DMARCレポートで偽装防止

• DMARCポリシーの概要
• p=none / p=quarantine / p=reject の違い
• レポートとRUA・RUFの設定
• pct とアライメントの調整
• ドメイン認証の実装手順

DMARCポリシーの概要

メールセキュリティを強化するために、ドメイン所有者はDMARC（Domain-based Message Authentication, Reporting & Conformance）ポリシーを設定します。DMARCはSPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）を組み合わせ、受信サーバーが送信元ドメインを検証できるようにします。ポリシーは「p=none」「p=quarantine」「p=reject」の3種類があり、メールの扱い方を制御します。

p=none / p=quarantine / p=reject の違い

各ポリシーは以下のように動作します。

• p=none：検証に失敗したメールは受信箱に届きますが、レポートが送信されます。運用開始時に影響を最小限に抑えるために使用します。
• p=quarantine：検証に失敗したメールは迷惑メールフォルダへ振り分けられます。ユーザーが確認できるようにしつつ、リスクを低減します。
• p=reject：検証に失敗したメールは受信サーバーで拒否され、送信者に戻ります。最も強力な保護を提供しますが、誤検証のリスクがあるため慎重に設定します。

ポリシーは _dmarc.example.com のTXTレコードに次のように記述します。

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; pct=100; adkim=s; aspf=s

レポートとRUA・RUF の設定

DMARCは検証結果をレポートとして送信します。レポートは2種類あります。

• RUA（Aggregate Report）：メールの統計情報をまとめたレポート。rua=mailto:aggregate@example.com で指定します。
• RUF（Forensic Report）：失敗したメールの詳細を送信。ruf=mailto:forensic@example.com で指定します。

レポートはXML形式で送信され、メールセキュリティの監査や改善に役立ちます。

pct とアライメントの調整

pct はポリシーを適用するメールの割合をパーセンテージで指定します。例えば pct=50 とすると、検証に失敗したメールの半分だけがポリシーの対象になります。段階的にポリシーを強化したい場合に便利です。

アライメントは SPF と DKIM の検証結果が「From」ヘッダーと一致するかどうかを決定します。adkim と aspf で strict（s）か relaxed（r）かを設定します。

adkim=s; aspf=r

strict アライメントはドメインが完全に一致する必要があります。relaxed アライメントはサブドメインも許容します。

ドメイン認証の実装手順

DMARCを有効にするには、まず SPF と DKIM を設定します。以下は一般的な手順です。

1. SPF レコードを追加：v=spf1 include:_spf.google.com ~all
2. DKIM キーを生成し、公開鍵を DNS TXT レコードに追加。
3. DMARC TXT レコードを作成し、ポリシーとレポート先を設定。
4. レポートを受信し、検証結果を分析。必要に応じて pct やアライメントを調整。
5. 段階的に p=quarantine へ移行し、最終的に p=reject を適用。

これらの設定を行うことで、メールセキュリティを大幅に向上させ、なりすましやフィッシング攻撃から組織を守ることができます。

この記事はAIによって作成されました。