Defaults.Exposed › 設定 › DMARC

AWS Route 53 で DMARC を設定する方法

Route 53 のホストゾーンで DMARC レコードを追加し、チェックに失敗したメールをメールプロバイダーがどう扱うべきかを指示します。

これがビジネスにとって重要な理由

DMARC は SPF と DKIM を結びつけ、欠けていた指示を加えます。すなわち、あなたを名乗るメールがチェックに失敗したとき、受信側のメールプロバイダーは何をすべきか です。DMARC がなければ、各プロバイダーは推測で対応します。DMARC があれば、あなたが決められます。さらに、誰があなたの名前でメールを送っているかを示すレポートを送ってもらうよう依頼できます。

平たく言えば、DMARC こそが、犯罪者があなたのドメインを偽装してお客様や従業員をだますのを実際に止めるものです。SPF と DKIM が提供する錠前の上に乗る方針です。無料で、数分かける価値が十分にあります。

先に SPF と DKIM を設定する

DMARC は SPF と DKIM の結果をチェックすることで機能します。まだ追加していない場合は、先にそれらを設定してください。下に何もない DMARC 方針は、適用する対象を持ちません。

まず Route 53 が DNS を運用しているか確認する

他の DNS レコードと同様、これが機能するのは、Route 53 があなたのドメインの DNS に応答している場合だけです。Route 53 はあなたの DNS ホストであり、メールボックスのプロバイダーではありません。Route 53 コンソールで Hosted zones を開き、自社ドメインを選び、4 つの NS（ネームサーバー）の値を確認します。これらはレジストラ側で設定されたネームサーバーと一致している必要があります。ドメインを Route 53 経由で登録した場合は通常すでに一致しています。別の場所で登録した場合、またはそのドメインに複数のホストゾーンがある場合は、注意深く確認してください。稼働中のネームサーバーが別の場所を指している場合は、実際に DNS を運用しているプロバイダー側で DMARC レコードを追加してください。

Route 53 での手順

1. AWS コンソールにサインインし、Route 53 を開きます。
2. 左メニューで Hosted zones を選び、自社ドメインの名前をクリックします。
3. Create record（レコードを作成）をクリックします。
4. ルーティングオプションのあるウィザードが表示されたら、シンプルなフォームに切り替えます（Quick create record を探します）。
5. Record name に、正確に次を入力します。 _dmarc 後ろにドメイン名を入力 しないで ください。Route 53 が自動でドメインを付加します（フィールドの横に自社ドメインが表示されます）。
6. Record type を TXT に設定します。
7. Value には、まず監視のみの方針から穏やかに始め、二重引用符で囲みます。 "v=DMARC1; p=none; rua=mailto:[email protected]" アドレスは実際に確認できるメールボックスに置き換えてください。これは、メールの扱いをまだ変えずに、プロバイダーに集計レポートを送ってもらうよう依頼するものです。
8. TTL は既定値のままにします。
9. Create records をクリックします。

方針の選び方（p= の部分）

• p=none — 監視のみ。何もブロックされず、レポートを受け取るだけ。ここから始めます。
• p=quarantine — 失敗したメールを迷惑メール/スパムに送る。
• p=reject — 失敗したメールを完全に拒否する（最も強力な保護）。

p=none を数週間運用し、レポートを読んで正規のメールがすべて合格していることを確認してから、quarantine、最終的に reject へと引き上げます。レポートを確認する前にいきなり reject に飛ぶと、自分の正規のメールをブロックしてしまうおそれがあります。

Route 53 でよくある間違い

• 値は二重引用符で囲む必要があります。 Route 53 は引用符を自分で入力することを期待します："v=DMARC1; p=none; ..."。引用符を省くのが Route 53 で最もよくある間違いです。
• Record name はアンダースコア付きの _dmarc です。 よくある誤りは、アンダースコアを省くことや、_dmarc.yourdomain.com と入力することです。Route 53 では _dmarc だけを入力し、ゾーンが自動で付加されます。完全なドメインを入力すると、決してチェックされない壊れたホスト _dmarc.yourdomain.com.yourdomain.com ができてしまいます。
• DMARC レコードは 1 つだけです。 SPF と同様、_dmarc の DMARC TXT レコードは 1 つでなければなりません。すでに存在する場合は、2 つ目を追加せず編集してください。
• 実在するレポート用メールボックスを使います。 rua=mailto: の後のアドレスは、実際に確認するものでなければ、レポートが無駄になります。同じドメインでも別のドメインでも構いません。（自分が管理していないドメインにレポートを送るよう指定した場合、そのドメイン側で許可する必要があります。自分のドメインなら問題ありません。）
• 正しいホストゾーン、正しいアカウント。 ゾーンや AWS アカウントが複数あると、誤ったものを編集しやすくなります。ゾーンの 4 つの NS 値が稼働中のネームサーバーと一致していることを確認してください。
• 反映には時間を見込みます。 DNS の変更は反映まで数分から数時間かかることがあります。

設定できたか確認する

保存して反映されたら、このサイトの無料チェックを実行してください。DMARC レコードが設定されているか、どんな方針を設定したかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。