DMARCとは？ メール認証の仕組み・メリット・デメリット・設定方法を解説

実在する組織や個人を騙った「なりすましメール」による被害が拡大の一途を辿っており、世界的に経済社会問題になっています。こうした状況を受けて、2023年12月にGoogleがメール送信者のガイドラインを発表し、DMARC（ディーマーク）によるメール認証が注目されるようになりました。

この記事では、DMARCの概要や導入の必要性、設定方法について分かりやすく解説します。なりすましメール対策ソリューションも紹介するため、メールセキュリティの強化をする際に、ぜひ参考にしてください。

Cloud Mail SECURITYSUITEのサービス資料を受け取る

DMARCとは

DMARCは、メールに表示された本来の送信元の「エンベロープFrom」ドメインから正規に送信されたメールであるかどうかを認証する、送信ドメイン認証の技術です。具体的には、SPF（エス・ピー・エフ）、DKIM（ディーキム） において、SPFまたはDKIMの認証に失敗した組織のドメインを騙る詐欺メールを確認し、組織のドメインを騙る詐欺メールを受信トレイに到達する前にそのまま受信する、隔離する、ブロックのいずれかの処理をポリシーとして定めます。

SPF(Sender Policy Framework)

SPFは、 組織のドメインから E メー ルの送信 を許可する送信者のIPアドレスをDNSレコードに記載します。メールを送信するIPアドレスがそのSPFレコードに記載さ れていない場合、そのメールはSPF 認証に失敗します。受信したメールがSPF認証に失敗してもメールをブロックすることはできません。あくまで「認証に失敗した」という情報を提供するだけです。

DKIM(DomainKeys Identified Mail)

DKIMは、メールの送信者がそのメッセージが認証された送信ドメインから来たことを送信者が秘密鍵でメールに署名し、受信者が公開鍵でその署名を検証することで、メッセージが途中で改ざんされていないことを検証するメール認証方法です。しかし、メール送信後、受信前に第三者が署名されていない部分を改ざんしたり、鍵の強度が弱いことで鍵を偽造できるリスクがあるため、メールが改ざんされていないことを証明する技術ではありません。

DMARCによるメール認証の仕組み

DMARCは、受信したメールをSPFとDKIMで認証し、その結果に基づいて以下の3つのポリシーから処理方法を選択できます。

None（特に何もしない）	認証結果を記録するが、メール配信に影響しない
Quarantine（隔離）	認証に失敗したメールを不審なメールとして迷惑メールフォルダに移動
Reject（拒否）	認証に失敗したメールを完全に拒否

DMARCは、SPFによるドメイン所有者のメールサーバーのIPアドレスから送信されたメールなのか、電子署名によってメールの改ざんを防ぐ仕組みのDKIMによりメールを認証します。

 

	ドメイン所有者の対応	メール受信サーバーの対応
SPF（エス・ピー・エフ）	予め DNS サーバーに組織のメールサーバーが使用するIP アドレスを登録	ヘッダーFromのドメインのIPアドレスが、メール送信サーバーのIPアドレスと一致するかを確認
DKIM（ディーキム）	予めDNSサーバーに、公開鍵を登録し、秘密鍵で電子署名を作成してそれを付加	送信元のDNSサーバーの公開鍵を使って電子署名を照合し認証

なりすましメールによる経済被害が社会問題化

経営者や取引先になりすましたメールで詐欺グループの口座に送金を促す「ビジネスメール詐欺（BEC）」の被害額は約4,050億円に達しています。詐欺被害は拡大し続けており、とくにクレジットカード情報を抜き取る被害が増加傾向にあります。一般社団法人日本クレジット協会によると、2023年のクレジットカード不正利用額は前年より23.9%多い540.9億円で過去最悪となりました。カード情報などを盗み取るフィッシング詐欺が広がり、生成AIの悪用により手口の巧妙化し不正利用は増加の一途です。

特定の企業や団体を標的としたメールによる標的型攻撃でも「なりすましメール」が攻撃手法として利用されています。

なりすましメール、フィッシングメールやビジネスメール詐欺などのスパムメールは、送受信されるメールの4割に達しています。このような背景から、なりすましメールが経済的にも社会的にも問題になっています。

なりすましメールを送信できてしまう「メールの技術仕様」

「なりすましメール」を送信できる理由は、メールの仕組み（技術仕様）により､メールアプリに表示される名前と実際の送信者名が別名称であっても送付することができるからです｡

例えば、ABC株式会社に所属する山田花子さんに「なりすましたメール」の表記は次のようになります。山田花子さんからのなりすましメールの受信者は、メールアプリに表示されるメールアドレスや送信元の表記と、本文を確認します。

メール本文の内容が、実際に山田花子さんから送られてくるであろう内容であれば、「なりすましメール」であることを見破ることはできません。

また、なりすましされた山田花子さんも、自分のメールアドレスや表記が悪意のある第三者に利用され「なりすましメール」の送信に利用されていることを知る由もありません。

封書で送られる紙の手紙では、封書の場合､封筒の差出人と、書面の差出人を別人で記載をすることができます｡メールの場合､送信元のメールアドレス(差出人)は「ヘッダーFrom」、メールアプリで表示されるメールアドレスが「エンベロープFrom」になります。

このような現在のメール技術を悪用し､攻撃者が「なりすましメール」を送ることを防ぐことは､標準的なメールシステムでは防ぎきれません｡

そこで、送信された自分の組織から送られたメールなのか認証することで「なりすましメール」か否か「見える化」するメール認証の技術が「DMARC」です｡

DMARCはメールセキュリティの強化に有効ですが、中小企業をはじめとした多くの企業に広まっていないのが現状です。

DMARCの普及が進まない原因

DMARCの普及を促すには、技術面や認知などの課題があります。ここでは、普及が進まない原因を解説します。

受信者側の対応が必要

DMARCを導入する際は、受信者側の設定が必要です。設定変更にミスがあると誤検知が原因で正規のメールを受信できなくなる恐れがあり、また、DMARCの導入には専門知識が必要であることが導入のハードルになっています。

認知度の不足

DMARCの存在を知らない企業も多く、特に小規模な会社や中小企業では導入があまり進んでいません。DMARCはなりすましメールを防ぐ効果的な方法ですが、まだ十分に広まっていないのが現状です。

2023年7月、「政府機関等の対策基準策定のためのガイドライン」に、なりすましメール対策としてDMARCが掲載されました。今後はDMARCの認知が徐々に広がり、利用する企業が増えるでしょう。

「なりすましメール」を受信を拒否し、その結果を可視化するDMACR導入のススメ

「なりすましメール」を可視化

DMARCを導入することで、あなたの組織になりすましてメールを送信しているユーザーがいないか、どのメールが認証され、どのメールが認証されなかったのか、またその理由を可視化できます。また、認証されなかったメールの処理方法を受信者に指示できるため、「なりすましメール」が、お客様や取引先に届くことを未然に防ぐことができます。

「なりすましメール」の送信を可視化するDMARCレポート

ドメインの所有者がDMARCポリシーに基づき生成される、メールの認証結果のレポートを確認することで、自身のドメイン名が不正利用されていないかを監視し、必要に応じてセキュリティポリシーを調整できます。

主要なDMARCレポートには、XML形式で定期的に送信される「集計レポート」と、DMARC認証に失敗したここのメールに関する詳細情報を提供する「フォレンジックレポート」があります。

集計レポート（Aggregate Reports）

集計レポートは、自分のドメインから送信されたメールが、受信側のサーバーでどのように処理されたかをまとめて、定期的にXML形式で送られてくるレポートです。集計レポートには、次のような情報が含まれています。

• 送信元IPアドレス： メールを送信したサーバのIPアドレス
• メールの件数： 送信元IPから送信されたメールの件数
• DMARCの評価結果： 各メールがDMARCの認証に成功したか、失敗したか
• 認証結果の処理ポリシー： 無視（何もしない）、隔離（迷惑メールフォルダへ移動）、拒否（受信拒否）
• SPFおよびDKIMの結果： SPF、DKIMの認証結果

フォレンジックレポート（Forensic Reports）

フォレンジックレポートは、DMARC認証に失敗した個々のメールの詳細情報をリアルタイムで報告します。以下のような情報が含まれることが多いです。

• 失敗したメールの内容： ヘッダー情報を含む、失敗したメールの詳細な内容
• 失敗した具体的な理由： DMARC認証の結果何が問題だったか
• 送信時刻および送信元情報： メールが送信された時刻と地理的な位置情報

DMARC認証が失敗した「なりすましメール」の受信を拒否する

ドメインの所有者は、自身のドメインになりすましたメールが届き、DMACの認証に失敗した場合、そのメールを、None（特に何もしない、受信トレイに届ける）、Quarantine(迷惑メールフォルダへ移動）、Reject（（受信拒否）のいずれかから指定できます。

DMARCのメール認証を導入することで、自身のドメインに「なりすましたメール」の認証が失敗した際には、メールの受信の「拒否」に設定することで、自身のドメインになりすましたメールの受信を防ぐことができます。

悪意のあるメールを防御

現在のメール技術では、メールの送信元を偽装できるため、受信したメールが正規の送信者か悪意のある送信者かを区別できません。しかし、DMARCを導入することで、正規の送信者からのメールであることを区別できるため、お客様への信頼性の向上や従業員をフィッシング詐欺やビジネスメール詐欺、メール標的型攻撃から保護できます。

DMARCとは

DMARCは、メールに表示された本来の送信元の「ヘッダーFrom」ドメインから正規に送信されたメールであるかどうかを認証する、送信ドメイン認証の技術です。具体的には、SPF（エス・ピー・エフ）、DKIM（ディーキム） において、メールが適切に認証されていることを確認し、組織のドメインを騙る詐欺メールを受信トレ イに到達する前にそのまま受信する、隔離する、ブロックのいずれかの処理をポリシーとして定めます。

SPF(Sender Policy Framework)

SPFは、 組織のドメインから E メー ルの送信 を許可する送信者のIPアドレスをDNSレコードに記載します。メールを送信するIPアドレスがそのSPFレコードに記載さ れていない場合、そのメールはSPF 認証に失敗します。受信したメールがSPF認証に失敗してもメールをブロックすることはできません。

DKIM(DomainKeys Identified Mail)

DKIMは、メールの送信者がそのメッセージが認証された送信ドメインから来たことを公開鍵と秘密鍵による電子署名で確認し、メッセージが途中で改ざんされていないことを検証するメール認証方法です。しかし、メール送信されたあと、受信する前に何者かがメールを署名されていない部分を改ざんしたり、鍵の強度が弱いことで鍵を偽造できるリスクがあるため、メールが改ざんされていないことを証明する技術ではありません。

DMARCによるメール認証の仕組み

DMARCは、受信したメールをSPFとDKIMで認証しその結果の処理を、「特に何もしない」、「認証に失敗したら不審なメールとして扱う」、「認証に失敗したらメール拒否」といったポリシーで定めます。

DMARCは、SPFによるドメイン所有者のメールサーバーのIPアドレスから送信されたメールなのか、電子署名によってメールの改ざんを防ぐ仕組みのDKIMによりメールを認証します。

DMARCのメリット

詐欺被害の防止やリスクを低減

多くの組織がDMARCによるメール認証を導入することにより、なりすましメールをフィルタリングしたり受信を拒否できるため、フィッシング詐欺やビジネスメール詐欺の被害の防止やリスクを低減できます。

ステークホルダーの保護

なりすましメールによる不正送金や情報漏洩などのリスクから、お客様、取引先、従業員を保護できます。これは、経済的な被害や損失の低減のみならず、信頼性の向上にも繋がります。

ブランドの保護

自社のブランド名を使った偽のメールが届くのを防ぐことで、ブランドイメージが傷つくリスクも減らせます。さらに、DMARCに対応していることを公表することで、サイバーセキュリティにしっかり取り組んでいる企業であることをアピールできます。

到達率の向上

DMARCを導入すると、正しいメールがきちんと届くようになり、メールの到達率が向上します。なりすましメールなどの不正なメールがブロックされるため、本物のメールが迷惑メールフォルダに入ってしまうリスクも減ります。これにより、顧客とのやりとりがスムーズになり、信頼関係やエンゲージメントの向上にもつながります。

サービスコストの削減

DMARCの導入によって、なりすましメールやメール詐欺、またマルウェア感染やフィッシングを防ぎ、顧客の保護につながります。不正なメールに伴うトラブルやそれに関連する顧客対応などのサービスコストを最小限に抑えることが可能です。

DMARCのデメリット

メールシステムが対応していない場合がある

DMARCを使うためには、自社のメールシステムが対応している必要があります。もし対応していない場合は、システムを変更しなければなりません。

DMARCは2012年から使われていますが、まだ新しい技術のため、すべてのシステムが対応しているわけではありません。GoogleやYahoo!などの海外の大企業はすでに対応しており、今後は日本国内でも対応する企業が増えていくと考えられます。

管理者に負担をかける

DMARCを利用する際は、管理者の負担を考慮しなければなりません。送信者に認証を受けたメールが届くため、企業によっては何百通ものレポートを受け取ることになります。メールボックスに振り分ける対策だけでは、管理者の負担軽減に限界があります。負担軽減のためには、受信・保存・分析に特化したサービスを利用するとよいでしょう。

専門知識が必要となる

DMARCを導入すると、レポートを解読するための専門知識が必要です。また、定期的なDMARCレコードで認証結果を把握し、検証や分析するための手間もかかります。

DMARCで使用するxmlファイルは、HTMLやCSSとは異なる、独自のフォーマットです。専用のソースコードを理解しなければ、レポートの解読はできません。自社での対応が難しい場合は、レポートを可視化するツールの導入や運用サービスの利用などを検討しましょう。

DMARCの設定方法

DMARCの設定は、契約しているドメイン管理（DNS）管理サービスの管理画面やDNSサーバーで設定します。ドメイン管理サービス各社のWebサイトでは、DMARCの設定方法やポリシーの設定方法について詳しく案内されていますので、それらを参照してください。DMARCについての具体的な設定は、DMARCレコードの設定をご覧ください。

なりすましメール対策ソリューション

なりすましメールは、専門業者のサービスを導入して対策しましょう。ここでは、なりすましメール対策ソリューションサービスを紹介します。

Cloud Mail SECURITYSUITE

「Cloud Mail SECURITYSUITE（CMSS）」は、なりすましメール対策に有効なソリューションです。例えば、ランサムウェアをはじめとするサイバー攻撃やPPAP、誤送信などの対策が可能です。Microsoft365やGoogleWorkspaceを、安心の管理体制で利用できます。

CMSSは必要なセキュリティ機能・管理機能を、オールインワンで追加できます。高いコストパフォーマンスが評価されており、現代のビジネスに必要なメールセキュリティ機能の強化におすすめです。

ランサムウェアをはじめとするサイバー攻撃やPPAP対策などのセキュリティ強化や、上記の通りのDKIM認証・SPF認証・DMARC認証等の受信対策も実施可能です。併せて、誤送信などの対策も可能となりますので、Microsoft365やGoogleWorkspaceを、安心の管理体制で利用できます。

MAILGATE Σ（メールゲーツ シグマ）

「MAILGATES Σ（メールゲーツ シグマ）」は、さまざまな環境で活用できるメールセキュリティサービスです。クラウドメール・オンプレミスのどちらにも対応しており、ご利用中のメール環境のままセキュリティ問題に対策できます。標的型対策や誤送信、情報漏洩、PPAPなどが対策可能で、簡単な設定で外出先からの利用制限も実施できます。

日本企業に多い慣習にも対応しており、承認機能や添付ファイル分離配送など、必要な機能の選択が可能です。また、多種のメールセキュリティ機能から、低価格で必要なものを選べます。専門知識がない企業でも、最新のセキュリティ環境を構築可能です。

「Cloud Mail SECURITYSUITE（CMSS）」と「MAILGATE Σ（メールゲーツ シグマ）」は、どちらもメールセキュリティの強化に有効なソリューションです。なりすましメールをはじめとした対策をする際には、ぜひ利用をご検討ください。

Cloud Mail SECURITYSUITEのサービス資料を受け取る

MAILGATES Σサービス資料を受け取る

 

関連記事

• なりすましメールとは？ 偽メールを送れる背景と対策
• 被害額は約4,050億円、ビジネスメール詐欺（BEC）の脅威と対策
• 増え続ける標的型攻撃メールの受信を防ぐ対策とは
• 今さら聞けない法人向けスパムメール対策とは