DMARCとは

DMARC(Domain-based Message Authentication, Reporting, and Conformance/ディーマークの略)とは、SPFとDKIMの両方を利用した「送信ドメイン認証技術」である。

DMARCは、SPFDKIMの認証結果を基に、認証に失敗した時の処理をどのようにするか「DMARCポリシー」として「何もしない/隔離する/拒否する」のいずれかを定義しておくことができ、「DMARCポリシー」を参照して受信メールを扱うことにより、なりすましメールを排除することができる。

(補足)
DMARCでは、SPFとDKIM双方の認証結果を評価し、第三者によるなりすましの検出を行うことで、メールの安全性を高める。受信側のメールサーバによってDMARC認証に失敗する場合や、大量配信なのにDMARC設定がない場合は、迷惑メールとして扱われる可能性が高くなるため、メール配信機能を持つサービスを利用する場合は、「SPF」「DKIM」「DMARC」の対応を推奨する。

DMARC概要図

DMARCでできること

  1. アライメント対応による認証強化

    差出人メールアドレスのドメイン(ヘッダーFrom)が、メールサーバのドメイン(envelopeFrom)またはDKIM署名のドメインと一致しない場合、DMARC認証に失敗するため、SPFやDKIMでは防げない方式のなりすましにも対応できる。

  2. DMARC認証に失敗したメールの挙動を定められる(DMARCポリシー)

    • 何もしない
      受信サーバは認証に失敗したメールに何も特別な処理をせず、受信者へ配信する。

    • 隔離する
      受信サーバは認証に失敗したメールを隔離する。たとえば受信者の迷惑メールフォルダや検疫フォルダなどに送信する。

    • 拒否する
      受信サーバは認証に失敗したメールの受け取りを拒否し、受信者には配信しない。

  3. 受信サーバから認証結果のレポートを受け取れる(DMARCレポート)

    送られてくるレポートには以下が含まれている。

    • メールの送信元IPアドレス
    • SPFおよびDKIMの認証結果(合格したのか失敗したのか)
    • DMARC 認証に合格・失敗したメールの数

    これらの情報を基に、正当なメールの認証に失敗していれば改善し、合格するようになれば、DMARCポリシーを隔離や拒否に更新することで、なりすましメールを防ぐことが可能となる。

DMARCに関するブログ記事