DMARCって何？
メール詐欺から会社を守る設定を、わかりやすく解説

「うちの会社のメールアドレスから詐欺メールが送られているらしい」「取引先から不審なメールが届いたと言われた」——こういった相談が中小企業から増えています。

この問題を根本から防ぐ仕組みが DMARC（ディーマーク） です。難しそうに聞こえますが、設定の考え方はシンプルです。この記事でわかりやすく解説します。

そもそも、なぜメール詐欺が起きるのか

メールには「差出人アドレスを自由に偽装できる」という根本的な欠点があります。たとえば、攻撃者が info@yourcompany.co.jp を騙って顧客に請求書を送ることが、技術的に簡単にできてしまいます。

これを防ぐために生まれたのが、SPF・DKIM・DMARCという3つのメール認証技術のセットです。

SPF・DKIM・DMARCの関係

SPF（送信者ポリシーフレームワーク）

「このドメインからメールを送っていいサーバーはここです」とDNSに登録する仕組みです。リストにないサーバーから送られたメールは「怪しい」と判定されます。

DKIM（ドメインキー識別メール）

メールに電子署名をつける仕組みです。受信側で署名を検証することで、メールが途中で改ざんされていないかを確認できます。

DMARC（ドメインベースのメッセージ認証）

SPFやDKIMの認証に失敗したメールを「どう処理するか」のポリシーを定めるのがDMARCです。また、認証結果のレポートを受け取ることで、自社ドメインの使われ方を把握できます。

DMARCの3つのポリシー

DMARCには認証に失敗したメールへの対応を指定する「ポリシー」があります。

ポリシー	意味	おすすめ度
none	何もしない。レポートを受け取るだけ。まず現状把握に使う。	導入初期
quarantine	認証失敗メールを迷惑メールフォルダへ。段階的に強化するときに使う。	推奨
reject	認証失敗メールを完全に拒否・削除。最も強力だが、設定ミスでリスクあり。	慎重に

設定の流れ（全体像）

DMARCレコードの例

DNSに追加するTXTレコードはこのような形式です（_dmarc.yourdomain.co.jp に設定）。

rua= の部分はレポートを受け取るメールアドレスです。専用のメールアドレスを用意しておくと管理しやすいです。

設定前に確認すること

• 社内から送られるメールは全てどのサーバーを経由しているか
• メルマガ配信サービス（Mailchimp等）を使っている場合、そのSPF/DKIM設定は済んでいるか
• 社外のシステム（受発注、請求書等）がメール送信を行っていないか

これらを把握してからDMARCを設定しないと、正規のメールが誤って拒否される可能性があります。

まとめ

DMARCはメール詐欺を防ぐ重要な設定ですが、SPF・DKIMとセットで段階的に設定することが大切です。最初から強いポリシー（reject）にしてしまうと、正規のメールが届かなくなるリスクがあります。

「自社のドメインのDMARC設定がどうなっているか確認したい」「設定を手伝ってほしい」という場合は、rakuitにご相談ください。