DMARCとは、電子メールサーバのなりすまし防止のための技術である。
概要
DMARCはSPFやDKIMに対して、実効力を明示的に規定するためのDNSレコード設定、並びにそれに基づく遵守すべきポリシーの定義である。したがって、SPFやDKIMの設定なくして、DMARCの設定は意味をなさない点に注意せよ。
まず、DMARCのレコードは、_dmarc.[ドメイン名]でTXTレコードで公開されている。このTXTレコードの値はセミコロン区切りで以下のようにキー=値の組で記述される。
- v - このレコードの種類。一番最初に来る必要がある。DMARC1という値で固定である
- p - SPFやDKIMに適合しないメールの取り扱いについて。ポリシーレコードでは必須。以下の3つの値をとる。
- pct - DMARCポリシーの適用率。0以上100以下の整数をとり、パーセント単位である。記述しない場合は100、すなわちすべてのメールに対してポリシーを適用する
- sp - 特に明示的にDMARCのレコードを発行していないサブドメインに対するp。デフォルトはpと同じ値である
- adkim - DKIMアライメントモード。以下の2つの値をとり、デフォルトはrelaxed
- aspf - SPFアライメントモード。以下の2つの値をとり、デフォルトはrelaxed
- rua - 集計レポートの送信先。カンマ区切りで複数指定可。指定しない場合はどこにも送信しない。送信先はURIで指定する必要があり、mailtoスキーマのサポートは必須(つまり、電子メールでのDMARCレポート送信は常にサポートされている)
- ruf - 失敗レポートの送信先。カンマ区切りで複数指定可。指定しない場合はどこにも送信しない。送信先はURIで指定する必要があり、mailtoスキーマのサポートは必須(つまり、電子メールでのDMARCレポート送信は常にサポートされている)。センシティブな情報が含まれていることがあることから、送信しないメールサーバも多い
- ri - 集計レポートの集計間隔。非負整数を指定する必要があり、それが秒数となる。デフォルトでは86400、つまり1日である。それより短い時間を指定したとしても、必ずしもそれをメールサーバが約束してくれるわけではない点に注意(可能ではれば、1時間ごとのサポートはすべきであるとされている)
- rf - 失敗レポートのフォーマット。afrfという値のみが現状サポートされており、かつそれがデフォルトである
- fo - 失敗レポートの生成条件。以下の4つの値のいずれかをとり、デフォルトは0
なお、レポートの送信先がクロスドメインになる場合は、[DMARC対象ドメイン名]._report._dmarc.[レポート受信ドメイン名]にて「v=DMARC1」の値を持つTXTレコードを発行する必要がある。
また、ポリシーを指定したとしても、別の認証技術で通った場合には、DMARC検証に失敗したとしても問題ない場合がある(例: ARC認証に成功した場合。この場合、転送の結果SPFやDKIMの検証に失敗しているが、特に問題はないものとされる)。
所定の条件(pがquarantineもしくはrejectである。サブドメインではspを参照する)を満たしたDMARCを通過した場合、企業および政府機関は認証を受ければ、一部のWebメールなどで送信者のロゴを表示することができる(BIMI)。
関連リンク
関連項目
- 0
- 0pt
