DMARCの始め方

まず、自組織のメールインフラの規模と複雑さを把握することが重要です。多くの組織において、メールドメインは共有リソースであり、その利用範囲は複数の部門、外部ベンダー、さらには組織自身のインターネット向けアプリケーションにまで及びます。ドメインは共有されているため、DMARCプロジェクトを成功させるには、部門間の緊密な連携と、明確なドメイン管理プロセスが不可欠です。

DMARCを導入する際は、個々のドメインに限定するのではなく、組織内のすべてのドメインに展開するのが最善です。ドメインポートフォリオ全体にDMARCを導入することで、組織全体の可視性が向上し、管理者はすべてのメールが組織の基準に従って送信されるよう確保するための新たなツールを手に入れることができます。

まず、組織内のすべてのドメインのリストを作成し、DMARCを体系的に導入できるように準備しましょう。また、メール配信が中断されないよう、各ドメインの担当者や、そのドメインに関連する外部ベンダーの責任者を把握しておくことも重要です。これらの関係者の協力が必要となるためです。

DMARCポリシーにより、ドメイン所有者は自身のメッセージがSPFおよび／またはDKIMによって保護されていることを示すことができ、特定のメールについてこれらのいずれの検証も通らなかった場合に、受信者がどう対応すべきか（スパムとしてマークする、または配信を拒否するなど）を指定できます。ドメイン所有者は、DMARCポリシー（「p=」と呼ばれる）を設定することで、ポリシーに準拠していないメールに対してどのような処理を行うかを決定できます：

• 監視（p=none）：メールの送信状況には影響しません（DMARCのフィードバックのみが収集されます）。
• DMARCのp=quarantineに失敗したメッセージを隔離する（例：スパムフォルダに移動する）
• DMARCに失敗したメッセージを拒否する（p=reject）。（そのメールを一切受け付けない）。

DMARCポリシーは通常、p=noneから開始されます。これは監視フェーズであり、ドメインの使用状況やSPFおよび/またはDKIMの動作状況を把握できるものです。その後、p=rejectポリシーへと移行していきます。

DMARCポリシーを適用する前に、すべての送信元が整合していることを確認してください。具体的には、「From:」ヘッダーに記載されているドメインが、SPFによって検証されたドメイン、および／または有効なDKIM署名に含まれる送信元ドメインと一致している必要があります。

DMARCデータの生成を開始するには、まず監視対象とする各ドメインに対してDMARCレコードを公開する必要があります。dmarcianの「DMARCレコードウィザード」を使えば、DMARCレコードを簡単に作成できます。

DMARCレコードは、インターネット上のトラフィックをルーティングするドメインネームシステム（DNS）レコードの一部として存在します。ドメインのDMARCレコードは、DNSレコード内のテキストエントリであり、設定されたSPFおよびDKIMプロトコルに基づいて、そのメールドメインのポリシーを外部に通知するものです。また、DMARCレコードには、DMARCレポートの送信先アドレスも指定されており、これはDMARCが提供する貴重なフィードバックの一部となります。

以下は、DNSホスティングサービスでDMARCレコードを公開する方法の手順です。

DMARCレコードを公開すると、通常1～2日以内にDMARCデータがレポートとして生成され始め、ドメインでのメール処理状況に関する洞察が得られます。

これらのレポートはXML形式で作成されているため、人間が読み解くのは困難であり、特にその数が数千件にも及ぶ場合はなおさらです。

dmarcianのDMARC管理プラットフォームは、こうしたレポートの処理と改善点の特定に特化しており、組織全体でのDMARC導入をより容易にします。dmarcianのプラットフォームは、14日間の無料トライアルで試すことができます。当社はメールの送信元を分類し、DMARCのコンプライアンス状況（メールの送信元、DKIM、SPFに基づく）を表示するとともに、お客様のドメインに対する潜在的な脅威や不正利用が確認された場合にはアラートを送信します。

p=reject ポリシーは、DMARC検証に失敗したメールを拒否するよう受信側に指示します。デフォルトでは、rejectポリシーの下で検証に失敗したメールは受信されません。p=reject は、認証されていないメッセージがドメインから配信されるのを防ぐための最も強力な手段です。DMARCポリシーの強化に関する詳細はこちらをご覧ください。