ラッコサーバーではDMARC設定に対応しており、ドメイン追加時に以下のDMARCレコードが自動で設定されます。
_dmarc.example.com IN TXT "v=DMARC1; p=none"
上記設定は、DMARCの仕組みに沿った必要最低限の内容となっており、送信ドメインの信頼性を一定高める(スパム判定されにくくなる)効果があります。
より高度ななりすまし対策が必要な場合は、ポリシーの強化やレポート送信先の設定もご検討ください。
本記事では、DMARC設定の基本的な仕組みや設定変更方法、設定が反映されたかどうかの確認手順について詳しく解説します。
サブドメイン(例:sub.example.com)はDMARCレコードが自動設定されません。サブドメインにDMARC設定を行いたい場合は、ご自身でDNSにDMARCレコードを追加する必要があります(本記事の「DMARC設定の変更方法」をご参照下さい)。
目次
DMARC設定とは
DMARCは、なりすましメールの防止や送信ドメインの信頼性向上に役立つDNSレコードです。
SPFやDKIMといったメール認証の仕組みと連携し、それらの認証結果をもとに、なりすましの可能性があるメールをどう扱うか(例:受信を許可する/迷惑メール扱いにするなど)といった対応方針を、受信者側に伝えることができます。
これにより、自分のドメインやメールアドレスを装った不正なメール(フィッシング詐欺など)が受信者側で見分けられやすくなり、ドメインの信頼性の維持やトラブルの予防に役立ちます。
DMARCの自動設定内容
ラッコサーバーでは、ドメイン追加時に以下のDMARCレコードが自動で設定されます。
この設定には「ポリシー」と呼ばれる項目(メールの認証結果に応じてどのような対応を行うかを決めるもの)が含まれています。
_dmarc.example.com IN TXT "v=DMARC1; p=none"
各値についての詳細は以下の通りです。
- v=DMARC1:DMARCのバージョンを示します。
- p=none(ポリシー):SPFやDKIMの認証に失敗しても、受信サーバーはメールを拒否せず、そのまま受信者に配信されます。
上記は必要最低限の設定となっており、送信ドメインの信頼性を一定高める(スパム判定されにくくなる)効果があります。
ただし用途や状況に応じて、より厳しいポリシーに変更したり、メール送信状況に関するレポートを受け取るように設定することも可能です。
設定できるポリシー一覧
| ポリシー | 動作内容 |
|---|---|
p=none |
監視モード(初期値)。メールが不正と判定された場合でも、実際の配信には影響しません。すべてのメールがそのまま受信者に届けられます。 |
p=quarantine |
迷惑メール扱い。不正と判定されたメールは、受信者の迷惑メールフォルダに振り分けられる可能性があります。 |
p=reject |
拒否。不正と判定されたメールは受信者に配信されず、受信段階で拒否されます。 |
認証結果のレポート受信設定
DMARCレコードに以下の値を追加することで、該当ドメインで送信されたメールの認証結果の「集計レポート」を定期的にメールで受信することができます。
rua=mailto:postmaster@example.com
※postmaster@example.comは任意のメールアドレスに置き換えてください
mailto:で指定したメールアドレスに、レポートが送信されます。
レポートはXML形式で、以下のような情報が含まれます。
- どのIPアドレスからメールが送信されたか
- SPFやDKIMの認証が成功したかどうか
- その送信が許可されたものかどうかの判定結果
- 送信件数や送信先ドメインの情報
ただし、レポートは1日に数通〜数十通以上届くこともあるため、別途DMARC専用の分析ツール等の利用が推奨されます。
ご利用ケース別:DMARCの推奨設定
ラッコサーバーにおけるDMARCの初期設定ポリシーはp=none(監視モード)です。
また、初期設定では、メール送信状況に関するレポートは送られません。
以下のようなケースに当てはまる場合は、より厳しいポリシーへの変更をご検討ください。
- 自分のドメインを装ったなりすましメールが送信されないよう、事前に対策しておきたい
- 自分のドメインのなりすましメールが実際に送信されている
- 取引先や関係企業から、送信ドメインの信頼性向上やセキュリティ強化を求められている
ここからは、ご利用のケースごとに具体的な設定例・対応方法をご紹介します。
対象のドメインでメール送受信をしていない
対象のドメインでメールの送受信を行っていない場合は、初期設定のままでも問題ありませんが、以下の設定に変更しても良いでしょう。
_dmarc.example.com IN TXT "v=DMARC1; p=reject"
この設定は、「不正と判定されたメールは受信者に配信されない(受信拒否)」「メール送信状況に関するレポートも受け取らない」という内容です。
メールの送受信を個人用途で行っている(主にメールソフトを使用するのみ)
一般的なメールクライアント(=GmailやThunderbird、Outlookなど)を使って、個人用途のメール送受信にのみ使っている場合は、以下の設定がおすすめです。
_dmarc.example.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:postmaster@example.com"
この設定は、「認証に失敗したメールは迷惑メールフォルダに振り分けられる可能性がある」「その状況をレポートで確認できる」という内容です。
個人用途の場合は送信経路がシンプルなため、ポリシーを強化(初期設定から変更)しても、正規のメールが不正と誤判定されてしまうといった問題が起きにくいと考えられます。
誤判定によってメールが配信されないといった影響を避けるためにも、まずは1〜2週間ほどレポートを受け取って配信状況を確認し、問題がなければp=rejectへ移行するといった対応をおすすめします。
外部サービスなどを含む複雑な構成でメールを運用している場合
ECサイトや予約システム、メール配信サービスなど複数の外部サービスを通じてメールを送信している場合、それら全てがSPF/DKIMに対応しているとは限りません。
このような場合、すぐにポリシーを厳しくしてしまうと、業務上問題のないメールでも届かなくなる(SPF/DKIM認証に失敗し、不正なメールと判定されてしまう)おそれがあります。
ポリシーの強化を検討する場合は、まずは監視モードで運用し、レポートを活用して状況を把握することをおすすめします。
_dmarc.example.com IN TXT "v=DMARC1; p=none; rua=mailto:postmaster@example.com"
この設定は、「すべてのメールは受信されるが、認証結果はレポートで収集される」という内容です。
最低でも1〜2週間はレポートを観察し、想定外の送信元や認証エラーがないことを確認した上で、p=quarantineまたはp=rejectへの移行を検討してください。
レポートの中に「自分が送信したはずのメール」でSPFやDKIMの認証に失敗している記録がある場合は、そのメールの送信元の設定に問題がある可能性が高いです。
たとえば以下のような原因が考えられます。
- 外部サービスの送信IPアドレスが、SPFレコードに含まれていない
- DKIMの署名が行われていない、または検証に失敗している
このような設定不備があると、将来的にポリシーを強化した際に、正規のメールであっても届かなくなったり、迷惑メールに分類されたりするおそれがあります。
該当の送信元については、次の対応を検討してください。
- 外部サービス側がSPFやDKIMに対応しているか、またはDMARCを利用する際の推奨DNS設定があるかどうかを、外部サービス提供元に確認する
- 外部サービスの送信IPやSPF設定情報を確認し、ラッコサーバーのDNSに適切なSPFレコード(例:
include:指定など)を追加する - 外部サービスが提供するDKIM用の公開鍵(DNS用TXTレコード)をラッコサーバーのDNSに追加する
DMARC設定の変更方法
DMARCのポリシーやレポート受信設定を変更したい場合の手順をご案内します。
1. DNS設定画面を開く
マイページのサーバー管理>対象サーバーの「ドメイン管理/追加」をクリックします。
「DNS設定」をクリックします。
設定したいドメイン名をクリックします。
2. 既存のDMARC設定を削除する
既に設定されているDMARC設定用のレコードを削除します(右側のごみ箱アイコンをクリックしてください)。
※サブドメインのDMARC設定を行う場合、削除は不要です
3. レコードを追加する
続けて、新たなDMARC設定のレコードを追加します。
タイプ:TXT
ホスト名:_dmarc ※サブドメイン(例:sub.example.com)の場合は_dmarc.sub
を記入し、設定内容をValueに記載します。※TTLは変更任意
- レポートの受信設定のみを行いたい(ポリシーは変更しない)場合
v=DMARC1; p=none; rua=mailto:postmaster@example.com
v=DMARC1; p=quarantine; rua=mailto:postmaster@example.com
※postmaster@example.com は任意のメールアドレスに置き換えてください
記入が終わったら「追加」を押してください。
4. 設定反映
レコードを追加し終わったら、最後に「DNSレコード変更」をクリックします。
右下の「初期設定に戻す」をクリックすると初期状態のDNSレコード設定に戻すことができます。※新規追加したレコードは全て削除されます
設定を反映するには「DNSレコード変更」をクリックしてください。
DMARC設定が反映されているか確認する方法
現在の設定内容はラッコサーバーのDNS設定画面でご確認いただけますが、実際の反映状況を確認したい場合は、以下の方法をご参考ください。
DNSレコード確認(ラッコツールズ)を使って確認する
- DNSレコード確認ツール(ラッコツールズ)でドメイン名を入力
- 確認したいレコードタイプを選択する
- 「確認する」ボタンを押すと、
Non-authoritative answer:以下に、取得内容が表示されます(取得モード「Nslookup」の場合)。
※「ANY(すべてのレコードを見る)」:DNSサーバーによっては全てのレコードを取得できない場合があるため、レコードタイプを個別で選択することを推奨します
例:Aレコードだけ見たい、MXの有無を見たい、という軽い確認
初めてDNSを触る人、設定の結果だけ知りたい人に向いています。
TTLの確認、権威サーバーの応答状況、各セクションの情報を見たいときに便利です。Webサービスやメールの設定検証など、より正確さが必要な場面向きです。
Gmailのメール受信画面で確認する
実際のメール配信を通じてDMARC設定が有効に機能しているかを確認する方法もあります。
Gmailの「メールの原文表示」機能を用いた認証の確認方法についてご紹介します。
- DMARC設定を行ったドメインのメールアドレスから、任意のGmailアドレスにメールを送信します。
- Gmailで該当のメールを開き、右上の「︙」メニューをクリックします。
- 「>原文を表示」をクリックします。
Authentication-Resultsにdmarc=passなどが表示されていれば、設定は反映されています。
※Gmail操作方法等の詳細については、Gmailの公式サポートへお問い合わせください
この記事を読んでも解決しなかった場合は、右下の【AIに質問】ボタンからお気軽にご相談ください。