合、5% の確率で検疫されます。その後、毎日の集計レポートが「postmaster@your_domain.com」宛に送信されます。

"v=DMARC1; p=quarantine; pct=5; rua=mailto:postmaster@your_domain.com"

メールを拒否する

この TXT レコードを使用すると、送信元が「your_domain.com」となっているメールが DMARC チェックを通過しなかった場合、100% の確率で拒否されます。その後、毎日の集計レポートが「postmaster@your_domain.com」と「dmarc@your_domain.com」宛に送信されます。

"v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com, mailto:dmarc@your_domain.com"

毎日のレポート

毎日のレポートは XML 形式で記述されています。レポートは、メールフローに関する理解を深め、送信メールの送信元が適切に認証されていることを確認するのに役立ちます。ご自分のドメインを送信元とするメールを送信するさまざまな IP アドレスが実際に正規のアドレスであることを確認して、DKIM で適切に設定したり、SPF の範囲に追加したりできます。このレポートは、ブロック ポリシーを適用している場合に、新しいメール送信元がオンラインになったり、既存のメール送信元の設定が機能しなくなったりしたときに迅速に対応するのにも役立ちます。

レポートの例

次に、2 つの IP アドレスから送られるメールのレポートの抜粋を示します。1 つは直接送信されたメール、もう 1 つは転送されたメールです。どちらのメールも DMARC チェックを通過しています。


<record>
 <row>
 <source_ip>207.126.144.129</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record>
 <record>
 <row>
 <source_ip>207.126.144.131</source_ip>
 <count>1</count>
 <policy_evaluated>
 <disposition>none</disposition>
 <reason>
 <type>forwarded</type>
 <comment></comment>
 </reason>
 </policy_evaluated>
 </row>
 <identities>
 <header_from>stefanomail.com</header_from>
 </identities>
 <auth_results>
 <dkim>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 <human_result></human_result>
 </dkim>
 <spf>
 <domain>stefanomail.com</domain>
 <result>pass</result>
 </spf>
 </auth_results>
 </record> 
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。
アカウントにログインする

ご利用の G Suite アカウントのメールアドレスでログインいただくと、アカウント専用のヘルプをご覧いただくことができ、G Suite を使い始める方法について知ることができます。