メールセキュリティ強化可能の最終段階であるDMARCは、メールスプーフィングを利用したフィッシング、詐欺などを防ぐためのドメインベースメッセージ認証に対する報告および遵守ポリシーです。
受信サーバーは、送信者アドレス(From)
ドメインのDNSでDMARCレコードを照会します。DMARCレコードに定義されたポリシーに従って、受信サーバーは受信したメールを認証します。DMARCポリシーは、SPFとDKIMを使用するかどうか、それぞれの認証手段が失敗したときのメール処理方法はどうなるかで構成されています。
一部のメールサービス(ex. GmailやYahooなど)は、DMARCを適用しない場合、スパムメールとして認識し、送信をブロックします。メール送信間の高いメール到達率のためには、DMARCレコードを使用することを推奨します。
DMARC DNSレコードは'_dmarc.example.com'のように、DMARCを適用する送信ドメインに'_dmarc'を付けたサブドメインDNSにレコードを登録します。
以下はDMARC DNSレコードの例です。
"v=DMARC1;p=none;sp=quarantine;pct=100;rua=mailto:dmarcreports@example.com;"
DMARCレコードに使われる値について説明します。詳細はRFC 7489をご覧ください。
区分 | 必須かどうか | 値 | 説明 |
---|---|---|---|
v | 必須 | DMARC1 (固定) | バージョンです。 |
p | 必須 | none, quarantine, reject | 失敗時の処理ポリシーです。 |
sp | 任意 | none, quarantine, reject | サブドメインに対する失敗処理ポリシーです。 |
pct | 任意 | 0~100 (デフォルト値100) | ポリシーを適用するメールの割合です。例えば、50の場合、受信したメールの半分がDMARCポリシーによって認証されます。 |
adkim | 任意 | s, r (デフォルト値) | DKIM アライメント (Alignment). DKIM-Signatureのドメイン(d)とFrom (5322.From)の一致水準についての設定です。 |
aspf | 任意 | s, r (デフォルト値) | SPF アライメント (Alignment). SPF認証時のMAIL FROM (5321.From)とFrom (5322.From)の一致水準についての設定です。 |
rua | 任意 | 定期的に集計した失敗レポートを受信するアドレスです。 例:mailto:demarc-report@nhncloud.com | |
ruf | 任意 | 失敗レポートを受信するアドレスです。例:mailto:demarc-report@nhncloud.com | |
fo | 任意 | 0 (デフォルト値), 1, d, s | 失敗レポート(ruf)を作成する基準です。 |
rf | 任意 | afrf (固定) | 失敗レポート(ruf)形式についての設定です。 |
ri | 任意 | 86400 (単位秒、デフォルト値) | 失敗を集計する期間です。設定された周期ごとに失敗レポート(rua)が送信されます。 |
失敗ポリシー | 説明 |
---|---|
none | 受信サーバーで失敗に対して何も処理しないようにします。SPF、DKIMを使用していない状況で設定できます。 |
quarantine | 受信サーバーは失敗したメールをスパムとして処理することを望みます。 |
reject | 受信サーバーでDMARC失敗が発生したメールを返送します。一般的に、送信サーバーと受信サーバーがSMTP通信時にDSN(Delivery Status Notification)レスポンスで行われることを好むポリシーです。 |
ポリシー | 説明 |
---|---|
s | 厳格(Strict)です。ドメイン部分が完全に一致する必要があります。 |
r | 柔軟(Relexed)です。サブドメインも可能です。例えば'd=example.com'の場合、'From: news.example.com'通過 |
基準 | 説明 |
---|---|
0 | SPF、DKIMの両方が失敗したときに報告します。 |
1 | SPF、DKIMnoいずれかが失敗したときに報告します。 |
d | DKIM認証に失敗した場合に報告します。 |
s | SPF認証に失敗した場合に報告します。 |
"v=DMARC1; p=none; fo=1; rua=mailto:${レポートを_受信する_アドレス}"
RFC 7489 文書を参考にする場合、一部の受信サーバーでSPFをDMARC検証ロジックを先に実装できます。この時、SPFレコードに -all のような -接頭辞がある場合、DMARC認証に失敗することがあります。一部の受信サーバーでDMARC認証に失敗する場合、SPFレコードに -all のような -接頭辞を削除してDMARC認証を再試行してください。
DMARCで注意すべき点は、受信サーバーがDMARCポリシーに合わせて処理することを完全に保証しないということです。 DMARCは送信サーバーが受信サーバーにポリシーを提案するレベルで理解する必要があります。 例えば、失敗ポリシーを「none」に設定しても、受信サーバーは認証に失敗したメールをスパムとして処理することがあります。
NHN CloudではRFC 7489 文書に従ってDMARC検証を行います。一部の受信サーバーでメールの受信が失敗する場合は、サポート > 1:1お問い合わせからお問い合わせください。