DMARCとは?SPF・DKIMをまとめてなりすましを止める仕組みを解説

DMARC(Domain-based Message Authentication, Reporting & Conformance)とは、SPFとDKIMの認証結果をもとに「認証に失敗したメールをどう扱ってほしいか」を受信側に指示し、さらに認証状況のレポートを受け取れるようにする、メール認証の”司令塔”となる仕組みです。

一言でいうと:SPFとDKIMが「本人確認の道具」なら、DMARCは「確認に失敗した相手をどう扱うか決め、結果の報告を受け取る運用ルール」。これがあって初めてなりすましを実際にブロックできます。

SPFDKIM はそれぞれ強力ですが、共通の弱点があります。受信者が実際に見る「From(差出人)」のドメインを検証しない点です。DMARCはこの穴をふさぎ、3つを連携させてなりすましを実効的に止めます。

DMARCが解決する問題 ― アライメント

攻撃者は、自分が正当に管理する別ドメインでSPF/DKIMを通過させつつ、受信者に見える From だけを your-company.co.jp に偽装できます。SPF/DKIM単体ではこれを見抜けません。

DMARCは アライメント(identifier alignment/一致確認) を導入し、次の条件を満たすときだけ「DMARC合格」とします。

SPFまたはDKIMのどちらかが認証成功し、かつ、その認証されたドメインが From のドメインと一致していること

これにより、「Fromだけ偽装する」攻撃を成立させなくします。

DMARCレコードとポリシー

DMARCは、_dmarc.ドメイン名 というTXTレコードに設定します。

_dmarc.your-company.co.jp.  IN TXT  "v=DMARC1; p=none; rua=mailto:dmarc@your-company.co.jp"
タグ意味
v=DMARC1DMARCレコードであることの宣言(必須)
p=ポリシー(none / quarantine / reject)
rua=集計レポートの送付先メールアドレス
sp=サブドメインに適用するポリシー
pct=ポリシーを適用するメールの割合(段階導入に使用)

ポリシー(p=)の3段階

ポリシー認証失敗メールの扱い使いどころ
p=none何もしない(レポートのみ)導入初期。現状把握フェーズ
p=quarantine迷惑メールフォルダに隔離送信元を整備した後の中間段階
p=reject受信拒否最終目標。なりすましを完全遮断

DMARC導入のロードマップ

DMARCは、いきなり p=reject にすると正規メールまで拒否される危険があります。次の順序で進めます。

  1. p=none で開始:レポート(rua)を集め、自社のすべての正規送信元を洗い出す
  2. SPF/DKIMを整備:洗い出した送信元をSPFに登録し、各送信サービスでDKIM署名を有効化する
  3. p=quarantinepct= で適用割合を徐々に上げながら、誤隔離がないか監視する
  4. p=reject:すべての正規メールが認証を通ることを確認し、最終ポリシーへ強化する

集計レポート(rua)の活用

DMARCを設定すると、受信側プロバイダから毎日 集計レポート(Aggregate Report) がXML形式で届きます。レポートには次の情報が含まれます。

  • メールを送信したIPアドレスごとの件数
  • SPF / DKIM / DMARC の認証結果
  • 適用されたポリシー

このレポートにより、自社が把握していなかった正規の送信元(基幹システム、配信ツールなど)や、自社ドメインを騙る攻撃の実態を可視化できます。XMLは読みづらいため、専用の解析サービスで可視化するのが一般的です。

なぜ今DMARCが必須なのか

2024年2月以降、GoogleとYahooは大量送信者に対してDMARC対応を義務化しました。これ以降、メール認証は「やったほうがいい」から「やらなければメールが届かない」要件へと変わっています。BtoBの取引先への到達率を守るうえでも、DMARCの設定は中小企業にとって避けて通れません。

まとめ

  • DMARCとは、SPF/DKIMの結果をもとに認証失敗メールの扱いを指示し、レポートを受け取る仕組み
  • アライメントにより、SPF/DKIM単体では防げない「Fromの偽装」をふさぐ
  • ポリシーは p=none → quarantine → reject段階的に強化する
  • 集計レポートで送信元を可視化し、SPF・DKIMとセットで運用する

具体的な設定手順とポリシー強化の詳細は 【2026年版】DMARC・DKIM・SPF設定 完全ガイド を、用語ごとの解説は メール認証 用語集 をご覧ください。

DMARCのレポート解析やポリシー強化の運用にお困りの中小企業さまは、情シス365(IT運用代行)にお気軽にご相談ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

メールでのお問い合わせはこちら →
60分無料相談