Domain-based Message Authentication, Reporting & Conformance(RFC 7489)。SPF と DKIM の認証結果を統合し、失敗時に受信側がどう扱うべきか(モニターのみ・迷惑メール・受信拒否)を送信側ドメインが DNS の TXT レコードで宣言するメール認証ポリシーフレームワーク。
DMARC レコードの形式
_dmarc.example.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; fo=1"| タグ | 意味 |
|---|---|
v=DMARC1 | バージョン |
p= | ポリシー(none / quarantine / reject) |
rua= | 集計レポート送信先メールアドレス |
ruf= | 失敗詳細レポート送信先(プライバシー上 RFC 推奨度低い) |
fo=1 | 失敗時オプション。1 は SPF / DKIM いずれかが失敗時にレポート |
aspf= / adkim= | Alignment モード(s strict / r relaxed) |
ポリシーの段階的強化
DMARC は最初から p=reject にしないのが鉄則。想定外の SaaS(メルマガ・問い合わせ自動返信)が自社ドメインで送信している実例が p=none のレポート蓄積で初めて見えるため、段階的に強化する。
| 段階 | ポリシー | 影響 |
|---|---|---|
| Phase 1(運用開始) | p=none | 配信影響ゼロ、レポートのみ |
| Phase 2(数週間後) | p=quarantine | 失敗メールを迷惑メールへ |
| Phase 3(数ヶ月後) | p=reject | 失敗メールを受信拒否 |
SPF / DKIM との関係
DMARC は単独では機能しない。SPF または DKIM のいずれかが PASS かつ alignment(送信ドメインと一致)していることが PASS の条件。
| シナリオ | SPF | DKIM | DMARC 結果 |
|---|---|---|---|
| 正規メール | PASS + aligned | PASS + aligned | PASS |
| 転送メール | FAIL(IP 変わる) | PASS + aligned | PASS(DKIM 救済) |
| なりすまし | FAIL | FAIL | FAIL → ポリシー適用 |
DMARC を有効にするには SPF + DKIM の両方を先に整えること。
レポート活用
rua= で指定したアドレスに、対応 ISP(Gmail / Outlook 等)から 日次の集計 XML レポートが届く。生 XML は読みづらいため、商用パーサ(dmarcian、Postmark、Valimail 等)に流すか、簡易には自前スクリプトで集計するのが現実解。
関連用語
- SPF — 送信元 IP ベースの認証
- DKIM — 署名ベースの認証
- Google Workspace — DMARC レポート受信窓口にも使える
- Microsoft 365 — 同上