迷惑メール対策やメールのなりすまし対策として、最近よく目にするようになったのが、SPF・DKIM・DMARCという言葉です。
特にDMARCは、Google Workspaceや独自ドメインメールを利用している方、メールフォームや予約システム、ネットショップ、メール配信サービスなどを使っている方にとって、今後ますます重要になっていく設定です。
ただし、DMARCについては誤解されやすい点もあります。
その代表的なものが、DMARCレポートです。
DMARCレポートを見ると、英語や数字、IPアドレス、認証結果などが並んでいるため、「何かエラーが出ている」「すぐに全部直さなければいけない」と感じてしまうことがあります。
しかし、DMARCレポートは、基本的には「このドメインから送られた、または送られたように見えるメールが、どのように判定されたか」を確認するための資料です。
つまり、DMARCレポートは、直接何かを直してくれるものではなく、メール送信の状況を把握するためのレポートです。
DMARCとは何か
DMARCは、簡単にいうと、送信元ドメインのなりすましを防ぐための仕組みです。
メールは、仕組み上、送信者名や送信元アドレスを偽装されやすい性質があります。
そのため、第三者が勝手に自社ドメインを使ったように見せかけて、迷惑メールやフィッシングメールを送ってしまう可能性があります。
そこで使われるのが、SPF・DKIM・DMARCです。
SPFは、「このサーバーから送られたメールは、このドメインの正規の送信元です」と示す設定です。
DKIMは、「このメールは、送信途中で改ざんされていません」と電子署名で確認する仕組みです。
DMARCは、そのSPFやDKIMの結果をもとに、「認証に失敗したメールをどう扱ってほしいか」を受信側のメールサーバーへ伝える設定です。
DMARCポリシーの意味
DMARCには、主に3つのポリシーがあります。
p=none
p=noneは、監視用のポリシーです。
この設定では、DMARC認証に失敗したメールがあっても、DMARCのポリシーとしては拒否や隔離を求めません。
その代わり、レポートを受け取りながら、どのサービスからメールが送られているのか、どのメールが認証に失敗しているのかを確認できます。
最初にDMARCを導入する場合は、いきなり強い設定にするのではなく、p=noneから始めることが多いです。
理由は、正規のメール配信サービスやメールフォームから送られているメールまで、誤って迷惑メール扱いになったり、拒否されたりするリスクがあるためです。
p=quarantine
p=quarantineは、DMARC認証に失敗したメールを、迷惑メールフォルダなどに振り分けてもらうよう受信側に依頼するポリシーです。
p=noneよりも強い設定です。
ただし、正規の送信元のSPFやDKIMが正しく整っていない状態で設定すると、本来届くべきメールが迷惑メールに入りやすくなる可能性があります。
そのため、レポートを確認し、正規の送信元がある程度整理できてから検討するのが安全です。
p=reject
p=rejectは、DMARC認証に失敗したメールを拒否してもらうよう受信側に依頼する、もっとも強いポリシーです。
なりすまし対策としては強力ですが、設定を誤ると、正規のメールまで届かなくなる可能性があります。
そのため、p=rejectは、SPF・DKIM・DMARCの状況を十分に確認したうえで、段階的に移行することが大切です。
DMARCレポートで分かること
DMARCレポートでは、主に次のような情報を確認できます。
どのIPアドレスから、自社ドメインを使ったメールが送信されているか。
そのメールがSPFに合格しているか。
そのメールがDKIMに合格しているか。
DMARCの判定に合格しているか。
Google Workspace、エックスサーバー、メール配信サービス、フォーム送信、ネットショップ通知など、どの送信元が関係していそうか。
不審な送信元がないか。
このように、DMARCレポートは「何が起きているか」を見るためのものです。
レポートに失敗が出ているからといって、必ずしもすぐに危険というわけではありません。
たとえば、転送メール、メーリングリスト、外部サービスからの通知、古いシステムからの送信などでは、SPFやDKIMの一部が失敗として見えることがあります。
大切なのは、その失敗が「正規の送信元によるもの」なのか、「なりすましの可能性があるもの」なのかを切り分けることです。
DMARCレポートは、直接の修正作業ではありません
DMARCレポートを見て、「このエラーを全部直してください」と考えてしまう方もいらっしゃいます。
しかし、DMARCレポートは、サーバーやDNSの設定画面そのものではありません。
レポートは、あくまで結果をまとめた資料です。
実際に対応する場合は、レポートの内容をもとに、次のような確認を行います。
現在利用しているメールサービスは何か。
Google Workspace、Microsoft 365、エックスサーバー、さくら、ロリポップなど、どこからメールを送っているか。
WordPressのお問い合わせフォームからメールを送っているか。
Shopify、BASE、STORES、予約システム、請求システム、メール配信サービスなどを使っているか。
各サービスに必要なSPF・DKIM設定がDNSに入っているか。
SPFのincludeが多すぎて、上限を超えていないか。
DKIMが有効化されているか。
DMARCのポリシーを強めても問題なさそうか。
つまり、DMARCレポートは「原因を探すための地図」のようなものです。
地図を見るだけで道路が直るわけではありませんが、どこを確認すべきかを判断する材料になります。
DMARCレポートの正しい使い方
DMARCレポートは、次のような使い方をするのが現実的です。
まずはp=noneで設定し、数日から数週間ほどレポートを確認します。
次に、正規の送信元を整理します。
Google Workspaceだけで送っていると思っていても、実際にはWordPress、メールフォーム、ECサイト、予約システム、メール配信サービスなど、複数の場所からメールが送られていることがあります。
そのうえで、正規の送信元のSPFやDKIMを整えます。
正規のメールがDMARCに合格する状態が確認できたら、必要に応じてp=quarantineやp=rejectへの移行を検討します。
ただし、すべての方がすぐにp=rejectへ移行すべきとは限りません。
お問い合わせフォーム、外部サービス、古いメール環境、転送設定などが複雑な場合は、慎重に進める必要があります。
よくある誤解
DMARCを設定すれば、迷惑メールが完全になくなるわけではありません。
DMARCは、主に自社ドメインを悪用したなりすましを防ぐための仕組みです。
受信箱に届くすべての迷惑メールを止めるものではありません。
また、DMARCレポートに失敗があるからといって、必ずしもすぐに大きな問題が起きているとは限りません。
正規のサービスの設定不足、転送、メーリングリスト、外部システムの仕様などによって、失敗として記録されることもあります。
反対に、p=noneのままでは、なりすましを強く止める効果は限定的です。
p=noneは、あくまで監視・調査のための段階です。
DMARC対応で大切なこと
DMARC対応で大切なのは、いきなり強い設定にすることではありません。
現在のメール送信経路を把握すること。
正規の送信元を洗い出すこと。
SPF・DKIMを正しく整えること。
DMARCレポートを見て、状況を確認すること。
必要に応じて、段階的にポリシーを強化すること。
この流れが大切です。
特に、複数のサービスからメールを送っている場合、見えているメールアドレスだけでは判断できないことがあります。
お問い合わせフォーム、ECサイト、予約システム、請求書システム、メール配信ツールなどが関係している場合は、それぞれの仕様を確認しながら進める必要があります。
まとめ
DMARCレポートは、メール認証の状況を把握するための大切な資料です。
ただし、レポートそのものが直接問題を直すわけではありません。
レポートをもとに、どの送信元が正規のものか、どの設定が不足しているか、ポリシーを強めても問題ないかを確認していくことが重要です。
DMARCは、設定して終わりではなく、状況を確認しながら育てていくメールセキュリティ対策です。
独自ドメインのメールを安心して使うためにも、SPF・DKIM・DMARCを正しく理解し、段階的に整えていくことをおすすめいたします。
