Defaults.Exposed › 修正 › DMARC(メールなりすまし対策)
DMARC(メールなりすまし対策) の直し方
DMARCは、あなたの会社の名前を偽るメールを実際にブロックするよう、世界中のメールプロバイダーに指示する唯一の設定です。SPFとDKIMは錠を確認し、DMARCは偽造が検査に失敗したとき何が起きるか—捨てる、印を付ける、通すか—を決めます。誤って設定すればドメインは完全に偽造可能、正しく設定すればなりすましは受信トレイで止まります。
あなたのビジネスにとっての結論: DMARCの強制がないと、犯罪者があなたの会社から来たようにそっくりなメールを—顧客・社員・取引先に向けて—送れ、それが迷惑メールではなく受信トレイに着地します。人々があなたの名前で詐欺に遭い、あなたを責めます。
これで失いかねないもの
- 詐欺師があなたの顧客に、『経理チームから』の本物そっくりの請求書を、自分の口座番号で送ります。顧客は支払います。あなたが知るのは数週間後、すでに支払った商品を催促されたときで—責任を負わされます。
- 偽の『至急の支払い』メールが、オーナーであるあなたから来たように見えて、あなた自身の経理担当に届きます。誰かが再確認する前にお金が送金され—犯罪者の口座に入ると、まず取り戻せません。
- 大口の見込み客のITチームが契約前にあなたのドメインをセキュリティチェックします。『メール未保護—なりすまし可能』と返ってきます。合格した競合に商談を失います。
- あなたのドメインがフィッシングの波に使われます。騙された顧客が怒りのレビューを残し、周りに警告します。評判の損害は攻撃を数か月超えて長引きます。
- あなたの本物のメールまで迷惑メール化され始めます。GoogleとYahooが、強制されたDMARCのないドメインをますます不信—今では時に拒否—するからです。
なぜ重要か。 メールは本当に誰が送ったかを証明するようには作られておらず、『差出人』アドレスの偽造は簡単です。DMARCは『偽物を検知できる』を『偽物がブロックされる』に変える唯一の制御で—誰があなたのブランドを名乗ってメールを送っているかを明らかにする日次レポートも与えます。大手のメールボックスプロバイダーは今や、欠けている・強制されていないDMARCポリシーをあなたに不利な信頼シグナルとして扱うので、これはあなた自身のメールが配信されるかにも影響します。
DMARCとは、平易に言うと
メールには暗い秘密があります。『差出人』の行は、ただ入力されたテキストです。誰でも、どこからでも、あなたの会社の名前とアドレスをメールの『差出人』欄に書いて送れます。インターネットは彼らを止めるようには決して設計されませんでした。
これを直す3つの設定が、合わせてあります。建物の警備のように考えてください:
- SPFは、誰が玄関ドアを通ってよいか(どのメールサービスがあなたを名乗って送ってよいか)のリストです。
- DKIMは、メッセージが転送中に変えられていないことを証明する改ざん防止の封印です。
- DMARCは、リストと封印を確認する警備員で—そして決定的に、一致しないとき何をするかを決めます。通すか、迷惑メールへ送るか、ドアで追い返すか。
リスト(SPF)と封印(DKIM)を持っていても、警備員がいないことはありえます。それが単一で最もよくある最も危険な状況です。錠は存在するが、それを強制するものが何もない。DMARCが強制です。 『このメールが偽物だと見分けられる』と『この偽メールが顧客に決して届かない』の違いです。
これが招きうる損失
理論ではありません。保護のないドメインが実在のお金と実在の損害に変わる具体的な形です:
-
偽請求書詐欺。 犯罪者があなたの顧客に、経理チームからの本物そっくりの請求書—同じ名前、同じドメイン、プロらしいレイアウト—を、自分の口座番号で送ります。あなたのドメインが強制されていないため、迷惑メールではなく受信トレイに着地します。顧客は支払います。あなたが気づくのは数週間後、注文品はどこかと尋ねられたときです。お金はたいてい消えており、顧客はしばしば情報漏えいについてあなたを責めます。
-
CEO詐欺の電信送金。 オーナーであるあなたから経理担当へメールが来たように見えます。『この支払いを至急通せる? 会議中なので』。それが本当にあなたのアドレス—ただ偽造されただけ—なので、完全に本物に見えます。支払いが出ていきます。このパターン—ビジネスメール詐欺(BEC)—は、まさにメールがあなた自身のドメインから本当に来るために疑いをまっすぐすり抜け、小規模ビジネスを襲う最も高くつく詐欺のひとつです。
-
失われた契約。 本格的な見込み客が契約前にセキュリティや調達のチェックを行います。彼らのツールがあなたのドメインを『なりすまし可能—メール認証の強制なし』と報告します。その赤い旗ひとつが、合格した競合に契約を与えるのに十分なことがあります。本当の理由を一度も聞かされません。
-
取り消せない評判の打撃。 あなたのドメインがフィッシングキャンペーンに巻き込まれます。あなたの名前で騙された何十人もが警告やレビューを投稿します。攻撃は1週間続き、『この会社は安全なのか?』という問いは数か月長引きます。
-
自分のメールが迷惑メールへ。 GoogleとYahooは今や、強制されたDMARCのないドメインを積極的に不信します。あなたが本当に送った見積書・請求書・返信が静かに迷惑メールフォルダに着地し始めます。商談が止まり、理由がわかりません。
これの実体(と『良い』状態)
DMARCは、ドメインの設定に1行のテキストとして存在します—特別な名前_dmarc.yourdomainに公開されるDNS『TXT』レコードです。中にはいくつかの短い指示があります。最も重要なのは2つで、まさにこの評価が検査する2つです。
1. ポリシー(p=)— 警備員の命令。 これが検査の重く比重を置く部分です。3つのうちひとつになりえます:
p=none— 監視のみ。 警備員は誰が通ったか記録しますが、誰も止めません。これは何からも守りません。監視段階であって完成した構成ではありません。(当社のエンジンはこれを不合格として採点します—DMARCがまったくないよりは良いが、保護ではありません。)p=quarantine— 偽物を迷惑メールへ送る。 本物の保護ですが、決意した攻撃者は人々が迷惑メールフォルダを確認することに賭けています。手堅い踏み石—おおよそ半分の点を得ます。p=reject— 偽物をドアで拒否する。 偽造メールは決して配信されません。あなたを完全に守り満点を得る唯一の設定です。
『良い』状態とは:p=reject。 それ未満はギャップを残します。
検査が見るもう2つの技術的な詳細も、引っかからないよう知っておく価値があります:
- サブドメインポリシー(
sp=)。 主ドメインに強いポリシーを設定しつつ、サブドメイン(mail.yourdomainやnews.yourdomainなど)を誤って開けっ放しにしうります。当社のエンジンはこれを厳しく減点します—p=rejectでもsp=noneのドメインは、攻撃者が単にサブドメインを偽造するため、強制がほぼないのに近いところまで下げられます。良い習慣は、spに強い主ポリシーを継承させるか、明示的にrejectに設定することです。 - 割合(
pct=)。 慎重な展開中、強制をメールの一部(例:pct=25)にだけ適用できます。それは正当な移行ツールですが、部分的な展開は部分的な保護しか与えず、当社のスコアはそれを反映します—25%から100%へ移るにつれ着実に上がりますが、満点には完全なカバーが必要です。
2. レポートアドレス(rua=)— あなたの可視性。 これがこのページの2つ目の検査です。rua=タグは、世界中のすべてのメールプロバイダーに、あなたのドメインを名乗って送ろうとした者—あなた自身のシステムとなりすまし犯—の日次サマリーを送るよう求めます。これがないと、あなたは盲目で飛んでいます。誰があなたの名前を悪用しているか見当もつきません。これがあれば、企業は初日に5〜50の無許可の送信元を日常的に見つけます。
レポートの『良い』状態とは:実際にレポートを受け取る有効なrua=mailto:アドレス(またはレポートサービスのhttps:URL)。当社の検査は形式を検証します—入力ミスや不正な形式のアドレスはレポートが静かにどこにも行かないことを意味し、タグが技術的に『存在』していても部分的または失敗の結果として採点されます。
修正方法(無料・2週間にわたり約30分)
ドメイン・ウェブサイト・ITを管理する人にこの項を渡してください。修正は完全に無料です。 当社が料金をいただくのは、それが正しい状態を保ち続けているか監視する場合、複数ドメインのポートフォリオを管理する場合、監査の場合のみです。変更そのものには費用がかかりません。
黄金律:決していきなりrejectへ飛ばないこと。 まず監視をオンにし、レポートを見守り、本物のメールが認識されることを確認し、それから締める。この順序なら安全、急ぐと自分のメールを迷惑メール化しかねません。
ステップ1 — まずSPFとDKIMが整っていることを確認する。 DMARCはそれらに依存します。どちらかが欠けていれば、DMARCを強制する前に整えてください(SPFとDKIMのページ参照)。
ステップ2 — レポートをオンにした監視レコードを公開する。 DNS TXTレコードを追加:
- ホスト/名前:
_dmarc.yourdomain(DNSプロバイダーによっては単に_dmarcと表示) - 種類: TXT
- 値:
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s
これはまだ何もブロックせず監視・報告します。adkim=s; aspf=sの部分は厳密な整合を求めます—不安なら最初は外し、メールがきれいだと確認したら加えてください。
ステップ3 — 約2週間レポートを読む。 生のDMARCレポートは密なXMLです。無料のレポートサービス(例えばdmarcianやPostmarkの無料DMARCツール)で読みやすいダッシュボードに変えます。すべての正規の送信元—メールボックスプロバイダー、ニュースレターツール、CRM、ヘルプデスク、請求書アプリ—が合格していることを確認します。合格していない本物の送信元があれば直します。
ステップ4 — quarantineへ移る。 本物のメールがきれいになったら、p=noneをp=quarantineに変えます。さらに数日見守ります。
ステップ5 — rejectへ移る。 最後にp=quarantineをp=rejectに変えます。これで完全に保護されています。最終的なレコードはこうなります:
v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s
ステップ6 — サブドメインを忘れない。 sp=noneを残していないことを確認します。spをまったく公開しなければ、サブドメインは主のp=ポリシーを継承します—それが望むものです。
一般的なプラットフォーム別の注記:
- Google Workspace / Microsoft 365: どちらもDMARCを完全にサポートします。DMARCレコード自体はGoogleやMicrosoftの管理画面ではなく、あなたのDNSプロバイダーに入ります—まず管理画面でSPFとDKIMが有効か確認し、それからレジストラ/DNSホストでDMARC TXTレコードを公開します。
- Cloudflare: DNS > Records > Add record > TXT、名前
_dmarc、値を貼り付け。Cloudflareはこれを設定しレポートを集めてくれる内蔵のDMARC管理も提供します。 - 一般的なホスト/レジストラ(Blacknight、GoDaddyなど): 『DNS』『DNS Zone』『Advanced DNS』を探し、名前
_dmarcと上の値でTXTレコードを追加します。伝播はたいてい数分から1時間です。
よくある間違い
p=noneで止まる。 圧倒的に最もよくある誤り。監視は始まりであって終わりではありません—noneで止まったドメインは依然として完全に偽造可能です。当社のエンジンはまさにこの理由で不合格として採点します。- 監視せずいきなり
rejectへ飛ぶ。 逆の誤りです。レポート段階なしでは、正規の送信元(しばしばニュースレターや請求書ツール)が整合していないことに気づかず—自分のメールをブロックし始めます。 - サブドメインポリシーを忘れる。
sp=noneの強いp=rejectは横のドアを大きく開けたままにします。攻撃者は単にサブドメインを偽造します。 - 壊れたレポートアドレス。 入力ミスの
rua=(やmailto:接頭辞のないもの)はレポートがどこにも行かないことを意味し、気づかぬまま盲目のままです。形式は有効なmailto:またはhttps:のURIでなければ、レポートは決して配信されません。 - 『メールを送らないから飛ばす』。 非送信ドメインは、まさに誰も見ていないために格好の標的です。厳格な
rejectポリシーを公開し、完全に締め切りましょう。
採点についての注記
ポリシーの検査(p=)は、評価全体で最も重く比重を置く項目のひとつです—あなたのビジネスがなりすまされうるかの単一で最大の要因だからです。rejectは満点を得、quarantineはおおよそ半分を得、noneと欠けているレコードは不合格として採点されます。より弱いサブドメインポリシーや部分的なpct=展開は、実際に持っている保護の本当のレベルに合わせてスコアを下げます。
レポートの検査(rua=)も相応の比重を持ちますが、チェックする欄というより、rejectに安全に到達できるようにするツールと考えてください。監視レコードと同時に設定すれば、初日の可視性で元が取れます。
ご利用のホストで設定する
主要な事業者向けのステップ別ガイド:
- GoDaddy で DMARC を設定する
- Namecheap で DMARC を設定する
- Cloudflare で DMARC を設定する
- Google Workspace で DMARC を設定する
- Microsoft 365 で DMARC を設定する
- Squarespace で DMARC を設定する
- Wix で DMARC を設定する
- AWS Route 53 で DMARC を設定する
- Hostinger で DMARC を設定する
- Porkbun で DMARC を設定する
- IONOS で DMARC を設定する
- Bluehost で DMARC を設定する
よくある質問
まったく技術に詳しくありません。本当に自分で対応できますか?
はい、でも個人的にやる必要はありません。修正はドメインの設定に数行を追加するもので、無料です。最も単純な道は、下の『修正方法』の項を、ウェブサイトやITサポートを運用する人に転送することです。たいてい1時間とかからず、数週間の安全な監視に分けて行われます。
DMARCをオンにすると、自分のメールが届かなくなりませんか?
なりえます—でも安全な展開を飛ばした場合だけです。レポートをオンにした『監視のみ』(p=none)で始める目的は、ブロックに切り替える*前に*、すべての正規の送信元(メールボックス、ニュースレターツール、請求書アプリ)が正しく認識されることを2週間見守って確認することです。この順序で行えば、本物のメールは影響を受けません。レポートを確認せずにいきなり『reject』へ急ぐのが、配信を壊す唯一のよくある誤りです。
すでにSPFとDKIMを設定しています。これで十分では?
いいえ—これが理解すべき最重要点です。SPFとDKIMは錠で、DMARCは『錠が一致しなければメールを拒否せよ』と言う指示です。『reject』のDMARCがないと、受信サーバーはメールが偽造だと気づいてもなお配信しうります。SPFとDKIMはDMARCが機能するための前提条件ですが、それ単独では偽造メールが受信トレイに届くのを止めません。
『none』『quarantine』『reject』の違いは?どれが必要ですか?
『none』は監視・報告するだけ—何も止めないので守りません。『quarantine』は偽造を迷惑メールフォルダへ送ります。『reject』はきっぱり拒否し、届きません。『reject』が目標で、満点を得る唯一の設定です。『quarantine』は妥当な踏み石、『none』は最初の2週間の出発点であって目的地ではありません。
この『rua』レポートとは何で、必要ですか?
ruaタグは、あなたのドメインを名乗ってメールを送ろうとしたすべてのシステム—犯罪者を含む—の日次サマリーを送るようメールプロバイダーに求めます。これが、初日に通常あるドメインを悪用している5〜50の無許可の送信元を企業が見つける手段です。それ自体はポリシーより比重が軽いですが、本物のメールを壊さず『reject』へ安全に移る手段なので、同時に設定してください。
ほとんどメールを送りません、あるいはこのドメインからまったく送りません。それでもDMARCは必要ですか?
特にそうです。本物のメールをほとんど・まったく送らないドメインは、誰も見ていないので、犯罪者がなりすますのに完璧で雑音の少ない標的です。決してメールを送らないドメインは、厳格なrejectポリシーを公開すべきです—扉を完全に閉ざす、きれいで低リスクの勝ちです。