新しい送信ドメイン認証のDMARCは、SPFやDKIMと組み合わせることを前提としている。SPF/DKIMとDMARCを組み合わせた場合、まずはSPFとDKIMで検証する。
SPFとDKIMの両方で認証に失敗した場合、なりすましメールの可能性があるとして、DMARCポリシーに従って処理する。
どちらか一方、あるいは両方で認証に成功した場合には、DMARC認証に進む。SPFあるいはDKIMで正しいとされた送信元ドメインと、送信者アドレスのドメインを比較し、一致すれば認証に成功したとして宛先ユーザーにメールを配信する。SPFとDKIMの両方の認証に成功したとしても、DMARCの認証に失敗した場合には、認証失敗とする。
DMARCに対応するのは容易
送信側でDMARCに対応するには、SPFと同様に、自社ドメインのDNSサーバーにTXTレコードを追加▼するだけでよい。
TXTレコードの冒頭には、自社ドメインに「_dmarc」を付けた文字列を置き、DMARCのバージョン(現在はバージョン1)、認証に失敗した場合のポリシー、レポートの送信先アドレスを記述する。
あるドメインがDMARCに対応しているかどうかは、nslookupコマンド▼などを使えば調べられる▼。
受信側でDMARCに対応するには、メールサーバーに手を加える必要がある。SPFやDKIMと同様に、SendmailなどのメールサーバーソフトをDMARCに対応させるOSSのソフトウエア▼が公開されている。また、商用のメールサーバーソフトの多くは、DMARCの機能を備えている。
メールのクラウドサービスも同様だ。SPFやDKIMと同じように、設定変更でDMARCの送受信に対応できる場合が多い。例えばOffice 365では、DMARCに対応するための設定をサポートページ▼で紹介している。
前述のように、DMARCでは受信側からレポートが送られてくる。レポートはXML形式でフォーマットは決まっている▼。解析用のツール▼もあるので自社で解析可能だ。ただ、クラウドベースの解析サービス▼を利用すると手間がかからない。国内ではTwoFive、国外では米アガリ▼や米ディーマーシャン▼などが提供している。
メリットの多いDMARCだが、普及はこれから。IIJの調査によると、DMARCレコードをDNSサーバーに登録している企業・団体は10%強だという。
DMARCのために登録したTXTレコードはDMARCレコードとも呼ばれる。
Windowsではnslookupコマンド、UNIXやLinuxではdigコマンドを使う。
SPFやDKIMのTXTレコードも同様に調べられる。
「DMARC.org」のWebサイト(https://dmarc.org/resources/code-and-libraries/)で紹介している。OpenDMARCが代表的。
例えば、「DMARCを使用してOffice 365でメールを検証する」(https://technet.microsoft.com/library/mt734386.aspx)。
DMARCの仕様はRFC 7489(https://tools.ietf.org/html/rfc7489)などにまとめられている。
「DMARC.org」のWebサイト(https://dmarc.org/resources/code-and-libraries/)で紹介している。
TwoFiveによると、料金はメールの送信量によって異なるという。ダイレクトメールを送信する企業なら高額になる。取引先との連絡ぐらいにしかインターネットメールを使っていない一般的な企業なら、1ドメイン、1カ月で1万円程度。国外のサービスも同程度だという。
URLは、https://www.agari.com/。
URLは、https://dmarcian.com/。