目次
SPF・DKIM・DMARCの設定方法まとめ
ドメイン認証の設定についての資料は下記リンクよりご確認ください。
すぐできる!ドメイン認証の設定方法.pdf
各項目の詳細は、下記よりご参照ください。
DMARCの概要
SPF と DKIM(作成者署名)をサーバ内で設定しているドメインからメールを配信した結果、
受信側のサーバにて「なりすまし」判定された場合に受信側に対して、対処法を指定します。
電子メールに係る法整備が進んでいるアメリカや欧州では DMARC の設定を義務化しており、
日本でもGmail、iCloud、Yahoo!などを中心にDMARCの設定が求められてきています。
送ったメールが受信先にて認証に失敗した場合に「破棄」,「隔離」,「受信拒否」のいずれか
1つのアクションを「対処」として促すように指示する働きをします。
受信側のサーバやセキュリティシステムなどによって DMARC レコードは確認がされており、
設定の有無によって迷惑メール判定の要素の1つになると言われています。
DNSサーバにDMARCレコード(TXT形式)を登録
貴社のドメインを管理しているDNSサーバ内にTXTレコードとして記述してください。
※設定方法や記述形式などの詳細はサーバ会社によって異なり、弊社では分かり兼ねます。
まとめて記述する場合
| 記述するレコード(例) |
|---|
| _dmarc.自社ドメイン IN TXT “v=DMARC1 ; p=none ; rua=mailto:指定アドレス; ruf=mailto:指定アドレス2;” |
※「指定アドレス」と「指定アドレス2」は同じメールアドレスでも問題ありません。
ただし、「指定アドレス2」は、DMARCレコードに登録されているドメインのアドレスのみ指定できます。
※「指定アドレス」と「指定アドレス2」には受信側のサーバからDMARCレポートメールが送られます。
※「指定アドレス」と「指定アドレス2」について
■指定アドレス(rua):
DMARCの「集計レポート」の送信先です。レポートは日次で配信されます。
DMARCの認証に失敗したおおまかな情報はわかりますが、それぞれの失敗についての詳細情報までは
提供されません。レポートの送信先は自由に指定できます。
■指定アドレス2(ruf):
DMARCの「認証失敗レポート」の送信先です。このレポートは、指定したメールアドレスに即座に送信されます。
認証失敗レポートではそれぞれの失敗に関する詳細な情報が提供されます。
指定できるメールアドレスはDMARCレコードに登録されているドメインのアドレスのみです。
ホスト名(サブドメイン/エントリ)と値(VALUE/内容)を分けて記述する場合
| ホスト名(サブドメイン / エントリ) |
|---|
| _dmarc.自社ドメイン(例:_dmarc.haihaimail.jp) |
※サーバ会社様の仕様によって記述例やサポート対象などが異なる場合がございます。
| 認証に失敗した場合の処理 | 種別 | TXTレコードの記述例(VALUE/値/内容) |
|---|---|---|
| 認証に失敗したメールを拒否。 レポートをrua=mailto、ruf=mailtoの指定アドレス送り、SMTP不達通知を送信者に返す。 | Reject | v=DMARC1; p=reject; rua=mailto:指定アドレス; ruf=mailto:指定アドレス2; |
| 認証に失敗したメールの5%を 迷惑メールフォルダに振り分ける。 レポートを指定アドレス宛に送る。 | Quarantine | v=DMARC1; p=quarantine; pct=5; rua=mailto:指定アドレス; |
| 認証失敗のメールは何もしない。 指定アドレスにレポートを送る。 | None | v=DMARC1; p=none; rua=mailto:指定アドレス; ruf=mailto:指定アドレス2; |
※「指定アドレス」にはお客様がご使用頂いているメールアドレスを記述してください。
※ 初めて設定する場合は「None」を指定することが一般的とされております。
パラメータの種類(解説)
DMARCパラメータ
| パラメータ | 詳細 |
|---|---|
| adkim | DKIM認証の調整を行う。rかsを指定 |
| aspf | SPF認証の調整を行う。rかsを指定 |
| fo | 認証に失敗した際に送るレポートの条件 |
| p | 認証失敗時に指定する挙動 |
| pct | DMARCポリシーを適用す割合 |
| rf | 認証失敗レポートの送信先を指定 |
| ri | 集計レポートを受け取る頻度を指定 |
| rua | 集約レポートの送信先 |
| ruf | 認証失敗レポートの送信先 |
| sp | DMARCポリシーをサブドメインに適用 |
※ruaは、送信先は自由に指定できます。
※rufは、原則としてDMARCレコードに登録されているドメインのアドレスのみです。
認証失敗レポートの送信条件
| 値 | 詳細 |
|---|---|
| 0 | 全ての認証が失敗した場合、認証失敗のレポートを作成する |
| 1 | 何れかの認証が失敗した場合、認証失敗のレポートを作成する |
| d | DKIM署名の認証が失敗した場合、認証失敗レポートを作成する |
| s | SPF認証に失敗した場合、認識失敗レポートを作成する |
DMARCが設定されているかを確認する
dmarcian(外部サイト)を使用する
https://dmarcian.com/dmarc-inspector/
キャプチャ付きFAQ:DMARCが有効となっているかを確認したい
※設定が無い場合は「No DMARC record published」と表示されます。
Gmail、Yahoo!メールなどを使用する
Gmailの場合
① 配配メールからお客様自身のGmailアドレスへメールを送信
② WebメールページからGmailの受信ボックスを開きます。
③ 受信した件名をクリック → 右上の▽(その他)タブをクリック
④ プルダウンから「メッセージのソースを表示」をクリック
⑤ 受信したメッセージのヘッダ情報と DMARC のチェック結果が表示されます。
dmarc=pass(p=●×△)などと記載れていれば有効です。
※ スマートフォンアプリ版では確認することが出来ません。
Yahoo!メールの場合
① 配配メールからお客様自身のYahoo!mailアドレスへメールを配信
② Webページから Yahoo!mailの受信ボックスを開きます
③ 受信した件名をクリック → [詳細ヘッダー]をクリック
④ ヘッダ情報が表示されます
⑤ dmarc=pass(p=●×△)などと記載されていれば有効です。
