【DMARC】自宅・レンタルのメールサーバーにDMARCを設定する

1 DMARCとは

DMARCDomain-based Message Authentication, Reporting, and Conformance)とは、
電子メールのなりすまし送信を防止するための通信規約(プロトコル)の一つです。

SPFDKIMと連携し、 SPFDKIMの認証に失敗したメールに対して、
次のいずれかの扱いを指定できるものです。

DMARC設定をしたら、
なりすまし判定されたメールは破棄 してしまうよう指示できるようになる ということです。

DMARCは、IETFによって RFC 7489として標準化されています。

DMARCを利用するには、SPFDKIMが有効になっていなければなりません。

SPFDKIMについては、本記事では特に説明しません。
関連資料として本記事4章にまとめましたので、そちらからご覧ください。

2 DMARCレコード

DMARCの設定は、DNSに1行のDMARCレコードを追加することで行います。

2.1 DMARCのポリシー

まず、DMARCポリシーについて。

DMARCポリシーとは、ドメイン所有者が設定するルールのことで、
DMARCを設定する上でもっとも重要な事柄です。

送信したメールがDMARCの認証に合格しなかった場合に、
どのように扱うべきかを受信サーバーに対し指定します。

DMARCのポリシーは、表2.1-1に示す3種類です。

2.2 DMARCレコードの書式

DMARCレコードは、
ドメインのDMARCポリシーや、DMARCレポートの送付先などを表明するための
複数のタグからなるレコードです。

DMARCレコードは、次に示すような概観の“TXT”タイプのレコードです。

2.2.1 TXTレコード名

レコード名は、レコード先頭に<ホスト名>を表して、次の形式となります。

2.2.2 DMARCレコードの値

DMARCレコードの値は、2.3節に示す複数のタグから構成されます。

2.3 DMARCレコードの内容(タグ)

DMARCレコードの値は1行のテキストで表され、
タグ(v / p / ruaなど)と値を“”で指定して各項目を定義します。

各項目の間はセミコロン(“”)で区切ります。

タグには、必須のものと任意のものがあります。 

※ レポートを別ドメインで受信したい場合

DMARCレポートを外部ドメインに送信する場合、
つまりDMARCを導入するドメインとは別のドメインをruarufの送信先として指定する場合は
相互の関連性を示す必要があります。

レポートを送信する先のドメインのDNSサーバーに、以下の形式でTXTレコードを追加します。

<DMARC導入ドメイン名>._report._dmarc.<レポート送付先ドメイン名> IN TXT
"v=DMARC1”

3 DNSへの設定

本章では、“お名前.com”や “Xserverドメイン”、 “Xserver”といった
ドメインレジストラのDNSDMARCレコードを設定する手順を示します
(レンタルサーバーを借りていない自宅サーバーであっても、
DNSサーバーはドメインレジストラのものを借りている方が多いかと思います)。

本記事では、Xserverの場合を例として示します。
Xserver以外のドレインレジストラであっても、DNSレコードの設定方法については
ほぼ同じですので、本記事で示すことは参考になるのではと思います。

DMARCレコードの値は、サンプルとして下に示すような値を設定するものとします。

v=DMARC1; p=reject; rua=mailto:report@example.com; ruf=mailto:report@example.com; ri=604800; fo=1; adkim=s; aspf=s

3.1 DNSへの設定

Xserverでは、簡易の「メールDMARC設定」がありますが、
その設定では集計レポートの送信条件やレポートの送信間隔などを
自由に設定することができません。

本記事では、DMARCレコードTXT形式DNSレコードとして設定する方法を示します。

. Xserverにログインし、「サーバーパネル」を開きます。
サーバーパネル」が開いたら、 「ドメインDNSレコード設定」を選択します。

. 途中DNSレコード設定対象のドメイン選択があります。
そこで、DNSレコード設定対象のドメインを選択すると、
DNSレコード設定」のウィンドウが開きます。
 
DNSレコード設定」のウィンドウが開いたら、「DNSレコード追加」タブを選択します。

. 図3.1-2のウィンドウに対して、 表3.1-1に示すように入力して、
ウィンドウ右下の「確認画面へ進む」をクリックします。

. 図3.1-3に示すように確認ウィンドウが表示されます。
問題なければ、ウィンドウ右下の「追加する」をクリックします。

以上で、DMARCの設定は終了です。

3.2 確認方法

DNSに設定したDMARCレコードを確認するには、次のような方法があります。

DMARCレコードチェックツールを利用する
ネットワーク関連コマンドで確認する

3.2.1 DMARCレコードチェックツール

DMARCレコードチェック」をキーワードに検索すればいろいろ見つかります。
その中でオススメなのが、次のサイトです。

MXTOOLBOX

3.2.2 ネットワーク関連コマンド(nslookup、dig)

DNSに設定されたDMARCレコードは、コマンドラインから
次のコマンドで確認することができます。

nslookup(Windows、Linuxとも)
dig(Linuxのみ)

(1)nslookup
nslookup”コマンドは、Windows、Linuxともに使用できます。
 
コマンド書式は、次の通りです。

(2)dig dig”コマンドは、Windowsでは使えません。
 
コマンド書式は、次の通りです。

4 SPFとDKIMについての関連資料

DMARCの設定が有効に機能するためには、SPFDKIMが有効になっていなければなりません。

これらの設定方法については、下に示す拙著のWebページをご覧いただければと思います。

ちなみに、Xserverでは、 収容サーバーによって違いがあるのかもしれませんが、
2024年07月現在多くの収容サーバーではデフォルトでSPFDKIMとも有効になっています。

以上

本記事の元となっているWordで作成したPDFを
ページ最後に貼り付けました。
少しでも役に立てていただければ、うれしく思います。

このPDFファイルは、自由に配布されてもかまいません。
ただし、再配布の際には、
入手元著者名は明らかにしてください

なお、上のPDFファイルの内容、また本文中の記述に、
誤字や脱字、誤った内容の記述など見つかりましたら、
下に示すフォームでご連絡いただければ幸いです。

お問い合わせ