DMARC(Domain-based Message Authentication, Reporting, and Conformance)機能を定義するには、ドメインの DNS 設定に DMARC レコードを入力します。
DMARC レコードのテキストを準備したら、ドメイン プロバイダで DNS TXT レコードを追加または更新します。DNS TXT レコードを更新するには、ドメイン プロバイダの管理コンソールで DMARC ポリシー レコードを定義するテキスト行を入力します。
DMARC ポリシーを変更してレコードを更新するたびに、ドメイン プロバイダで DNS TXT レコードを更新する必要があります。
サブドメインと追加ドメイン
複数のドメインがある場合は、ドメインごとに次の手順を行います。各ドメインに異なるポリシーと異なるレポートを設定できます(レコードで定義します)。
サブドメイン用の DMARC ポリシーを作成しない場合、これらのサブドメインは親ドメインの DMARC ポリシーを継承します。サブドメイン用の DMARC ポリシーを定義するには、親ドメインの DMARC レコードの sp ポリシータグを使用します。
レコードを追加または更新する
次の手順は、Google の管理コンソールではなく、ドメインホストの管理コンソールで行います。ドメインホストがわからない場合はどうすればよいですか?
重要: DMARC を設定する前に、DKIM(DomainKeys Identified Mail)と SPF(Sender Policy Framework)を設定してください。DMARC を有効にする 48 時間以上に、DKIM と SPF でメールを認証している必要があります。
- ポリシー レコードを表すテキスト ファイルまたは行を用意します。
- ドメインホストの管理コンソールにログインします。
- DNS レコードを更新するページに移動します。
- DNS TXT レコードを追加するか、既存のレコードを変更して TXT レコードの _dmarc にレコードを入力します。
- TXT レコード名: DNS ホスト名を指定する 1 つ目の項目に、次のように入力します。_dmarc.solarmora.com
重要: ドメインホストによっては、_dmarc の後に自動的にドメイン名が追加されます。TXT レコードを追加した後で DMARC TXT レコード名の確認を行って、形式が正しいことを確認してください。
- TXT レコードの値: 2 つ目の項目に、次のように DMARC レコードのテキストを入力します。
v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.comDNS TXT レコードの項目名はプロバイダによって異なる場合があります。ここで使用されているドメインは一例です。solarmora.com は実際のドメインに置き換えてください。
- TXT レコード名: DNS ホスト名を指定する 1 つ目の項目に、次のように入力します。_dmarc.solarmora.com
- 変更を保存します。
DMARC を無効にする
組織またはドメインに対して DMARC を無効にすることはおすすめしていません。DMARC を使用しない場合、ハッカーなどの悪意のあるユーザーがメールの送信元を偽って、あなたの組織またはドメインから送信されたように見せかけることができる状態となるためです。DMARC を無効にすると、組織内のユーザーとその連絡先に登録されている相手が、迷惑メール、なりすまし、フィッシングの危険にさらされることになります。 DMARC を無効にする必要がある場合は、こちらの手順を行います。
DMARC TXT レコードの名前を確認する(省略可)
ドメインホストによっては、レコードを追加または更新するの手順 4 で入力した TXT レコード名の末尾に、ドメイン名が自動的に追加される場合があります。その結果、DMARC TXT レコードの名前の形式に誤りが生じることがあります。
たとえば、_dmarc.solarmora.com と入力した場合にドメインホストによってドメイン名が自動的に追加されると、TXT レコード名が _dmarc.solarmora.com.solarmora.com のように誤った形式になります。
レコードを追加または更新するの手順で DMARC TXT レコードを追加した後で、TXT レコード名の形式が正しいことを確認します。
DMARC TXT レコードを表示して確認するには、Google 管理者ツールボックスの Dig 機能を使用できます。
- Google 管理者ツールボックスに移動し、[Dig] 機能を選択します。
- [名前] 欄に「_dmarc.」に続けてドメイン名を入力します。たとえば、ドメイン名が solarmora.com の場合は「_dmarc.solarmora.com」と入力します。
- [名前] 欄の下にある [TXT] をクリックします。
- 検索結果で DMARC TXT レコードの名前を確認します。「_dmarc」で始まるテキスト行を探してください。
DMARC レコードの形式
DMARC レコードの形式は 1 行の書式なしテキストで、DMARC のタグと値がセミコロンで区切られています。タグには必須のものと任意のものがあります。
DMARC ポリシーでは、ドメインから送信された未認証メールの受信サーバーによる処理方法を指定します。処理方法は、DMARC レコードを定義する際にポリシー(p)タグを使用して指定します。
これは、DMARC ポリシー レコードの例です。タグはセミコロン(;)で区切ります。最初に v タグと p タグを指定する必要があります。その他のタグの順序は問いません。rua タグを使って DMARC レポートをメール送信する場合は、次の例に示すように、各メールアドレスの前に mailto: プレフィックスを使用する必要があります。
v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s
DMARC レコードのタグ
| タグ | 説明と値 |
| v |
DMARC のバージョン。DMARC1 を指定します。 このタグは必須です。 |
| p | 認証できないメールの処理方法を受信メールサーバーに指示します。
このタグは必須です。 BIMI に関する注意: ドメインで BIMI を使用している場合は、DMARC の [p] オプションを [検疫] または [拒否] に設定する必要があります。BIMI は、p オプションが none に設定された DMARC ポリシーには対応していません。 |
| pct |
DMARC ポリシーの対象となる未認証メールの割合を指定します。DMARC を段階的に導入する場合は、一部のメールから開始することをおすすめします。受信サーバーによる認証に成功するメールが増えたら、100% に達するまで徐々に割合を増やしながらレコードを更新します。 1~100 の整数を指定する必要があります。レコードでこのオプションを使用しないと、ドメインから送信されたすべてのメールに DMARC ポリシーが適用されます。 このタグは省略可能です。 BIMI に関する注意:ドメインで BIMI を使用している場合は、DMARC ポリシーの pct 値を 100 に設定する必要があります。BIMI は、pct に 100 より小さい値が設定された DMARC ポリシーには対応していません。 |
| rua |
ドメインの DMARC アクティビティに関するレポートを受け取るメールアドレス。 メールアドレスの先頭には mailto: を付ける必要があります。 DMARC レポートを複数のメールアドレスに送信するには、各メールアドレスをカンマで区切り、各アドレスの前に mailto: というプレフィックスを追加します。例: このオプションを使用すると、大量のレポートメールが送信される可能性があるため、自分のメールアドレスを使うことはおすすめしません。代わりに、専用のメールボックス、グループ、DMARC レポートに特化したサードパーティ サービスの使用を検討してください。 このタグは省略可能です。 |
| ruf |
サポート対象外です。Gmail では、障害レポートの送信に使用される ruf タグはサポートされていません。失敗レポートはフォレンジック レポートとも呼ばれます。 |
| sp | プライマリ ドメインのサブドメインからのメールに関するポリシーを設定します。サブドメインに異なる DMARC ポリシーを使用する場合は、このオプションを使用します。
レコードでこのオプションを使用しない場合、サブドメインは親ドメインに設定されている DMARC ポリシーを継承します。 このタグは省略可能です。 |
| adkim | DKIM の調整ポリシーを設定し、メールの情報が DKIM 署名とどの程度一致する必要があるかを定義します。調整の仕組みをご確認ください。
このタグは省略可能です。 |
| aspf | SPF の調整ポリシーを設定し、メールの情報が SPF 署名とどの程度一致する必要があるかを指定します。調整の仕組みをご確認ください。
このタグは省略可能です。 |
