用語解説

DMARC（Domain-based Message Authentication, Reporting and Conformance）とは、SPFとDKIMの認証結果を受けて、認証に失敗したメールをどう処理するか（許可・隔離・拒否）をドメインオーナーが指定できるメール認証ポリシーの仕組みです。

DMARCを設定することで、なりすましメールを受信サーバー側で自動的に隔離・拒否させることができ、フィッシング被害を大幅に低減できます。また、認証結果の集計レポート（RUA）と失敗レポート（RUF）をDNSに指定したアドレスで受け取れるため、送信状況の可視化も可能です。

どんな場面で活用するか

• DNSにDMARCレコードを設定し、まず「p=none」（監視モード）で認証結果を収集してから「p=quarantine」→「p=reject」へ段階的に強化する
• DMARCレポートをDmarcianやValiMailなどのツールで可視化し、未認証の送信源（シャドーIT等）を特定する
• Google Workspace・Microsoft 365の送信ドメインにDMARCを設定し、ブランドドメインのなりすましリスクを低減する

よくある誤解

「DMARCさえ設定すればSPFとDKIMは不要だ」は誤りです。正しくは、DMARCはSPFとDKIMの認証結果を「ポリシーで制御する」レイヤーであり、両方の認証基盤がなければDMARCは機能しません。

判断のヒント

導入の手順最初は「p=none」で数週間レポートを収集し、正規の送信源をすべてSPF・DKIMで認証した後に「p=quarantine」→「p=reject」へ移行してください。いきなり「p=reject」にすると正規メールが届かなくなるリスクがあります。