DMARC完全導入ガイド — なりすましメールを根絶する

Googleは2024年2月から、Yahooは同年4月から、大量送信者に対してDMARC設定を必須化しました。2026年2月にはさらに厳格化され、p=none（監視のみ）では不十分とされる方針が発表されています。

なぜDMARCが必要なのか

メールなりすましの被害実態 - フィッシングメールの**87%**がなりすましドメインを使用（2025年APWG調査） - 日本企業の**62%**がDMARC未設定（2025年12月 フィッシング対策協議会） - DMARC設定済み企業はフィッシング被害が**平均78%減少**

DMARCとは何か

DMARC（Domain-based Message Authentication, Reporting & Conformance）は、SPFとDKIMの認証結果に基づいてメールの処理方法を指定するDNSレコードです。

簡単に言うと「自社ドメインを騙ったメールを受信側にどう処理してほしいか」を宣言する仕組みです。

3ステップ導入手順

Step 1: SPFレコードの設定

SPF（Sender Policy Framework）は「このドメインからメールを送って良いサーバー」を宣言します。

Cloudflareでの設定例（Google Workspace利用の場合）：

``` タイプ: TXT 名前: @ 値: v=spf1 include:_spf.google.com ~all ```

複数のメール送信サービスを使っている場合： ``` v=spf1 include:_spf.google.com include:amazonses.com include:sendgrid.net ~all ```

Step 2: DKIMの設定

DKIM（DomainKeys Identified Mail）は送信メールにデジタル署名を付加する仕組みです。

Google Workspaceの場合： 1. 管理コンソール → アプリ → Google Workspace → Gmail 2. 「メールの認証」→ DKIMの設定 3. 生成されたTXTレコードをCloudflareのDNSに追加

Step 3: DMARCレコードの設定

段階的に導入するのが安全です：

Phase 1（監視モード・2週間）： ``` タイプ: TXT 名前: _dmarc 値: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100 ```

Phase 2（隔離モード・1ヶ月）： ``` v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; pct=100 ```

Phase 3（拒否モード・最終目標）： ``` v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; pct=100 ```

よくある失敗と対策

失敗1：サードパーティ送信を忘れる マーケティングメール（SendGrid、Mailchimp等）やSaaSの通知メールがSPFに含まれていないと正規メールが拒否されます。

対策：p=noneで始めてDMARCレポートを分析し、全送信元を特定してからp=rejectに移行する。

失敗2：SPFのDNS参照回数が10を超える SPFはDNS参照を最大10回までしか許容しません。includeが多すぎるとエラーになります。

対策：SPFフラットニングツールを使うか、サブドメインで送信を分離する。

失敗3：DMARCレポートを放置する 設定して終わりではなく、レポートを継続的に監視する必要があります。

対策：DMARC Analyzer、Valimail、dmarcianなどのツールでレポートを可視化する。

導入チェックリスト

この記事のポイント