DMARC レコードの追加

なりすましとフィッシングへの保護対策を行い、メールが迷惑メールに分類されないようにする

DMARC（Domain-based Message Authentication, Reporting, and Conformance）機能を定義するには、ドメインの DNS 設定に DMARC レコードを入力します。

DMARC レコードのテキストを準備したら、ドメインプロバイダで DNS TXT レコードを追加または更新します。DNS TXT レコードを更新するには、ドメインプロバイダの管理コンソールで DMARC ポリシーレコードを定義するテキスト行を入力します。

DMARC ポリシーを変更してレコードを更新するたびに、ドメインプロバイダで DNS TXT レコードを更新する必要があります。

サブドメインと追加ドメイン

複数のドメインがある場合は、ドメインごとに次の手順を行います。各ドメインに異なるポリシーと異なるレポートを設定できます（レコードで定義します）。

サブドメイン用の DMARC ポリシーを作成しない場合、これらのサブドメインは親ドメインの DMARC ポリシーを継承します。サブドメイン用の DMARC ポリシーを定義するには、親ドメインの DMARC レコードの sp ポリシータグを使用します。

レコードを追加または更新する

重要:

DMARC を設定する前に、DKIM（DomainKeys Identified Mail）と SPF（Sender Policy Framework）を設定してください。DMARC を有効にする 48 時間以上に、DKIM と SPF でメールを認証している必要があります。
以下の手順で使用するドメインは一例にすぎません。ドメインの例は、ご自分のドメインに置き換えてください。

次の手順は、Google の管理コンソールではなく、ドメインホストの管理コンソールで行います。ドメインホストがわからない場合はどうすればよいですか？

ポリシーレコードを表すテキストファイルまたは行を用意します。
ドメインホストの管理コンソールにログインします。
DNS レコードを更新するページに移動します。
DNS TXT レコードを追加するか、既存のレコードを変更して TXT レコードの _dmarc にレコードを入力します。
1. TXT レコード名: DNS ホスト名を指定する 1 つ目の項目に、次のように入力します。_dmarc.solarmora.com
  重要: ドメインホストによっては、_dmarc の後に自動的にドメイン名が追加されます。TXT レコードを追加した後で DMARC TXT レコード名の確認を行って、形式が正しいことを確認してください。
2. TXT レコードの値: 2 つ目の項目に、次のように DMARC レコードのテキストを入力します。
  v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com
  
  DNS TXT レコードの項目名はプロバイダによって異なる場合があります。ここで使用されているドメインは一例です。solarmora.com は実際のドメインに置き換えてください。
変更を保存します。

DMARC を無効にする

組織またはドメインに対して DMARC を無効にすることはおすすめしていません。DMARC を使用しない場合、ハッカーなどの悪意のあるユーザーがメールの送信元を偽って、あなたの組織またはドメインから送信されたように見せかけることができる状態となるためです。DMARC を無効にすると、組織内のユーザーとその連絡先に登録されている相手が、迷惑メール、なりすまし、フィッシングの危険にさらされることになります。 DMARC を無効にする必要がある場合は、こちらの手順を行います。

DMARC TXT レコードの名前を確認する（省略可）

重要: 以下の手順で使用するドメインは一例にすぎません。ドメインの例は、ご自分のドメインに置き換えてください。

ドメインホストによっては、レコードを追加または更新するの手順 4 で入力した TXT レコード名の末尾に、ドメイン名が自動的に追加される場合があります。その結果、DMARC TXT レコードの名前の形式に誤りが生じることがあります。

たとえば、_dmarc.solarmora.com と入力した場合にドメインホストによってドメイン名が自動的に追加されると、TXT レコード名が _dmarc.solarmora.com.solarmora.com のように誤った形式になります。

レコードを追加または更新するの手順で DMARC TXT レコードを追加した後で、TXT レコード名の形式が正しいことを確認します。

DMARC TXT レコードを表示して確認するには、Google 管理者ツールボックスの Dig 機能を使用できます。

Google 管理者ツールボックスに移動し、[Dig] 機能を選択します。
[名前] 欄に「_dmarc.」に続けてドメイン名を入力します。たとえば、ドメイン名が solarmora.com の場合は「_dmarc.solarmora.com」と入力します。
[名前] 欄の下にある [TXT] をクリックします。
検索結果で DMARC TXT レコードの名前を確認します。「_dmarc」で始まるテキスト行を探してください。

DMARC レコードの形式

重要: このセクションの DMARC ポリシーの例では、ドメインの例を使用しています。ドメインの例をご自身のドメインに置き換えてください。

DMARC レコードの形式は 1 行の書式なしテキストで、DMARC のタグと値がセミコロンで区切られています。タグには必須のものと任意のものがあります。

DMARC ポリシーでは、ドメインから送信された未認証メールの受信サーバーによる処理方法を指定します。処理方法は、DMARC レコードを定義する際にポリシー（p）タグを使用して指定します。

これは、DMARC ポリシーレコードの例です。タグはセミコロン（;）で区切ります。最初に v タグと p タグを指定する必要があります。その他のタグは任意の順序で指定できます。rua タグを使って DMARC レポートをメール送信する場合は、次の例に示すように、各メールアドレスの前に mailto: プレフィックスを使用する必要があります。

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

DMARC レコードのタグ

タグ	説明と値
v	DMARC のバージョン。DMARC1 を指定します。このタグは必須です。
p	認証できないメールの処理方法を受信メールサーバーに指示します。 none—メールをそのまま受信者に配信して、日次レポートに記録します。レポートは、レコード内の rua オプションで指定されたメールアドレスに送信されます。 quarantine— メールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。 reject—メールを拒否します。このオプションを使用すると、通常、受信サーバーから送信サーバーにバウンスメールが送信されます。このタグは必須です。 BIMI に関する注意: ドメインで BIMI を使用している場合は、DMARC の [p] オプションを [検疫] または [拒否] に設定する必要があります。BIMI は、p オプションが none に設定された DMARC ポリシーには対応していません。
pct	DMARC ポリシーの対象となる未認証メールの割合を指定します。DMARC を段階的に導入する場合は、一部のメールから開始することをおすすめします。受信サーバーによる認証に成功するメールが増えたら、100% に達するまで徐々に割合を増やしながらレコードを更新します。 1～100 の整数を指定する必要があります。レコードでこのオプションを使用しないと、ドメインから送信されたすべてのメールに DMARC ポリシーが適用されます。このタグはオプションです。 BIMI に関する注意:ドメインで BIMI を使用している場合は、DMARC ポリシーの pct 値を 100 に設定する必要があります。BIMI は、pct に 100 より小さい値が設定された DMARC ポリシーには対応していません。
rua	ドメインの DMARC アクティビティに関するレポートを受け取るメールアドレス。メールアドレスの先頭には mailto: を付ける必要があります。例: `mailto:dmarc-reports@solarmora.com` DMARC レポートを複数のメールに送信するには、各メールアドレスをカンマで区切り、各アドレスの前に mailto: プレフィックスを追加します。例: `mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com` このオプションを使用すると、大量のレポートメールが送信される可能性があるため、自分のメールアドレスを使うことはおすすめしません。代わりに、専用のメールボックス、グループ、DMARC レポートに特化したサードパーティサービスの使用を検討してください。このタグはオプションです。
ruf	サポート対象外です。Gmail では、失敗レポートの送信に使用される ruf タグはサポートされていません。失敗レポートはフォレンジックレポートとも呼ばれます。
sp	プライマリドメインのサブドメインからのメールに関するポリシーを設定します。サブドメインに異なる DMARC ポリシーを使用する場合は、このオプションを使用します。 none—Take no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy. quarantine—メールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。 reject—メールを拒否このオプションを使用すると、受信サーバーから送信サーバーにバウンスメールが送信されます。レコードでこのオプションを使用しない場合、サブドメインは親ドメインに設定されている DMARC ポリシーを継承します。このタグはオプションです。
adkim	DKIM の調整ポリシーを設定し、メールの情報が DKIM 署名とどの程度一致する必要があるかを定義します。調整の仕組みをご確認ください。 s—厳格。送信者のドメイン名は、DKIM メールヘッダー内の対応する d=domainnameと完全に一致する必要があります。 r—Relaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted. このタグはオプションです。
aspf	SPF の調整ポリシーを設定し、メールの情報が SPF 署名とどの程度一致する必要があるかを指定します。調整の仕組みをご確認ください。 s—厳格。メールの From ヘッダーが、SMTP MAIL FROM コマンドのドメイン名と完全に一致する必要があります。 r—緩和（デフォルト）。部分一致を許可します。ドメイン名の有効なサブドメインであればパスします。このタグはオプションです。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。