インターネットの発展によってサイバー攻撃も深刻化しており、企業のセキュリティ対策は必要不可欠なものとなっています。近年では、従来利用されていた送信ドメイン認証「SPF」や「DKIM」よりもさらに高いセキュリティを確保できる「DMARC」が登場しました。
DMARCには、代理署名の拒否や認証結果の通知など、受信側と送信側の双方にとって多くのメリットがあります。
また、2024年2月にGmailの送信者ガイドラインが変更され、Gmailアカウントに1日あたり5,000件以上のメールを送信する送信者はDMARCの設定が必須となっています。
そこで今回は、DMARCの仕組みやメリット、設定方法を徹底解説します。

DMARCとは

DMARCとは、「Domain-based Message Authentication, Reporting and Conformance」の頭文字を取った言葉です。メールを送受信する際に「なりすまし」や「改ざん」のような不正に見舞われることを防止するために開発されたセキュリティ技術で、「送信ドメイン認証」の1つです。

一般的に、メールを受信したときに「そのメールが誰から送られてきたものなのか」を知るためには「差出人（From）」を確認するでしょう。しかし電子メールでは差出人の欄を自由に変更できるため、この仕様を悪用して企業や個人になりすましたメールを送る事例が世界中で数多く発生しています。

自社になりすましたメールアドレスにより、個人情報の詐取を目的としたフィッシングメールなどが送信されてしまうと企業の信頼も大きく低下するため、事前に対策を強化する必要があります。DMARCはGoogle、Microsoft、Metaといった企業が合同開発しており、多くのなりすましメールの排除に貢献しています。

SPFとの違い

DMARCよりもシンプルなメールの認証技術のひとつに「SPF（Sender Policy Framework）」があります。
SPFはあるドメイン名が設定されているメールに対して、送信メールサーバーのIPアドレスを紐付けることで正しいメールアドレスかどうかを照合する技術のことです。送信側がメールを送ると、受信側はすぐにメールを受信するのではなく「SPFレコード」を送信者のDNSサーバーに問い合わせることで検証を実施します。このSPFレコードが指定したIPアドレスの範囲内に含まれていれば、検証が成功するという仕組みです。

DKIMとの違い

SPFには「送信が転送されると正しいメールであっても送信に失敗してしまう」という弱点があります。この弱点を解消するために生まれたのが「DKIM（Domainkeys Identified Mail）」です。DKIMでは電子鍵を用いて署名を行い、公開鍵と秘密鍵の2つの鍵を利用して正しいメールアドレスかどうかを検証します。

送信側はまず送信者のDNSサーバーに対して事前に署名用の公開鍵を公開しておき、電子署名をメールヘッダーに追加した状態でメールを送信します。
受信側は公開鍵の置き場所が含まれたメールヘッダーを参照してDNSサーバーに問い合わせを行い、公開鍵を取得します。取得した公開鍵と実際に受信したメールの内容が合致すれば、検証が成功するという仕組みです。

関連記事はこちら送信ドメイン認証（SPF・DKIM・DMARC）とは？認証方法や仕組みを解説

関連記事はこちらなりすましメールに注意！SPF認証とDKIM認証の違いとは

DMARCの仕組み

DMARCでは、あらかじめDNSサーバーに対してポリシーの記述を行う作業が必要になります。例えば「自社のドメインを名乗るメールアドレスのなかで、SPF認証に失敗したメールは受け取りを拒否する」といったポリシーを指定します。

手順としては、「DNSサーバーにSPF、DKIM、DMARCレコードを記述する」「ドメインからメールを送信する」「DMARCに対応した受信側のドメインが送信側のDNSレコードを検証し、認証できなかったメールの取り扱いを判断する」「ポリシーに則ってメールを処理し、SPFまたはDKIM署名の検証を行う」「送信ドメイン別のメールレポートを送信元に対して送信する（1日1回）」という流れになります。

DMARCのメリット

DMARCには、前述のSPFやDKIMにはなかったいくつかのメリットがあります。ここでは、主な3つのメリットをご紹介します。

メール送信者が認証に失敗したメールの取り扱いを決められる

DMARCでは、メール送信者が認証に失敗したメールをどう取り扱うか指定することができます。 SPFやDKIMでは、認証に失敗したメールの取り扱いは受信者側が判断する必要がありました。そのため、送信されたメールが認証に失敗したなりすましメールだったとしても、受信者側がメールを受信する設定にしていればそのまま受信されていたということです。

しかしDMARCでは、利用しているドメインになりすましたメールが送信されていることが判明された場合に、送信者の判断で「このメールを受信させない」という設定が可能になります。具体的には「特定の処理を行わない^※」「隔離する」「受信拒否」の3つのパターンから取り扱いを選択できます。

※認証が失敗したメールの取り扱いは指定せず、受信サーバーの判断に委ねるというパターンになります。そのため、サーバーによってはそのまま受信することもありますし、受信が拒否されることもあります。

メール送信者が受信者から認証の結果通知を受けられる

DMARCでは、メール送信者が受信者からの認証の結果通知を受けられるのも特徴的です。
SPFとDKIMの認証結果をリアルタイムで受け取れるため、なりすましメールが発生した場合にどこから送られているメールなのかを素早く判別することも可能だといえます。

第三者による代理署名を拒否できる

第三者による代理署名を拒否できるのも、DMARCの重要な特徴のひとつです。
DMARCに対応していない場合、Gmailやメール配信ツールなどのドメインを第三者署名に適用して、SPFやDKIMにおいて認証を通過することができます。しかしDMARCでは第三者署名を不許可にできるため、送信元を明確にさせることでより安全性の高いメールの送受信が可能です。

DMARCのデメリット

DMARCは画期的な認証方法ではありますが、次の2つのデメリットには注意が必要です。

管理の負担が重くなりやすい

DMARCではドメイン別のレポートを生成して送受信するため、管理の負担が重くなりやすいというデメリットがあります。1日1回送信されるレポートをドメイン別に随時チェックすることを負担に感じるようであれば、チェックする範囲や頻度をあらかじめ決めておくことも大切です。

対応しているメールシステムがまだ少ない

受信者側が利用しているメールシステムもDMARCに対応している必要がありますが、DMARCは比較的新しい認証技術であることから、対応しているメールシステムが限られているというデメリットもあります。このデメリットに関しては、市場にDMARCが浸透していくことで少しずつ解消されていくと考えられるでしょう。GmailやOutlookなどの大手メールソフトはすでに対応しています。

DMARCの設定方法

DMARCを設定するためには、事前にSPFとDKIMの設定を済ませておく必要があります。 SPFとDKIMの設定が完了した状態で、利用中の自分のドメインに対して「DMARCレコード」を設定してポリシーを記述することでDMARCの利用設定を行います。

例えば、具体的な記述は次のようになります。

ドメイン名が「post.com」の場合、

_dmarc.post.com IN TXT “v=DMARC1 ; P=reject ;
rua=mailto:report@post.com ; ruf=mailto:report@post.com”
（レコード名は”_dmarc” + “ドメイン名”）

v＝：DMARCレコードのバージョン番号
p=：認証が失敗したメールの取り扱い（指定なし^※＝none、隔離する＝quarantin、受信拒否＝reject）
rua,ruf：レポートを送信するメールアドレス

※指定なし＝受信サーバーの判断に委ねる

DMARCの動作確認方法

設定完了後は、正しく動作するかどうか検証することが大切です。GmailやOutlookなどの有名プロバイダーではDMARCをサポートしているため、これらのドメイン宛にメールを送信すると検証しやすいでしょう。
送信したメールアドレスのヘッダーの「Authentication-Results」の「spf,dkim,dmarc」の値が「pass」になっていれば設定は成功しています。

まとめ

DMARCは比較的新しい認証技術で、SPFやDKIMの良い部分が取り入れられていながら、認証に失敗したメールの取り扱いを送信者側が決められる点が特徴的です。
これまでは受信側にゆだねられていたなりすましメールの受信などを制御できるため、より自由度と安全性の高いセキュリティ対策を行えるでしょう。

対応しているメールソフトがそれほど多くないのは難点ですが、GmailやOutlookなどの大手メールソフトは対応しているという現状もあり、これから少しずつ増えていくとみられています。ぜひDMARCを導入して、メールのセキュリティ対策を強化してみましょう。

関連記事はこちらGmailの送信者ガイドラインが変更！必要な対応をわかりやすく解説（メルラボ）