Defaults.Exposed › 設定 › DMARC

Cloudflare で DMARC を設定する方法

Cloudflare で DMARC レコードを追加し、チェックに失敗したメールをメールプロバイダーがどう扱うべきかを指示します。

これがビジネスにとって重要な理由

DMARC は SPF と DKIM を結びつけ、欠けていた指示を加えます。すなわち、あなたを名乗るメールがチェックに失敗したとき、受信側のメールプロバイダーは何をすべきか です。DMARC がなければ、各プロバイダーは推測で対応します。DMARC があれば、あなたが決められます。さらに、誰があなたの名前でメールを送っているかを示すレポートを送ってもらうよう依頼できます。

平たく言えば、DMARC こそが、犯罪者があなたのドメインを偽装してお客様や従業員をだますのを実際に止めるものです。SPF と DKIM が提供する錠前の上に乗る方針です。無料で、数分かける価値が十分にあります。

先に SPF と DKIM を設定する

DMARC は SPF と DKIM の結果をチェックすることで機能します。まだ追加していない場合は、先にそれらを設定してください。下に何もない DMARC 方針は、適用する対象を持ちません。

まず Cloudflare が DNS を運用しているか確認する

他の DNS レコードと同様、これが機能するのは、Cloudflare があなたのドメインの DNS に応答している場合だけです。Cloudflare はあなたの DNS ホストであり、メールボックスのプロバイダーではありません。その DNS が有効になるのは、ドメインの ネームサーバー がダッシュボードに表示される Cloudflare のネームサーバーを指している場合のみです。Cloudflare で自社ドメインを開き、Overview（概要）ページで Cloudflare が有効になっていることを確認してください。ネームサーバーが別の場所を指している場合は、実際に DNS を運用しているプロバイダー側で DMARC レコードを追加してください。

Cloudflare での手順

1. Cloudflare にサインインし、自社ドメインを選択します。
2. 左側のメニューで DNS 設定に移動します（DNS / Records を探します）。
3. Add record（レコードを追加）をクリックします。
4. Type（種類）を TXT に設定します。
5. Name（名前）フィールドに、正確に次を入力します。 _dmarc 後ろにドメイン名を入力 しないで ください。Cloudflare が自動でドメインを付加します。
6. Content フィールドには、まず監視のみの方針から穏やかに始めます。 v=DMARC1; p=none; rua=mailto:[email protected] アドレスは実際に確認できるメールボックスに置き換えてください。これは、メールの扱いをまだ変えずに、プロバイダーに集計レポートを送ってもらうよう依頼するものです。
7. TTL は Auto のままにします。
8. Save（保存）をクリックします。

方針の選び方（p= の部分）

• p=none — 監視のみ。何もブロックされず、レポートを受け取るだけ。ここから始めます。
• p=quarantine — 失敗したメールを迷惑メール/スパムに送る。
• p=reject — 失敗したメールを完全に拒否する（最も強力な保護）。

p=none を数週間運用し、レポートを読んで正規のメールがすべて合格していることを確認してから、quarantine、最終的に reject へと引き上げます。レポートを確認する前にいきなり reject に飛ぶと、自分の正規のメールをブロックしてしまうおそれがあります。

Cloudflare でよくある間違い

• Name はアンダースコア付きの _dmarc です。 よくある間違いは、アンダースコアを省くことや、_dmarc.yourdomain.com と入力することです。Cloudflare では _dmarc だけを入力します。先頭のアンダースコアは必須です。省かないでください。
• 自分で引用符を付けないでください。 v=DMARC1; で始まる素の値を貼り付けます。引用符は Cloudflare が自動で付けます。手動の " はレコードを壊すことがあります。
• DMARC レコードは 1 つだけです。 SPF と同様、DMARC TXT レコードは 1 つでなければなりません。すでに存在する場合は、2 つ目を追加せず編集してください。
• TXT レコードにプロキシはありません。 DMARC は TXT レコードに置かれ、これは決してプロキシされません。ここでオレンジ/グレーのクラウド切り替えを気にする必要はありません。
• 実在するレポート用メールボックスを使います。 rua=mailto: の後のアドレスは、実際に確認するものでなければ、レポートが無駄になります。同じドメインでも別のドメインでも構いません。
• 反映には時間を見込みます。 DNS の変更は反映まで数分から数時間かかることがあります。

設定できたか確認する

保存して反映されたら、このサイトの無料チェックを実行してください。DMARC レコードが設定されているか、どんな方針を設定したかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。