Defaults.Exposed › 設定 › DMARC

Microsoft 365 で DMARC を設定する方法

DNS で DMARC レコードを追加し、SPF と DKIM のチェックに失敗したメールを受信側がどう扱うべきかを指示します。

これがビジネスにとって重要な理由

DMARC は SPF と DKIM を結びつける方針です。あなたのドメインを名乗るメールがそれらのチェックに失敗したとき、受信側のメールサーバーがどうすべきか（無視する、迷惑メールに送る、完全に拒否する）を指示します。さらに、誰があなたとしてメールを送っている（そして偽造している）かを示すレポートをメールで送ってくれます。平たく言えば、DMARC こそが、犯罪者があなたのドメインになりすましてお客様や従業員をだますのを実際に止めるものです。無料で、SPF と DKIM を「あれば良いもの」から実際の保護へと変えます。

先に SPF と DKIM を行う

DMARC は SPF と DKIM に依存します。DMARC の前か、同時に設定してください。SPF/DKIM が機能していない状態で DMARC レコードだけを置くと、自分の正規のメールがブロックされることがあります。穏やかに始め（下の方針の注記を参照）、時間をかけて引き締めます。

重要：これはどこで行うのか

SPF と同様、DMARC は Microsoft 365 内の設定ではなく、DNS レコード です。Microsoft 365 はあなたのメールプラットフォーム（メールボックスを運用するもの）ですが、DMARC レコードは、ドメインの DNS が存在する場所、すなわちレジストラ、ウェブホスト、Cloudflare、またはネームサーバーを管理している会社で追加します。Microsoft に DNS を管理させている場合は、Microsoft 365 管理センター → 設定 → ドメイン → DNS レコード で追加します。そうでない場合は、DNS ホストで追加します。Microsoft 内に別個の「DMARC スイッチ」はありません。Microsoft の役割は単に、（別途設定する）機能している SPF と DKIM が DMARC の拠り所になる、という点です。

まず：どの会社が DNS を運用しているか

DMARC レコードが機能するのは、ドメインの ネームサーバー が指す場所に追加した場合だけです。分からない場合は、レジストラアカウントの Nameservers セクションを確認するか、ウェブサイトを設定した担当者に尋ねてください。レコードは その 会社の DNS 設定（DNS / Records / Advanced DNS を探します）に追加します。

追加するもの

特別なホスト名 _dmarc に置く TXT レコード 1 つです。

何もブロックせず監視だけを行う、安全な開始値は次のとおりです。

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = 監視のみ。まだ何もブロックされません。最初の数週間に適しています。
• rua=mailto:... = 集計レポートの送信先。実際に確認する実在のメールボックスを使ってください。
• レポートと無料チェックで正規のメールが合格していることを確認したら、方針を p=quarantine（失敗を迷惑メールへ）、後に p=reject（失敗を完全に拒否）へと引き締められます。Microsoft は、自信がついたら p=reject を目指すことを推奨しています。

手順

1. DNS ホスト（レジストラ、ウェブホスト、または DNS プロバイダー。Microsoft が DNS を運用している場合は Microsoft 365 管理センター）にサインインします。
2. 自社ドメインの DNS settings を開きます（DNS / Records / Advanced DNS を探します）。
3. 新しいレコードを追加し、TXT を選びます。
4. Name / Host フィールドに、正確に _dmarc（先頭のアンダースコア付き）を入力します。_dmarc.yourdomain.com と入力 しないで ください。DNS ホストが自動でドメインを付加します。
5. Value フィールドに DMARC 文字列を貼り付けます。例：v=DMARC1; p=none; rua=mailto:[email protected]（メールアドレスは、監視する実在のアドレスに置き換えます）。
6. TTL は既定値のままにします。
7. 保存します。

よくある間違い

• メールボックスの設定ではありません。 Microsoft 365 の設定の中で「DMARC」を探す人がいますが、トグルとしてそこにはありません。DMARC は DNS に属します。
• ホスト名はアンダースコア付きの _dmarc です。 アンダースコアを省いたり、後ろに完全なドメインを付けたりすると、レコードが誤った場所に置かれ、DMARC が見つかりません。
• 引用符に注意します。 値は素のまま貼り付けます。ほとんどの DNS ホストが引用符を付けてくれます。自分で "..." で囲まないでください。
• DMARC レコードは 1 つだけです。 _dmarc の TXT レコードはちょうど 1 つであるべきです。すでに存在する場合は、2 つ目を追加せず編集してください。
• p=none から始めます。 SPF/DKIM が堅固になる前にいきなり p=reject に飛ぶと、自分の請求書や見積もりがブロックされることがあります。まず監視し、後で引き締めます。
• 実在するレポート用メールボックスを使います。 rua のアドレスは、実際に受信できるものでなければなりません。
• 時間を見込みます。 DNS の変更はあらゆる場所で反映されるまで数分から数時間かかることがあります。

設定できたか確認する

保存したら、Defaults.Exposed の無料チェックで DMARC レコードが有効かつ妥当であることを確認してください。ドメインを入力すると、DMARC が正しく設定されているか、次に何をすべきかを分かりやすい言葉で教えてくれます。データは EU 内で処理されます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。