DMARC 単語

DMARCとは、電子メールサーバのなりすまし防止のための技術である。

概要

DMARCはSPFやDKIMに対して、実効力を明示的に規定するためのDNSレコード設定、並びにそれに基づく遵守すべきポリシーの定義である。したがって、SPFやDKIMの設定なくして、DMARCの設定は意味をなさない点に注意せよ。

まず、DMARCのレコードは、_dmarc.[ドメイン名]でTXTレコードで公開されている。このTXTレコードの値はセミコロン区切りで以下のようにキー=値の組で記述される。

• v - このレコードの種類。一番最初に来る必要がある。DMARC1という値で固定である
• p - SPFやDKIMに適合しないメールの取り扱いについて。ポリシーレコードでは必須。以下の3つの値をとる。
  • none - 特にアクションをとる必要はない。DMARCを導入した直後で、挙動を確認したい場合に使うのが基本である
  • quarantine - 適合しないメールを隔離する(つまり迷惑メールフォルダに置く)ことを期待する
  • reject - 適合しないメールを拒否することを期待する
• pct - DMARCポリシーの適用率。0以上100以下の整数をとり、パーセント単位である。記述しない場合は100、すなわちすべてのメールに対してポリシーを適用する
• sp - 特に明示的にDMARCのレコードを発行していないサブドメインに対するp。デフォルトはpと同じ値である
• adkim - DKIMアライメントモード。以下の2つの値をとり、デフォルトはrelaxed
  • relaxed - ヘッダFromの組織ドメインとDKIMで認証したドメインが一致していればよい
  • strict - ヘッダFromのFQDNと署名ドメインが完全に一致する必要がある
• aspf - SPFアライメントモード。以下の2つの値をとり、デフォルトはrelaxed
  • relaxed - ヘッダFromの組織ドメインとSPFで認証したドメインが一致していればよい
  • strict - ヘッダFromのFQDNとReturn-Pathが完全に一致する必要がある
• rua - 集計レポートの送信先。カンマ区切りで複数指定可。指定しない場合はどこにも送信しない。送信先はURIで指定する必要があり、mailtoスキーマのサポートは必須(つまり、電子メールでのDMARCレポート送信は常にサポートされている)
• ruf - 失敗レポートの送信先。カンマ区切りで複数指定可。指定しない場合はどこにも送信しない。送信先はURIで指定する必要があり、mailtoスキーマのサポートは必須(つまり、電子メールでのDMARCレポート送信は常にサポートされている)。センシティブな情報が含まれていることがあることから、送信しないメールサーバも多い
• ri - 集計レポートの集計間隔。非負整数を指定する必要があり、それが秒数となる。デフォルトでは86400、つまり1日である。それより短い時間を指定したとしても、必ずしもそれをメールサーバが約束してくれるわけではない点に注意(可能ではれば、1時間ごとのサポートはすべきであるとされている)
• rf - 失敗レポートのフォーマット。afrfという値のみが現状サポートされており、かつそれがデフォルトである
• fo - 失敗レポートの生成条件。以下の4つの値のいずれかをとり、デフォルトは0
  • 0 - すべての検証メカニズムが失敗した際に生成する
  • 1 - いずれかの検証メカニズムが失敗した際に生成する
  • d - DKIMの検証に失敗した際に生成する
  • s - SPFの検証に失敗した際に生成する

なお、レポートの送信先がクロスドメインになる場合は、[DMARC対象ドメイン名]._report._dmarc.[レポート受信ドメイン名]にて「v=DMARC1」の値を持つTXTレコードを発行する必要がある。

また、ポリシーを指定したとしても、別の認証技術で通った場合には、DMARC検証に失敗したとしても問題ない場合がある(例: ARC認証に成功した場合。この場合、転送の結果SPFやDKIMの検証に失敗しているが、特に問題はないものとされる)。

所定の条件(pがquarantineもしくはrejectである。サブドメインではspを参照する)を満たしたDMARCを通過した場合、企業および政府機関は認証を受ければ、一部のWebメールなどで送信者のロゴを表示することができる(BIMI)。

関連リンク

• RFC7489

関連項目

• 電子メール
• SPF
• DKIM
• ARC
• BIMI