お問い合わせはこちら

DMARCとは?仕組みやメリット、おすすめの導入方法を紹介

公開
更新
DMARCの解説

メールセキュリティの強化を検討している企業や個人は、調べる中でDMARCという名前を見かけることでしょう。

最近 Google が発表した「メール送信者向けのガイドライン」によると、2024年2月以降SPF/DKIM/DMARCに対応していないと、GmailやGoogle Workspace宛にメールを送ったメールがブロックされたり、迷惑メールに振り分けられてしまう可能性が高くなるとみられることから、話題になっています。

また、2023年2月に経済産業省と警察庁、総務省がDMARCの導入を推奨しています。
メール送信者のガイドライン
経済産業省|クレジットカード会社等に対するフィッシング対策の強化を要請

しかし、DMARCとは具体的に何なのか、その仕組みやメリットが何なのかまで把握していない方も多いと思いますので、この記事ではDMARCの基本的な概念から、そのメリット、おすすめの導入方法までを詳しく紹介します。

DMARCとは?

DMARCの図解

それでは早速ではありますが、DMARCがメールのセキュリティとしてどのような役割を果たす機能なのか、他の類似機能との違いなどについてご紹介します。

DMARCの機能

DMARCはメールセキュリティの機能の1つで、ドメイン所有者の認証を通さずに、当該ドメインのなりすましメールが送信されないように設計された電子メール認証プロトコルです。

※DMARCの正式名称はDomain-based Message Authentication, Reporting and Conformanceです。

DMARCの具体的な機能としては以下の3つのポイントがあります。

認証受信側のメールサーバーはメールが SPF や DKIM で設定されたポリシーに沿っているかどうかを認証します。
ポリシーの
適用
ドメイン所有者が、認証失敗になったメールの処理方法をポリシー設定により指定できます。
認証失敗メールに対し特に処理しなかったり、隔離フォルダに移動や受信拒否で配信されないようにすることも可能です。
レポーティング認証に失敗したメールがあるたびに受信側のメールサーバーがドメイン所有者へ送信します。あらかじめ送信条件をDKIM認証エラー、SPF認証エラー、どちらもエラー、いずれかでエラーなどから選択することもできます。
集約レポートの場合はあらかじめ指定された期間中のDMARC認証を通過または失敗したメッセージの数、送信サーバーのIPアドレス、使用した認証方式などのレポートを受信側のメールサーバーがドメイン所有者へ送ります。
DMARCで設定可能なポリシーの種類
  • none:指定なし(受信者の設定次第になる)
  • quarantine:隔離(迷惑メールフォルダなどで受信する)
  • reject:受信拒否(メールを受信せずバウンスメール受信もしくは削除)

DMARCの仕組み

DMARCの仕組みは、SPFやDKIMを利用して認証失敗メールの処理方法を送信ドメイン所有者が管理できるようになっています。

DMARC認証では、メールのヘッダーFrom部分にあるドメインが、SPF/DKIMの認証に合格しているかチェックします。
DKIMやSPFの解説

そこで認証をパスしたメールはそのまま受信者の元に届き、認証に失敗したメールに関してはあらかじめドメイン所有者が指定したポリシーに沿って処理が行われるようになります。

認証の呼び方について(クリックで開きます)

上記でご紹介のDMARCとSPF/DKIMの認証に合格したドメインと一致しているかの確認をアライメントと言います(日本語表記で「調整」と表現する場合もあります)。なので、DMARCでSPF認証のドメインと一致した場合はSPFアライメント、DKIM認証のドメインと一致した場合はDKIMアライメントと表現します。

SPFやDKIMとの違い

「SPF」や「DKIM」も送信ドメイン認証ですが、この2つの認証の場合、「検証に失敗したメールの取り扱い方法」は受信者側に委ねられています。そのため、なりすましメールが送られてきた場合は、受信側の設定次第では一旦は受け取ってしまう可能性があります。

一方で、DMARCの場合は送信ドメイン管理者が「検証に失敗したメールの取り扱い方法」を表明することが可能です。これにより受信者がそのメールに対してとるべき処理方法をドメイン所有者側が指定可能となり、受信拒否させたり迷惑メールボックスに入れるなどある程度コントロールできるようになります。

  1. A社は所有するドメインのDMARCポリシーで認証エラーメールは受信拒否するよう設定する
  2. 取引先B社にA社のなりすましメールが送信される
  3. B社の受信メールサーバーのSPF/DKIM認証でエラーとなるため、A社設定のDMARCポリシーに従い受信を拒否する。

DMARCのメリット

DMARCの機能や仕組みが分かったものの、それが具体的にどのようなメリットに繋がるのかイメージしにくいという方も多いでしょう。

しかし、今後は特に企業であればこのDMARCの機能は必須となる可能性が非常に高いメール機能となりますので、ビジネスシーンでメールを利用される方は必ず確認が必要になります。

自社のなりすましメールによる被害を予防できる

DMARCポリシーを設定することで自社をなりすましたメールを受信しないよう設定できます。これにより取引先がフィッシングメールを誤って開いてしまうといった事故を未然に防げるようになります。

また、自社をかたったなりすましメールが横行すると、企業イメージの低下にもつながりますので、そういったリスクも回避できます。

メール認証状況を把握できる

DMARCを導入することで、受信者側からメールの認証結果レポートが確認できるようになります。

DMARCのレポート
レポートのメール内容(詳細はファイルに添付されます)

これにより自社のなりすましメールがどこのメールサーバーから送信されたのか、SPFやDKIMの認証結果はどうだったかを確認できます。また、このレポートはその認証失敗が起きる度に送信されますので、それらのレポートを集計することで、どのくらいの頻度で送信されているかの状況把握も可能となります。

加えて、一定期間ごとに送られてくる集約レポートを確認することで、その期間内のDMARC認証の通過数または失敗数、送信サーバーのIPアドレス、使用した認証方式などまとまった情報を確認することができます。

これらのレポートを確認できる環境であれば、急激にレポート数が増えた場合はメールセキュリティを導入していないユーザーはそのまま開封してしまっている可能性も出てくるので、事前にホームページやSNS等で注意喚起を掲載っするといった対応も可能になります。

おすすめのDMARCの導入方法

それではこれからメールセキュリティとしてDMARCを導入するとなった場合、いくつかの導入方法があります。

選択する方法によって手間やコストは変動しますので、導入検討される場合は目を通しておきましょう。

DMARC対応済のメールサーバーを利用する

メールサーバーを提供している事業者の中には、SPFやDKIMに加えてDMARCも全て揃えている事業者も存在します。もちろんKAGOYAのメールプラン専用タイプもこの3つの機能を利用できます。

冒頭でご紹介した政府の要請もあり、ようやく日本国内でも導入企業が増えているものの、義務化しているケースもある欧米諸国と比べると、日本国内での普及は進んでいません。
SPFやDKIMには対応していても、DMARCまで対応しているメールサービスはまだ少ないのが現状です。

また、DMARCに対応しているメールサービスでも設定方法が難しいケースもあるので、KAGOYAのメールプラン専用タイプのように、管理画面から簡単に設定できて電話で相談できるなどサポート体制が充実したサービスを選択することをおすすめします。

これは一人情シスのような独力で社内メールのDMARC対応が必須な方にとっては非常に心強い存在となるだけではなく、メールサーバー等のメンテナンスの手間も省けるため通常業務の効率化にも貢献できます。

SPF/DKIM/DMARCが揃っている国内のメールサーバー

自社で設定も可能

このDMARCはSPFやDKIMも含め、全て社内で設定を行うことも可能です。

ただし、DMARCの設定を行うにはSPF設定とDKIM設定の両方が必要になりますので、先にこの2つの設定を完了させる必要があります。

SPFレコードとは?正しい書き方を徹底解説

SPFレコードとは?正しい書き方を徹底解説

企業のドメインを偽装した「なりすましメール」による犯罪が、世界中で発生しています。たとえば取引先のドメインを装った偽の送金指示メールに従ってお金を振り込んでしまった例など、「ビジネスメール」詐欺の被害報告も少なくありません。 そんななか、なりすましメールを予防するために使われている代表的な技術の1つが、DNSを使ったSPFという技術です。昨今ではSPFレコードを登録していないことで、自社から送信し…

この2つの設定ができれば、送信側でDMARCの設定を行うために以下のようにポリシーレコードをDNSサーバーのTXTレコードに追加することになります。

_dmarc.kagoya.jp.  IN TXT  “v=DMARC1; p=reject; rua=mailto:example@kagoya.jp; ruf=mailto:ng_example@kagoya.jp “

上記はkagoya.jpにreject(受信拒否)でポリシーを設定するための記述となります。

DMARC導入時の注意点

DMARCを導入することで意外と大きなメリットを受けることができますが、実際に導入する場合にはいくつかの注意点が存在します。

情報が少ない

実はDMARCは海外では導入していて当たり前というレベルの普及率となっていますが、日本に限って言えば普及率はこの記事を作成している時点ではかなり低いです。

そのため、インターネット上で日本語で展開されているDMARC関連の情報が相対的に見てかなり少ない状況にあり、なにかDMARCで困ったことがあると自力で解決させることが非常に困難になります。

そういった背景もあり、自社でメールサーバーを管理しながらDMARCの導入を行うよりも、DMARC機能があるメールサーバーに管理全般を任せる方法がおすすめの方法となります。

対応しているメールサーバーが少ない

前述でも少し触れていますが、現状としてDMARC対応のメールサーバーというのが数が限られている状況にありますので、対応済のメールサーバーを探し出すという労力が発生します。

既に目ぼしいメールサーバーを見つけられている場合は特に問題にはなりませんが、これから初めて探し始めるという場合には時間が掛かることを把握しておきましょう。

反対に、対応しているメールサーバーを既に見つけている場合は、数十もの類似サービスを比較するといった作業が不要になりますので、そういった面では検討から導入までの時間を短縮することができます。

SPF/DKIM/DMARCが揃っている国内のメールサーバー

DMARC普及率の低さ

この記事を作成している時点では、残念ながら日本企業でのDMARC普及率は十分ではありません。

しかし、数年前と比較すればその普及率も徐々にではありますが上昇傾向にあり、Googleや政府の動きによってその需要も高まっています。

参考:https://japan.zdnet.com/article/35211156/

DMARCを設定しても対応サーバーが増えないとその効果を最大限発揮できないというデメリットもありましたが、これからは多くの企業が導入を開始すると予想されます。

この流れに乗り遅れてしまうと、先んじてDMARCを導入した競合他社に差をつけられる可能性もありますので、早めの対応が推奨されます。

設定後に必ず動作確認を行う

DMARCの導入を行う場合、自社で設定する場合であってもメールサーバーを利用してコントロールパネルから設定する場合であっても、必ず動作確認とDMARCレポートのチェックを行う必要があります。

動作確認の際には、既に迷惑メール判定をもらっていたアドレスに対して送信してみたり、セキュリティの強化が進んでいるGmailやYahoo!メールではDMARCが既に導入されていますので、そのアドレスにテスト配信を行い受信メールボックスに届くかどうか、ヘッダー情報を確認してSPFやDKIMの認証が通っているかをチェックしましょう。

Yahoo!メールのメール認証画面

併せて、DMRAC導入により確認できるレポートをチェックすることで、認証が失敗したメールの中に自社が送った正規のメールが含まれていないかも確認できます。

万が一、設定内にあるミスを見逃してしまうと、折角DMARCを導入してもその設定を誤ると変わらず迷惑メール判定が続くため、DMACR導入の際に必要な作業となります。

まとめ

日本ではまだまだ普及率の低いDMARCの機能ですが、法人の場合は既に必須と言っても過言ではない状況になってきています。

自社サーバーに自分で機能追加するとなると難易度は高いですが、DMARC対応のメールサーバーを利用すれば比較的スムーズに完了できるため、対応しているメールサーバーを探す工程を除けば難易度は低いです。

DMARC認証の強化はこれからどんどん必要性が高まってきますので、迷惑メールやなりすましメールに悩まされている場合は早めの検討をおすすめします。

セキュリティ対策万全の専用メールサーバー

KAGOYAのメール専用タイプではメールサーバー1台を専有できるだけではなく、今や事業用のメールには必須となっているSPF/DKIM/DMARCがすべてコンパネから簡単設定が可能。
さらにメールアドレス数は無制限で高い法人利用率をほこる高コスパなプランとなっています。