なぜrejectが必要か
2023年10月にGoogle(Gmail)とYahooが大量メール送信者(1日5,000通以上)に対してDMARCの設定を必須とする要件を発表しました。p=noneでも最低限の要件は満たしますが、自社ドメインのなりすましメールを確実に排除するにはp=rejectまで強化する必要があります。
フィッシング対策協議会のガイドラインでもDMARC rejectの設定が推奨されています。
段階的な移行手順
| Phase | DMARCポリシー | 期間目安 | 目的 |
|---|---|---|---|
| 1 | p=none | 2〜4週間 | SPF/DKIM認証の成功率をDMARCレポートで確認 |
| 2 | p=quarantine; pct=10 | 2週間 | 10%の認証失敗メールを迷惑メールに振り分け、影響を確認 |
| 3 | p=quarantine; pct=50 | 2週間 | 50%に拡大して影響を確認 |
| 4 | p=quarantine | 2週間 | 100%quarantineで安定稼働を確認 |
| 5 | p=reject; pct=10 | 2週間 | 10%の認証失敗メールを拒否し、正当なメールが影響を受けないか確認 |
| 6 | p=reject | — | 最終形。なりすましメールを完全に拒否 |
DMARCレポートの読み方
DMARC設定時にruaタグで指定したアドレスに集約レポート(XML)が届きます。
- SPF pass / fail:SPF認証の成否(failが多い場合はSPFレコードの見直しが必要)
- DKIM pass / fail:DKIM認証の成否
- alignment(整合性):From:ドメインとSPF/DKIMのドメインが一致しているか
- 送信元IP:どのIPから自社ドメインのメールが送信されているかを把握(シャドーIT発見にも有効)
DMARCレポートの解析には、DMARC AnalyzerやPowerDMARC等のツールが便利です。
移行時のトラブル回避
- SaaS経由のメール送信:HubSpot、SendGrid等のSaaSからのメール送信はSPFレコードとDKIM設定を忘れずに
- 転送メール:メール転送でSPFが失敗するケースがある。DKIMが正しく設定されていればDKIMで認証される
- サブドメインポリシー:sp=タグでサブドメインのポリシーも設定(未設定だとサブドメインがなりすましに悪用される)
- pctタグの活用:いきなり100%ではなく、段階的に適用率を上げることでリスクを最小化
まとめ
DMARC rejectへの移行はnone→quarantine(段階的)→reject(段階的)の6フェーズで安全に進められます。DMARCレポートで認証状況を確認しながら、8〜12週間かけて段階的に移行しましょう。