DMARC認証とポリシーの違い、失敗時の原因を解説
DMARC認証とは何かを調べると、SPF・DKIMとの違いやポリシーの意味で混乱しがちです。この記事ではDMARCポリシーの3段階の違いと、認証が失敗する典型的な原因、spf dkim dmarc運用のデメリットまで整理します。
- DMARC(読み方:ディーマーク)はSPF・DKIMの認証結果を統合し、失敗時の処理方針をポリシーとして宣言する仕組み。
- ポリシーはp=none(監視のみ)、quarantine(迷惑メール行き)、reject(拒否)の3段階で、いきなり厳格にすると正規メールも失いかねない。
- dmarc認証が失敗する原因の多くは、SPFのレコード漏れや転送経由の送信、DKIM署名ドメインとFromドメインの不一致。
- spf dkim dmarcにはDNS管理の手間と誤設定リスクというデメリットもあるが、B2Bの継続送信では設定しないリスクの方が大きい。
DMARC認証とは何か(SPF・DKIMとの関係)
DMARC(読み方:ディーマーク、Domain-based Message Authentication, Reporting and Conformanceの略)は、SPFとDKIMという2つの認証結果を踏まえて、認証に失敗したメールをどう処理するかを受信側に指示する仕組みです。DKIM(読み方:ディーキム)は電子署名でメールの改ざんを検知し、SPFは送信元IPが正規のものかを確認します。DMARCはこの2つのうち少なくとも一方が、かつFromドメインと一致した形で通過することを求める、いわば上位の判定レイヤーです。
dkim/dmarcの読み方で検索されることが多いように、まずアルファベットの並びだけでは意味がつかみにくい用語です。仕組みとしては、SPFかDKIMのどちらかがFromヘッダーのドメインと整合して認証を通れば、DMARC認証は成功したと判定されます。
DMARCポリシーとは(none/quarantine/rejectの違い)
DMARCポリシーとは、認証に失敗したメールを受信側がどう扱うかの指示です。3段階あり、それぞれ意味が異なります。
多くの実務では、まずnoneで数週間運用し、レポートを見て正規の送信元がすべて認証を通っていることを確認したうえでquarantine、最終的にrejectへと段階的に引き上げます。
- p=none — 何もしない。認証結果をレポートとして受け取るだけの監視モード
- p=quarantine — 認証失敗メールを迷惑メールフォルダなどに振り分ける
- p=reject — 認証失敗メールの受信自体を拒否する、最も厳格なポリシー
厳格度は相対的な目安であり、実際の影響は送信元の認証整備状況により異なります。
DMARC認証が失敗する主な原因
DMARC認証が失敗するケースの多くは、送信環境が複数にまたがっていることに起因します。
- SPFレコードに、実際に使っている送信サーバー(CRMや営業ツールなど)のIPが含まれていない
- メール転送やメーリングリスト経由で送信元IPが変わり、SPFが通らなくなる
- DKIM署名に使われているドメインと、Fromヘッダーのドメインが一致していない(アライメント不一致)
- 複数の部署やツールが同じドメインから送信しており、認証設定の把握が漏れている
- SPFレコードの参照回数がDNSルックアップの上限を超えて無効になっている
営業チームが自社CRMからメールを送っているのに、SPFレコードにCRMのサーバーを追加し忘れていたため、CRM経由の正規メールだけDMARC認証が失敗し続けていた、というケースは珍しくありません。
認証失敗への対処法
認証が失敗している場合は、まずどの送信元で失敗しているかをruaレポートで特定します。
- ruaレポートのソースIPを確認し、自社が把握していない送信元がないか洗い出す
- 把握できた正規の送信元をすべてSPFレコードに追加する
- 各送信元でDKIM署名が有効になっているか、署名ドメインがFromドメインと一致しているか確認する
- 対処が完了するまでポリシーはnoneのまま維持し、rejectへの引き上げを急がない
spf dkim dmarcのデメリットと向き合い方
SPF・DKIM・DMARCにはデメリットもあります。DNSレコードの管理が煩雑になること、送信元を追加・変更するたびにレコードの更新が必要になること、設定を誤ると正規のメールまで届かなくなることが代表的です。ただしB2Bの新規開拓メールを継続的に送る立場では、認証設定をしないことによるなりすまし被害や着信率低下のリスクの方が大きく、初期の手間を払ってでも整備する価値があります。
よくある質問
DMARCの読み方は。
ディーマークと読みます。Domain-based Message Authentication, Reporting and Conformanceの略です。
DKIMの読み方は。
ディーキムと読みます。DomainKeys Identified Mailの略で、メールに電子署名を付与する仕組みです。
DMARCポリシーはどれから始めるべきですか。
p=noneから始め、レポートを見て正規の送信元がすべて認証を通っていることを確認してから、quarantine、rejectの順に引き上げるのが安全です。
DMARC認証が失敗する一番多い原因は何ですか。
SPFレコードへの送信元の登録漏れと、DKIM署名ドメインとFromドメインのアライメント不一致が最も多い原因です。
spf dkim dmarcを設定しないとどうなりますか。
自社ドメインを騙ったなりすましメールを防げないだけでなく、受信側のフィルターから信頼性の低い送信元と判断され、正規の営業メールの着信率も下がりやすくなります。