新しい送信ドメイン認証のDMARCは、SPFやDKIMと組み合わせることを前提としている。SPF/DKIMとDMARCを組み合わせた場合、まずはSPFとDKIMで検証する。

複数の認証を組み合わせた場合の成否判定
複数の認証を組み合わせた場合の成否判定
SPF/DKIMおよびDMARCを組み合わせた場合、 SPFとDKIMの両方が認証をパスしてもDMARC認証に失敗した場合は、送信ドメイン認証に失敗したとして、DMARCポリシーに基づいて処理する。
[画像のクリックで拡大表示]

 SPFとDKIMの両方で認証に失敗した場合、なりすましメールの可能性があるとして、DMARCポリシーに従って処理する。

 どちらか一方、あるいは両方で認証に成功した場合には、DMARC認証に進む。SPFあるいはDKIMで正しいとされた送信元ドメインと、送信者アドレスのドメインを比較し、一致すれば認証に成功したとして宛先ユーザーにメールを配信する。SPFとDKIMの両方の認証に成功したとしても、DMARCの認証に失敗した場合には、認証失敗とする。

DMARCに対応するのは容易

 送信側でDMARCに対応するには、SPFと同様に、自社ドメインのDNSサーバーにTXTレコードを追加するだけでよい。

DMARCの設定方法
DMARCの設定方法
SPF/DKIMと同様に、自ドメインのDNSサーバーにTXTレコード形式で登録する。DMARCのバージョン「v=DMARC1」、受信側がSPFあるいはDKIMの認証に失敗した場合の処理(ポリシー)、集計レポートの送付先「rua」、認証失敗レポートの送付先「ruf」などを指定する。
[画像のクリックで拡大表示]

 TXTレコードの冒頭には、自社ドメインに「_dmarc」を付けた文字列を置き、DMARCのバージョン(現在はバージョン1)、認証に失敗した場合のポリシー、レポートの送信先アドレスを記述する。

 あるドメインがDMARCに対応しているかどうかは、nslookupコマンドなどを使えば調べられる

nslookupでDMARCレコードを調べられる
nslookupでDMARCレコードを調べられる
DNSレコードを調べるnslookupやdigといったコマンドを使えば、任意のドメインのDMARCレコードを表示できる。同様の方法で、SPFレコードやDKIMレコードも調べられる。
[画像のクリックで拡大表示]

 受信側でDMARCに対応するには、メールサーバーに手を加える必要がある。SPFやDKIMと同様に、SendmailなどのメールサーバーソフトをDMARCに対応させるOSSのソフトウエアが公開されている。また、商用のメールサーバーソフトの多くは、DMARCの機能を備えている。

 メールのクラウドサービスも同様だ。SPFやDKIMと同じように、設定変更でDMARCの送受信に対応できる場合が多い。例えばOffice 365では、DMARCに対応するための設定をサポートページで紹介している。

 前述のように、DMARCでは受信側からレポートが送られてくる。レポートはXML形式でフォーマットは決まっている。解析用のツールもあるので自社で解析可能だ。ただ、クラウドベースの解析サービスを利用すると手間がかからない。国内ではTwoFive、国外では米アガリや米ディーマーシャンなどが提供している。

 メリットの多いDMARCだが、普及はこれから。IIJの調査によると、DMARCレコードをDNSサーバーに登録している企業・団体は10%強だという。

▼TXTレコードを追加
DMARCのために登録したTXTレコードはDMARCレコードとも呼ばれる。
▼nslookupコマンド
Windowsではnslookupコマンド、UNIXやLinuxではdigコマンドを使う。
▼調べられる
SPFやDKIMのTXTレコードも同様に調べられる。
▼OSSのソフトウエア
「DMARC.org」のWebサイト(https://dmarc.org/resources/code-and-libraries/)で紹介している。OpenDMARCが代表的。
▼サポートページ
例えば、「DMARCを使用してOffice 365でメールを検証する」(https://technet.microsoft.com/library/mt734386.aspx)。
▼フォーマットは決まっている
DMARCの仕様はRFC 7489(https://tools.ietf.org/html/rfc7489)などにまとめられている。
▼解析用のツール
「DMARC.org」のWebサイト(https://dmarc.org/resources/code-and-libraries/)で紹介している。
▼解析サービス
TwoFiveによると、料金はメールの送信量によって異なるという。ダイレクトメールを送信する企業なら高額になる。取引先との連絡ぐらいにしかインターネットメールを使っていない一般的な企業なら、1ドメイン、1カ月で1万円程度。国外のサービスも同程度だという。
▼米アガリ
URLは、https://www.agari.com/。
▼米ディーマーシャン
URLは、https://dmarcian.com/。