DMARC を設定する

DMARC は、SPF または DKIM の認証に合格しなかったメールに対して受信メールサーバーが行う処理方法を指示します。処理方法には、メールの拒否、検疫、配信があります。また、ドメインから送信されたメールについて、潜在的な認証の問題と悪意のあるアクティビティを特定するのに役立つレポートを取得することもできます。 ドメインに DMARC DNS TXT レコード(DMARC レコード)を追加して、DMARC を設定します。

DMARC レコードは、ドメイン プロバイダの手順に沿ってドメインに追加する 1 行のテキストです。DMARC レコードの例を次に示します。

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

受信側のサーバーは、組織のドメインから SPF または DKIM に合格しなかったメールを受信すると、DMARC レコードをチェックして、メールに対して拒否、検疫、通常の配信のいずれの処理を実行するかを決定します。

What is DMARC?

DMARC を使用すると、ユーザーが偽装メールの被害に遭わないように対策できるほか、
SPF や DKIM に合格しないメールを管理できます。

目次

始める前に

  • DMARC を使用するには、ドメインで SPF または DKIM を有効にする必要があります。SPF や DKIM を設定していない場合は、なりすまし、フィッシング、迷惑メールを防止するをご覧ください。
    • DMARC を有効にする前に SPF と DKIM のいずれかまたは両方を設定していない場合、ドメインから送信されたメールの配信に問題が発生する可能性があります。
    • SPF や DKIM を設定してから DMARC を設定するまでに、48 時間の間隔を空けてください。
  • ドメインで DMARC がすでに設定されているかどうかを確認するには、多数の無料ツールがインターネットで公開されていますので、そちらをご利用ください。DMARC がすでに設定されている場合は、DMARC レポートで、DMARC がメールを効果的に認証し、メールが想定どおりに配信されていることを確認する必要があります。
  • DMARC の設定に関して、Google 管理コンソールでは特に何もする必要はありません。代わりに、このページの手順に沿って DMARC レコードを決定します。その後、ドメインホストにログインし、ドメインホストの DMARC の手順に沿って DMARC レコードを追加します。

ステップ 1: レポート用のグループまたはメールボックスを設定する

メールで送られてくる DMARC レポートの数は、ご利用のドメインが送信するメールの量と送信先のドメイン数によって異なります。毎日多くのレポートを受信することになります。大規模な組織では数百本、数千本ものレポートが毎日届く場合があります。 Google では、DMARC レポートを受信、管理するためのグループまたは専用メールボックスを作成することをおすすめしています。

重要: 通常、レポートのメールアドレスは、DMARC レコードをホストするドメインと同じドメインにします。 メールアドレスのドメインが異なる場合は、そのドメインに DNS レコードを追加する必要があります。 DMARC レポートのページで、別のドメインのメールアドレスにレポートを送信するをご覧ください。

ステップ 2: サードパーティのメールが認証されていることを確認する

サードパーティ サービスを使用して組織のメール送信を行う場合は、サードパーティ サービスから送信されたメールが認証され、SPF と DKIM のチェックに合格していることを確認する必要があります。

  • SPF と DKIM が正しく設定されていることを確認するため、サードパーティのプロバイダに問い合わせます。
  • プロバイダのエンベロープ送信者ドメインが組織のドメインと一致していることを確認します。プロバイダの送信メールサーバーの IP アドレスをドメインの SPF レコードに追加します。
  • SMTP リレーサービスの設定を使用して、送信メールの経路を Google 経由にします。

ステップ 3: DMARC レコードを決定する

DMARC ポリシーは、DMARC レコードと呼ばれる 1 行のテキスト値で定義されます。このレコードでは次の項目を定義します。

  • DMARC ポリシーでメッセージをどの程度厳格にチェックするか
  • メールが認証に合格しなかった場合の、受信サーバーによる推奨処理

DMARC レコードの例(example.com はご利用のドメインに置き換えてください):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

v タグと p タグは最初に指定する必要がありますが、他のタグは任意の順序で指定できます。

DMARC の使用を開始するときは、ポリシー オプション(p)を none に設定することをおすすめします。ドメインからのメールが受信サーバーによってどのように認証されるのかがわかってきた段階で、ポリシーを更新します。ある程度の期間を設けて、受信側のポリシーを quarantine (or reject) に変更します。DMARC のおすすめのロールアウト方法をご覧ください。

DMARC レコードのタグの定義と値

タグ 説明と値
v

(必須)DMARC のバージョン。DMARC1 を指定します。
p (必須)認証に合格しないメールの処理方法を受信メールサーバーに指示します。
  • none—メールをそのまま受信者に配信して、日次レポートに記録します。レポートは、レコード内の rua オプションで指定されたメールアドレスに送信されます。
  • quarantine— メールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。
  • reject—メールを拒否します。このオプションを使用すると、通常、受信サーバーから送信サーバーにバウンスメールが送信されます。

BIMI に関する注意: ドメインで BIMI を使用している場合は、DMARC の [p] オプションを [検疫] または [拒否] に設定する必要があります。BIMI は、p オプションが none に設定された DMARC ポリシーには対応していません。
pct

pct タグは省略可能ですが、DMARC ポリシーが適用されるメールの割合を管理できるように、DMARC をリリースするときに DMARC レコードに含めることをおすすめします。

DMARC ポリシーの対象となる未認証メールの割合を指定します。DMARC を段階的に導入する場合は、一部のメールから開始することをおすすめします。受信サーバーによる認証に成功するメールが増えたら、100% に達するまで徐々に割合を増やしながらレコードを更新します。

1100 の整数を指定する必要があります。レコードでこのオプションを使用しないと、ドメインから送信されたすべてのメールに DMARC ポリシーが適用されます。

BIMI に関する注意:ドメインで BIMI を使用している場合は、DMARC ポリシーの pct 値を 100 に設定する必要があります。BIMI は、pct に 100 より小さい値が設定された DMARC ポリシーには対応していません。
rua

rua タグは省略可能ですが、DMARC レコードには常に含めることをおすすめします。

DMARC レポートをメールアドレスに送信します。メールアドレスには mailto: を付ける必要があります。
例: mailto:dmarc-reports@example.comexample.com は自分のドメインに置き換えてください)。

  • DMARC レポートを複数のメールアドレスに送信するには、各メールアドレスをカンマで区切って指定し、各アドレスの前に mailto: プレフィックスを追加します。例: mailto:dmarc-reports@example.commailto:dmarc-admin@example.comexample.com はお客様のドメインに置き換えてください)。
  • このオプションを使用すると、大量のレポートメールが送信される可能性があるため、自分のメールアドレスを使うことはおすすめしません。代わりに、専用のメールボックス、グループ、DMARC レポートに特化したサードパーティ サービスの使用を検討してください。
  • DMARC レコードをホストするドメインとは異なるドメインのメールアドレスに DMARC レポートを送信するには、メールドメインの DNS に TXT レコードを追加します。詳しくは、DMARC レポートページの別のドメインのメールアドレスにレポートを送信するをご覧ください。
ruf

(サポートされていません)Gmail は、失敗レポートの送信に使用される ruf タグには対応していません。失敗レポートはフォレンジック レポートとも呼ばれます。
sp (省略可)プライマリ ドメインのサブドメインからのメールに関するポリシーを設定します。サブドメインに異なる DMARC ポリシーを使用する場合は、このオプションを使用します。
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineメールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。
  • rejectメールを拒否このオプションを使用すると、受信サーバーから送信サーバーにバウンスメールが送信されます。

レコードでこのオプションを使用しない場合、サブドメインは親ドメインに設定されている DMARC ポリシーを継承します。
adkim (省略可)DKIM の調整ポリシーを設定し、メールの情報が DKIM 署名とどの程度一致する必要があるかを定義します。調整の仕組み(このページの後半)をご覧ください。
  • s厳格。送信者のドメイン名は、DKIM メールヘッダー内の対応する d=domainnamedomainnameと完全に一致する必要があります。
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (省略可)SPF の調整ポリシーを設定し、メールの情報が SPF 署名とどの程度厳格に一致する必要があるかを指定します。調整の仕組み(このページの後半)をご覧ください。
  • s厳格。メールの From ヘッダーが、SMTP MAIL FROM コマンドのドメイン名と完全に一致する必要があります。
  • r緩和(デフォルト)。部分一致を許可します。ドメイン名の有効なサブドメインであればパスします。

DMARC の調整

DMARC では、From: ヘッダーのドメインが SPF または DKIM で指定された送信ドメインとどの程度一致しているかに基づいて、メールを受理または却下します。これを「調整」と呼びます。

調整には、厳格モードまたは緩和モードのいずれかを選択できます。DMARC レコードタグaspfadkim を使用して、DMARC レコードの中で SPF と DKIM の調整モードを設定します。

認証方法 厳格モードの調整 緩和モードの調整
SPF エンベロープ送信者(Return-Path またはバウンスとも呼ばれます)アドレスのドメインと、ヘッダーの From: アドレスのドメインが、完全に一致している必要があります。 ヘッダーの From: アドレスに含まれるドメインは、Envelope-Sender(Return-Path またはバウンスとも呼ばれます)アドレスに含まれるドメインと一致しているか、そのサブドメインである必要があります。
DKIM 関連する DKIM ドメインと、ヘッダーの From: アドレスに含まれるドメインが、完全に一致している必要があります。 ヘッダーの From: アドレスに含まれるドメインが、DKIM 署名の d= タグで指定されたドメインと一致しているか、そのサブドメインである必要があります。

場合によっては、なりすまし対策を強化するため、厳格モードの調整に変更することをおすすめします:

  • ドメインのメールが管理対象外のサブドメインから送信されている
  • 別のエンティティが管理しているサブドメインを利用している
重要: 通常は、緩和モードの調整でも十分ななりすまし対策になります。厳格モードの調整にすると、関連サブドメインからのメッセージが拒否されたり、迷惑メール扱いにされたりする可能性があります。

メールが DMARC 認証に合格するには、次のチェックのうち少なくとも 1 つに合格する必要があります。

  • SPF 認証と SPF 調整
  • DKIM 認証と DKIM 調整

次の両方に合格しなかったメールは、DMARC チェックも不合格となります。

  • SPF または SPF 調整
  • DKIM または DKIM 調整

ステップ 4: ドメインに DMARC レコードを追加する

重要: このステップでは、ドメインホストの DMARC ヘルプ ドキュメントを使用してください。DMARC レコードを追加する手順は、ドメインホストによって異なります。

レコードを追加または更新する

重要: DMARC を設定する前に、DKIM と SPF を設定してください。DMARC を有効にする 48 時間以上に、DKIM と SPF でメールを認証している必要があります。

  1. DMARC レコードのテキスト ファイルまたは行を用意します。
  2. ドメインホスト(通常はドメイン名の販売元)にログインします。ドメインホストがわからない場合は、ドメイン登録事業者を特定するをご覧ください。
  3. ドメインの DNS TXT レコードを更新するページに移動します。このページを見つける方法については、ドメインのドキュメントをご確認ください。

  4. 次の情報を含めて TXT レコードを追加または更新します(使用するドメインのドキュメントを参照)。

    フィールド名 入力する値
    タイプ レコードタイプは TXT です。
    Host(名前、ホスト名、エイリアス) この値は _dmarc.example.com にする必要があります(example.com はドメイン名に置き換えてください)。
    Value TXT レコードを構成する文字列。例: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. 詳しくは、このページの前述のDMARC レコードを決定するをご覧ください。
    : ドメインホストによっては、ドメイン名が自動的に追加されます。TXT レコードを追加または更新した後で、DMARC レコードのドメイン名の確認を行って、形式が正しいことを確認してください。
  5. 変更を保存します。
  6. DMARC を複数のドメインに設定する場合は、ドメインごとに次の手順を完了してください。各ドメインに異なるポリシーと異なるレポートを設定できます(レコードで定義します)。
  7. ドメインに DMARC が設定されていることを確認するには、多数の無料ツールがインターネットで公開されていますので、そちらをご利用ください。

関連トピック


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
17372119633310797376
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false
false
false