DMARC

本文约需 2 分钟阅读

DMARC (Domain-based Message Authentication, Reporting and Conformance) は、 メールの送信元ドメインを認証し、なりすましメールを防止するためのプロトコルです。 SPF と DKIM という 2 つの既存技術を統合し、認証に失敗したメールの処理方針 (ポリシー) と レポート機能を追加した仕組みで、フィッシングやスピアフィッシングへの 有効な対策として、メールセキュリティの国際標準になりつつあります。

SPF 、 DKIM 、 DMARC の 3 層構造

メール認証を理解するには、 3 つの技術の役割を整理する必要があります。 SPF (Sender Policy Framework) は、ドメインの DNS レコードに「このドメインからメールを 送信してよい IP アドレス」を宣言する仕組みです。受信サーバーは、メールの送信元 IP が SPF レコードに含まれているかを検証します。

DKIM (DomainKeys Identified Mail) は、送信サーバーがメールに電子署名を付与し、 受信サーバーが DNS 上の公開鍵で署名を検証する仕組みです。メールの内容が途中で 改ざんされていないことを保証します。

DMARC はこの 2 つを束ねる「ポリシーレイヤー」です。 SPF または DKIM の認証結果と、 メールの From ヘッダーに表示されるドメイン (ユーザーが実際に目にするドメイン) の 整合性を検証します。これを「アライメント」と呼びます。 SPF や DKIM が単独では カバーできなかった「表示上の送信元ドメインの正当性」を DMARC が補完するのです。

ポリシーモードの段階的導入

DMARC のポリシーは 3 段階で設定できます。 p=none はモニタリングモードで、 認証に失敗してもメールの配信に影響を与えず、レポートのみを収集します。p=quarantine は認証失敗メールを迷惑メールフォルダに振り分けます。p=reject は認証失敗メールを完全に拒否します。

実務では、いきなり reject に設定するのは危険です。正規のメール送信経路が SPF / DKIM に正しく対応していない場合、自社の正当なメールまで拒否されてしまいます。 推奨される導入手順は、まず none で 2-4 週間レポートを収集し、 自社ドメインからのメール送信経路を把握します。次に quarantine に移行して 影響を確認し、問題がなければ reject に引き上げます。 この段階的なアプローチにより、正規メールへの影響を最小限に抑えながら セキュリティを強化できます。

Google / Yahoo の 2024 年義務化

2024 年 2 月、 Google と Yahoo が大量メール送信者 (1 日 5,000 通以上) に対して DMARC の設定を義務化しました。この決定はメールセキュリティの転換点です。 対応しない送信者のメールは、 Gmail や Yahoo メールで配信が制限されるか、 迷惑メールに分類されます。

この義務化の影響は広範囲に及びました。マーケティングメールを大量に送信する企業、 ニュースレター配信サービス、 EC サイトの注文確認メールなど、あらゆる大量送信者が 対応を迫られました。特に、複数のメール配信サービス (SendGrid 、 Amazon SES 、 Mailchimp など) を併用している企業では、すべての送信経路で SPF と DKIM を 正しく設定する必要があり、対応に苦慮するケースが多く見られました。フィッシング対策の 観点からも、この義務化は大きな前進です。

DMARC レポートの読み方と活用

DMARC を設定すると、受信サーバーから 2 種類のレポートが送られてきます。 集約レポート (Aggregate Report、 RUA) は XML 形式で、送信元 IP ごとの認証結果を 統計的にまとめたものです。フォレンジックレポート (Failure Report、 RUF) は 認証に失敗した個別のメールの詳細情報です。

集約レポートの XML は人間が直接読むには辛いため、 DMARC Analyzer や dmarcian などの 可視化ツールを使うのが実務上の定石です。レポートから読み取るべき重要な情報は、 「自社ドメインを名乗っているが認証に失敗している送信元 IP」です。 これが自社の正規サーバーであれば設定漏れ、見知らぬ IP であればなりすましの可能性があります。ソーシャルエンジニアリングと 組み合わせたなりすましメールの検出にも、 DMARC レポートは有効です。メールセキュリティの実践書 (Amazon)では、レポート分析の具体的な手順が解説されています。

導入率の現状と課題

2025 年時点で、 Fortune 500 企業の DMARC 導入率は約 90% に達していますが、reject ポリシーまで到達している企業は半数程度にとどまります。 日本企業の導入率はさらに低く、特に中小企業では DMARC の存在自体が認知されていない ケースも少なくありません。暗号化と同様に、 DMARC もインフラレベルのセキュリティ対策であり、目に見えにくいため投資の優先度が 上がりにくいという構造的な課題があります。AI 生成フィッシングの 脅威が増す中、メールアカウントの保護は ますます重要になっています。