DMARCとは?SPF・DKIMをまとめてなりすましを止める仕組みを解説
DMARC(Domain-based Message Authentication, Reporting & Conformance)とは、SPFとDKIMの認証結果をもとに「認証に失敗したメールをどう扱ってほしいか」を受信側に指示し、さらに認証状況のレポートを受け取れるようにする、メール認証の”司令塔”となる仕組みです。
一言でいうと:SPFとDKIMが「本人確認の道具」なら、DMARCは「確認に失敗した相手をどう扱うか決め、結果の報告を受け取る運用ルール」。これがあって初めてなりすましを実際にブロックできます。
SPF と DKIM はそれぞれ強力ですが、共通の弱点があります。受信者が実際に見る「From(差出人)」のドメインを検証しない点です。DMARCはこの穴をふさぎ、3つを連携させてなりすましを実効的に止めます。
DMARCが解決する問題 ― アライメント
攻撃者は、自分が正当に管理する別ドメインでSPF/DKIMを通過させつつ、受信者に見える From だけを your-company.co.jp に偽装できます。SPF/DKIM単体ではこれを見抜けません。
DMARCは アライメント(identifier alignment/一致確認) を導入し、次の条件を満たすときだけ「DMARC合格」とします。
SPFまたはDKIMのどちらかが認証成功し、かつ、その認証されたドメインが From のドメインと一致していること
これにより、「Fromだけ偽装する」攻撃を成立させなくします。
DMARCレコードとポリシー
DMARCは、_dmarc.ドメイン名 というTXTレコードに設定します。
_dmarc.your-company.co.jp. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@your-company.co.jp"
| タグ | 意味 |
|---|---|
v=DMARC1 | DMARCレコードであることの宣言(必須) |
p= | ポリシー(none / quarantine / reject) |
rua= | 集計レポートの送付先メールアドレス |
sp= | サブドメインに適用するポリシー |
pct= | ポリシーを適用するメールの割合(段階導入に使用) |
ポリシー(p=)の3段階
| ポリシー | 認証失敗メールの扱い | 使いどころ |
|---|---|---|
p=none | 何もしない(レポートのみ) | 導入初期。現状把握フェーズ |
p=quarantine | 迷惑メールフォルダに隔離 | 送信元を整備した後の中間段階 |
p=reject | 受信拒否 | 最終目標。なりすましを完全遮断 |
DMARC導入のロードマップ
DMARCは、いきなり p=reject にすると正規メールまで拒否される危険があります。次の順序で進めます。
p=noneで開始:レポート(rua)を集め、自社のすべての正規送信元を洗い出す- SPF/DKIMを整備:洗い出した送信元をSPFに登録し、各送信サービスでDKIM署名を有効化する
p=quarantineへ:pct=で適用割合を徐々に上げながら、誤隔離がないか監視するp=rejectへ:すべての正規メールが認証を通ることを確認し、最終ポリシーへ強化する
集計レポート(rua)の活用
DMARCを設定すると、受信側プロバイダから毎日 集計レポート(Aggregate Report) がXML形式で届きます。レポートには次の情報が含まれます。
- メールを送信したIPアドレスごとの件数
- SPF / DKIM / DMARC の認証結果
- 適用されたポリシー
このレポートにより、自社が把握していなかった正規の送信元(基幹システム、配信ツールなど)や、自社ドメインを騙る攻撃の実態を可視化できます。XMLは読みづらいため、専用の解析サービスで可視化するのが一般的です。
なぜ今DMARCが必須なのか
2024年2月以降、GoogleとYahooは大量送信者に対してDMARC対応を義務化しました。これ以降、メール認証は「やったほうがいい」から「やらなければメールが届かない」要件へと変わっています。BtoBの取引先への到達率を守るうえでも、DMARCの設定は中小企業にとって避けて通れません。
まとめ
- DMARCとは、SPF/DKIMの結果をもとに認証失敗メールの扱いを指示し、レポートを受け取る仕組み
- アライメントにより、SPF/DKIM単体では防げない「Fromの偽装」をふさぐ
- ポリシーは
p=none → quarantine → rejectと段階的に強化する - 集計レポートで送信元を可視化し、SPF・DKIMとセットで運用する
具体的な設定手順とポリシー強化の詳細は 【2026年版】DMARC・DKIM・SPF設定 完全ガイド を、用語ごとの解説は メール認証 用語集 をご覧ください。
DMARCのレポート解析やポリシー強化の運用にお困りの中小企業さまは、情シス365(IT運用代行)にお気軽にご相談ください。