DMARCを使った迷惑メール対策とは？仕組みやメリットを解説

会社名を騙るなりすましメール対策としてDMARCがあります。DMARCはSPFやDKIMを活用したドメイン認証技術です。送信側が宣言したポリシーに基づいて受信側は処理します。DMARCの概要やメリット・デメリット・注意点について解説します。

DMARCとはどのような技術なのか？

DMARCについて、深く知りたいと思う人が多いのではないでしょうか。DMARCの概要について説明します。

SPFやDKIMを補完する送信認証技術

DMARCとは「Domain-based Message Authentication Reporting and Conformance」の略で、SPFとDKIMを活用した送信ドメイン認証技術です。

SPFやDKIMは送受信時の設定によって「なりすましメールかどうか」を判断することが可能です。しかし検証した結果を元にどのように処理をするのかについては、受信側の判断に任されています。

二つの認証を導入するだけでは、送信側がなりすましメールの処理方法に関与できません。メールの受信者がなりすましメールを放置してしまえば、違う人が被害に遭う可能性があるのです。

そこでDMARCでは「DMARCレコード」と呼ばれるポリシー（ルール）をサーバ上に公開することで、認証に失敗したメールの取り扱い方法を指定できます。

メールの送信者が受信側に対して、なりすましメールをどのように処理するのか指定できるのです。

SPFやDKIMを導入するだけではなく、DMARCを導入することでなりすましメール対策がより強固に作用するでしょう。

なりすましの場合はポリシーに基づいて処理

受信側がなりすましメールを受信したら、公開されているポリシーに基づいてメールを処理します。DMARCポリシーは次の三つです。

「none」ポリシーは正規の認証に失敗した際に、何も処理せずにメールを受信してメールBOXに格納します。

「quarantine」ポリシーは送信側が受信者に対し、迷惑メールBOXに入れるように促せるポリシーです。

「reject」ポリシーは認証に失敗したすべてのメールに対して、受信しないように指定できます。受信BOXに格納されないため、三つのポリシーの中では最も強力な処理を指定できるといえるでしょう。

状況や負荷を考えながらさまざまなポリシーを組み合わせて、なりすましメールの処理を行いましょう。

DMARCの仕組み

DMARCについて、さらに踏み込んで理解しましょう。DMARCの具体的な仕組みを解説します。

送信側が対応を決められる

DMARCは送信側がなりすましメールを受信した時の処理方法を指定できます。あらかじめメールの送信側が宣言したポリシーに沿って、受信側は処理をする仕組みです。

たとえば送信側が「aaa.com」になりすましたメールが来たら、受信せずに受信の拒否をするとポリシーを決めます。

実際に「aaa.com」のなりすましたメールを受信した場合、受信側は宣言されたポリシーに沿って、メールを受信せずに拒絶するという処理を行っているのです。

レポーティング機能がある

DMARCの仕組みとして「レポーティング機能」があります。レポーティングを活用することで、メールの受信側から送信側に認証結果を送ることが可能です。

送信側はまずレポートの送り先やレポートを送る頻度を、サーバ上に公開します。受信側はサーバ上に公開された情報を参照して、認証結果のレポートを送ります。

レポートに記載される項目は「集約レポート」と「失敗レポート」です。集約レポートは、一定期間における認証結果がまとめられています。失敗レポートには認証に失敗したメールの状況が載っています。

レポーティング機能によって、送信側が今まで把握できなかった認証結果を把握することが可能です。

ぴったりのメール配信システムを無料で診断する

DMARCのメリット

SPFやDKIMにはないDMARC特有のメリットがあります。DMARCを設置するメリットを解説します。

詐称した送信元を突き止められる

DMARCのメリットはなりすましを行った送信元が、どのドメインなのかが分かることです。受信側から送られてくるレポートから、なりすましが行われた時の状況が把握できます。

SPFやDKIMはレポーティング機能がないため、どのドメインが詐称したのか分かりませんでした。そのため、送信元は何も対処できません。

DMARCを導入することで、なりすましの特定ができます。特定することで、送信元を通報することや顧客に注意を促すなど、送信側が主体的に対策を講じることができるでしょう。

送信側が認証の成否を把握できる

認証が成功したのか失敗したのかを把握できることは、DMARCを導入するひとつのメリットです。サーバから送られるレポートによって、送信側が認証の結果を知ることができます。

SPFやDKIMには認証の結果を知らせる機能がありません。そこにプラスしてDMARCを導入することで、結果が分かるようになるのです。

自社をなりすましてメールを送っているドメインがいくつあるのか、DMARCを導入することで把握できるでしょう。

ポリシーの最適化が可能

DMARCのもうひとつのメリットは、ポリシーの最適化ができる点です。受信側から送られてくるレポートを分析することで、なりすましメールの特徴を把握できます。

なりすましメールの傾向を把握することで、ポリシーの問題点を洗い出せます。また分析を行っている際に、問題があればすぐに修正をすることができるでしょう。

受信側から認証結果のフィードバックを得ることで、巧妙に進化するなりすましメールに対して柔軟に対策ができます。

ぴったりのメール配信システムを無料で診断する

DMARCのデメリット

メリットが多そうなDMARCですが、デメリットがないわけではありません。DMARCに関する二つのデメリットを説明します。

管理する負荷が大きい

DMARCのデメリットとして、管理側の負担が大きいことが挙げられます。レポートは送信先のドメインごとに送られてくるからです。

たとえばメールを送信するドメイン先が10件あるとします。レポートが送られる頻度が1日1回の頻度だとすると、1日あたり10通、1カ月に300通送られる計算になります。

ほかの業務もこなすなかで毎日10通のレポートを確認するのは、骨が折れる作業になるのではないでしょうか。

管理する側の負担が大きい場合は、レポートが送られてくる頻度を減らすことで対処が可能です。

DMARCの普及率が低い

DMARCの知名度が低く普及率が低い点も、DMARC運営の際のデメリットです。メールを送ろうとした企業がDMARCに対応していない可能性があります。

2021年2月にプルーフポイントが行った調査によると、日経225に選ばれている企業の約75%が、DMARCを導入していないことが分かりました。

一方で2020年8月の前回調査時よりもDMARCを導入している企業が増えていることが分かっているため、徐々にDMARCを導入する企業が増えているのも事実です。

現状として取引先がDMARCに対応していなくても、いずれは対応するかもしれません。その際には自社もDMARCに対応できるように、早めの導入を考えましょう。

ぴったりのメール配信システムを無料で診断する

DMARCを導入する際の注意点

DMARCを導入する際の注意点を知っておくことで、未然にトラブルを防げるかもしれません。運用する際の注意点について解説します。

SPFとDKIMの設定をしているか

DMARCを運用する際はSPFとDKIMの設定がきちんとできているか、送受信側がそれぞれ確認する必要があります。SPFとDKIMを設定していない場合、メールの送受信に問題が発生する可能性があるからです。

特にDKIMを使ったDMARCを導入する場合は、電子署名が設定されていないケースがあります。電子署名が設定されていないと、正規のメールだったとしてもDKIMの認証に失敗します。

また送信元がSPFのみに対応していた場合は、送信者と別の人がメールを転送した時になりすましと判断される可能性があります。

DMARCの能力を最大化させるためにも、SPFとDMARCが正常に設定できているかは大切なポイントです。

ぴったりのメール配信システムを無料で診断する

DMARCを活用して迷惑メール対策を

DMARCはSPFやDKIMではできなかった、処理の方法を指定することを可能にします。あらかじめポリシーを公開しておくことで、受信側はそのポリシーに沿って処理を行います。

DMARCには便利なレポーティング機能があり、随時受信側から認証結果を受け取ることや、認証に失敗した時の状況を把握することが可能です。

DMARCのメリットやデメリットを理解した上で、DMARCの導入を検討してみてはいかがでしょうか。

ぴったりのメール配信システムを無料で診断する