DMARCとは？なりすましメール対策の設定方法と導入効果を解説

2025.12.03 更新　(2024.07.02 公開)

ビジネスメールは今や企業活動に不可欠ですが、なりすましメールによる被害が深刻化しています。フィッシング対策協議会の報告によれば、2025年のフィッシング報告件数は月平均21万件(2025年10月より直近6か月)を超え、DMARC未対応ドメインを悪用したケースが増加傾向にあります。

こうした状況を受けて、GoogleとYahooは2024年2月から大量送信者に対してDMARC設定を義務化しました。DMARC（ディーマーク）は、SPFとDKIMを組み合わせてなりすましメールを防ぐ送信ドメイン認証技術として、企業のメールセキュリティ対策において必須となっています。

本記事では、DMARCの仕組みから具体的な設定手順、導入による効果まで、実務担当者が知っておくべき情報を解説します。

DMARCとは

DMARCは「Domain-based Message Authentication, Reporting and Conformance」の略称で、「ディーマーク」と読みます。2012年にGoogle、Yahoo、Microsoftなどの主要メールプロバイダーが協力して策定した送信ドメイン認証技術です。送信ドメインの認証を強化し、不正利用を防ぐことで、メール受信者は送信元の信頼性を確認でき、送信者は自社ドメインのなりすましを検知・防止できます。

2024年2月以降、GmailとYahooメールは1日5,000通以上のメールを送信する事業者に対してDMARC設定を必須化しており、未設定の場合はメールが迷惑メールフォルダに振り分けられるリスクが高まります。

メール受信者がなりすましメールを識別し、ブロックできるようにすること
正規の送信者が自社ドメインの不正利用を検知し、対策を講じられるようにすること
メール送受信の認証結果を可視化し、メールシステムの信頼性を向上させること

DMARCは、既存の認証技術を基盤としながら、それらをさらに強化する役割を果たしています。

DMARCの仕組み

DMARCは、単独で機能するわけではありません。既存のメール認証技術であるSPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）を組み合わせて動作します。

SPFとは

SPFは、メールの送信元IPアドレスが正規のものかを確認する技術です。ドメイン管理者が、メール送信を許可するサーバーのIPアドレスをDNSサーバーに登録しておくことで、受信側はそれを参照して送信元の正当性を判断できます。

DKIMとは

DKIMは、メールの内容が送信途中で改ざんされていないことを保証する技術です。送信者が電子署名を付与し、受信者がその署名を検証することで、メールの真正性を確認します。

DMARCの動作手順

DMARCは、これらSPFまたはDKIMで認証されたドメイン名が送信者のドメイン（header-from）と一致していれば認証成功とします。認証に失敗した場合は、送信ドメインの管理者が設定したポリシーに基づいて、メールの取り扱いを決定します。
また、送信ドメインの管理者はDMARCの認証状況をDMARCレポートとして受け取ることもできます。

1. 送信者がDNSにDMARCレコードを公開
2. 受信サーバーがメールを受信した際、SPFとDKIMによる認証を実施
3. 認証結果と送信者ドメイン（header-from）の一致を確認（アライメントチェック）
4. 認証失敗時は、DMARCポリシー（none/quarantine/reject）に従って処理
5. 認証結果をレポートとして送信者に通知

このアライメントチェックにより、SPFやDKIMだけでは防げない第三者ドメインを使ったなりすましも検出できます。

（出典：迷惑メール対策推進協議会　送信ドメイン認証技術導入マニュアル第3.1版）

DMARCの導入効果

DMARCを導入することにより、以下のような効果があります。

なりすましメール対策

DMARCの最大の利点は、自社ドメインを使用したなりすましメールを効果的に防止できることです。これにより、フィッシング詐欺やビジネスメール詐欺（BEC）などの脅威から組織と顧客を守ることができます。

フィッシング対策協議会の調査では、DMARC未対応ドメインのなりすましが全体の約21%を占めており、適切なDMARC設定により自社ドメインを悪用した詐欺メールを大幅に削減できます。

主要メールプロバイダーは、DMARC設定済みドメインからのメールを優先的に受信箱に配信する傾向があり、配信到達率が10〜15%向上する事例も報告されています。

ブランド保護

なりすましメールによる被害を防ぐことで、企業のブランドイメージを守ることができ、レピュテーションの低下を防ぐことができます。

また、DMARCを設定すると、BIMI（Brand Indicators for Message Identification）を利用することができます。BIMIは、認証されたメールの送信者のロゴを受信トレイに表示する仕組みであり、利用することでセキュリティとブランディングを同時に強化できます。

メール配信率の向上

正規のメールであることが明確に示されるため、スパムフィルターに誤って振り分けられるリスクが低減します。これにより、重要なメッセージが確実に届くようになり、ビジネスコミュニケーションの効率が向上します。

可視性の向上

DMARCレポートにより、自社ドメインを使用したメールの送信状況を把握できます。これにより、不正使用の試みを早期に発見し、対策を講じることができます。

DMARCの導入ステップ

DMARCの導入は、段階的なアプローチが推奨されます。以下に、基本的な導入ステップを示します。

Step 1: 現状分析

まず、現在のメール環境を分析します。SPFとDKIMの設定状況を確認し、必要に応じて修正や追加を行います。

Step 2: DMARCレコードの作成

初期段階では、ポリシーを「none」に設定したDMARCレコードを作成します。これにより、実際のメール処理に影響を与えることなく、レポートの収集を開始できます。

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; pct=100

各パラメータの意味

v=DMARC1：DMARCバージョン
p=none：認証失敗時も配信する（監視モード）
rua：集計レポートの送信先
pct=100：全メールに適用（100%）

Step 3: レポート分析

収集されたDMARCレポートを分析し、正規のメールが正しく認証されているか、不正使用の試みはないかを確認します。

Step 4: ポリシーの段階的な強化

レポート分析の結果をもとに、ポリシーを徐々に強化していきます。「none」から「quarantine」（隔離）、最終的には「reject」（拒否）へと移行します。

Step 5: 継続的な監視と調整

DMARCの導入後も、定期的にレポートを分析し、必要に応じて設定を調整します。メール環境は常に変化するため、継続的な監視が重要です。

DMARCの課題と注意点

DMARCは強力なセキュリティ対策ですが、導入や運用に当たっては以下のような課題や注意点があります。

実装の複雑さ

DMARCの設定、特にSPFとDKIMの正確な設定には専門知識が必要です。社内に設定できる人材がいない場合は、外部の専門家などに設定を代行してもらう必要があります。

正規メールの誤判定リスク

厳格すぎるポリシー設定により、正規のメールが誤って拒否される可能性があります。特に、サードパーティサービスを利用してメール送信を行っている場合は注意が必要です。

レポート管理の負担

DMARCレポートは日々大量に生成されます。これらを適切に管理し、分析する体制を整える必要があります。
負担が大きい場合には、専用のDMARC分析ツールを利用することで、大量のレポートを効率的に分析することができるため、検討しても良いでしょう。

段階的な導入が必要

DMARCは一度に完全導入するのは難しいため、段階的なアプローチを取りながら、移行を進める必要があります。

送信側と受信側の両方の対応が必要

送信側だけでなく受信側もDMARCに対応している必要があります。なお、主要なメールプロバイダーは既にDMARCをサポートしていることが多いです。

サードパーティサービスの確認

メール配信サービスやマーケティングツールを利用している場合、これらのサービスがSPFおよびDKIM設定に対応しているか事前に確認が必要です。未対応の場合、正規メールが拒否される可能性があります。

DMARCのガイドライン

DMARC関連のガイドラインとしては、以下がありますので、参考にしましょう。

送信ドメイン認証技術導入マニュアル

迷惑メール対策推進協議会が公表する「送信ドメイン認証技術導入マニュアル」があります。SPF、DKIM、DMARCの基本的な説明から設定方法まで丁寧に解説されています。

（出典：迷惑メール対策推進協議会　送信ドメイン認証技術導入マニュアル第3.1版）

フィッシング対策ガイドライン

フィッシング対策協議会が公表する「フィッシング対策ガイドライン」は、送信ドメイン認証だけでなく、フィッシング全般の脅威や対策についてまとめられています。また、フィッシング対策のための重要項目なども記載されているため、対策を始める前に確認しておくと安心です。

（出典：フィッシング対策協議会　フィッシング対策ガイドライン）

主要メールプロバイダーのDMARC要件

2024年2月以降、主要メールプロバイダーは送信者に対してDMARC設定を要求しています。

GoogleとYahooの要件

1日5,000通以上送信する場合：SPF、DKIM、DMARCの設定が必須
5,000通未満の場合：SPFまたはDKIMのいずれかとDMARCの設定を推奨
未設定の場合：迷惑メール判定のリスクが大幅に上昇

これらの要件を満たさない場合、送信したメールが受信者に届かない、または迷惑メールフォルダに振り分けられる可能性が高まります。

まとめ

なりすましメールによる被害が月間20万件を超える中、DMARCは企業のメールセキュリティ対策として必須の技術となっています。GoogleやYahooによるDMARC義務化により、未設定の企業はメール到達率の低下というビジネスリスクにも直面します。

メールを介したフィッシング詐欺やビジネスメール詐欺による被害は年々増加しており、そうした被害への対策にもDMARCは有効です。
DMARCの導入には課題もありますが、それ以上にメリットもあります。メールは今後も重要なコミュニケーションツールであるため、計画的に導入を進めていきましょう。

ALSOKのおすすめ情報セキュリティサービス

企業を狙う巧妙な改ざん攻撃への対策に必要な早期検知・対応のサービスをご提供
【ALSOK ホームページ改ざん対策】

PC・モバイル端末管理をクラウドで実現。負担となる「導入」から「運用・報告」までサポート。
【ALSOK IT資産管理】

ネットワーク内の情報資産や顧客情報を、外部脅威から守る
【ALSOK UTM運用サービス】