DMARCの実装方法

Domain-based Message Authentication, Reporting and Conformance(DMARC)は、SPFとDKIMの両方の検証に失敗したメッセージをどのように処理するかを、参加している受信メールサーバーに指示するために作成されました。たとえば、貴社がメッセージの送信者として示されており、しかし実際にはそうではないメッセージをどう処理するかということです。SPF、DKIM、メール検証をよく知らない場合は、DMARCに関するすべてを参照してください。

DMARCを導入する理由

メールシステムにDMARCを導入することは、悪意のあるエンティティが偽装したり、信頼できる電子メール送信者としての貴社の評判を傷つけたりすることを防ぐために役立つ強力な方法です。DMARCは万人向けではありません。小さなドメインを所有している場合は、おそらく使用しなくてもいいでしょう。フィッシングで問題が発生したことがある場合、または財務関連のビジネスを運営している場合は、DMARCを実装すると良いかもしれません。

DMARCと専用IP(Pro以上のアカウントに含まれる)を組み合わせることで、業界でサポートされている安心を得ることができます。

Twilio SendGridは現在、Valimailと提携し、さらに多くのDMARC施行と監視のオプションを提供しています。詳細については、こちらをクリックしてください。

DMARCレポートの読み取り

DMARCの集計レポートとフォレンジックレポートは、機械読み取り用に設計されており、人間が理解するのが難しい場合があります。また、DMARCレポート監視サービスを利用してレポートを収集し、有意義な方法で実用的な洞察につながる情報を提示する必要もあります。Valimailはその一例です。

メールプログラムがうまく開始されるよう、エキスパートのサポートをご希望ですか?

メール実装サービスにより、時間を節約し、長期的な成功に向けた準備を迷うことなく進められます。Twilioのエキスパートは、チームの追加要員として、メールプログラムが正しく設定され、ビジネスに価値をもたらすことができるようにします。

実装サービス →

実装の5つのフェーズ:

1.SendGrid IPのリバースDNSを設定して、DKIMとSPFを展開します。 2.認証されたドメインに適切なDKIMとSPFの署名があることを確認します。 3.DNSレジストラーでDMARCレコードを公開し、結果を監視します。 4.受信したフィードバックを分析し、必要に応じてメールストリームを調整します。 5.経験を積んだら、DMARCポリシータグをp=noneからp=quarantine、p=rejectにエスカレートします。

1. SendGrid IPのリバースDNSを設定してDKIMとSPFを展開する

まず、アカウントのリバースDNSを設定することから始めます。このようにすることにより、SendGridアカウントを介して送信された電子メールが、独自のドメインのDKIMとSPFを使用して適切に署名されるようになります。このプロセスの完了に関する詳細は、リバースDNSの設定方法を参照してください。

2.認証されたドメインのDKIMとSPFの署名が適切かを確認する

この手順が分からない場合は、自分自身にテストメールを送信してください。メールヘッダーのDKIMとSPFの署名が、SendGridアカウントの認証に使用したドメインと一致していることを確認します。

合格したDKIMとSPFのチェックの例

Twilioドメインからのメールヘッダーにおける合格したSPFとDKIMのチェック

DKIMとSPFの両方が合格すれば成功です。

3.DNSレジストラーでDMARCレコードを公開し、その結果を監視する

DNSレジストラー内で、受信者がDMARCプリファレンスを判断するために使用できるTXTリソースレコードを作成する必要があります。これは、ドメインホストのDNSレジストラー内で行われます。これはおそらく、認証されたドメインのDNSレコードを作成した場所と同じ場所です。このレコードは、サブドメインではなく、ドメインのルートレベルで作成されます。

シンプルなDMARCレコード

"v=DMARC1; p=none; pct=100; rua=mailto:dmarc.rua@customdomain.com"

DMARCレコードの詳細については、DMARCに関するすべてのDMARCレコードセクションを参照してください。ここには、DMARCレコードの各タグの説明が詳述されています。

最初はp=noneポリシーを使用してください。送信状況がよく理解できたら、p=quarantineやp=rejectに移動します。

4.受信したフィードバックを分析し、必要に応じてメールストリームを調整する

DMARCに参加している受信者に無資格のメールが送信、受信された場合、受信者はこれらのメッセージのレポートを生成し、DMARCレコードに指定されたmailto:アドレスに返信します。これらのレポートは、メールストリームを評価および調整するために必要な情報を提供し、ドメインに代わりメールを送信しているサービスを正確に特定するために役立ちます。

以下は、2通のメールの結果を示す、レコードが1つだけのサンプルレポートです。リストされているSPFとDKIMのauth_resultsは、s=のアライメントに関係なく、未加工の結果であることに注意してください。DMARCレコード内のすべてのタグの説明については、DMARCに関するすべてのDMARCレコードセクションを参照してください。

ファイル名の形式は、次のようになります。
filename = receiver "!" policy-domain "!" begin-timestamp "!" end-timestamp "." 拡張子

例: receiver.org!sender.com!1335571200!1335657599.zip

DMARCレポートのサンプル

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
    <report_metadata>
        <org_name>receiver.com</org_name>
        <email>noreply-dmarc-support@receiver.com</email>
        <extra_contact_info>http://receiver.com/dmarc/support</extra_contact_info>
        <report_id>9391651994964116463</report_id>
        <date_range>
            <begin>1335571200</begin>
            <end>1335657599</end>
        </date_range>
    </report_metadata>
    <policy_published>
        <domain>sender.com</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>none</p>
        <sp>none</sp>
        <pct>100</pct>
    </policy_published>
    <record>
        <row>
            <source_ip>72.150.241.94</source_ip>
            <count>2</count>
            <policy_evaluated>
                <disposition>none</disposition>
                <dkim>fail</dkim>
                <spf>pass</spf>
            </policy_evaluated>
        </row>
        <identifiers>
            <header_from>sender.com</header_from>
        </identifiers>
        <auth_results>
            <dkim>
                <domain>sender.com</domain>
                <result>fail</result>
                <human_result></human_result>
            </dkim>
            <dkim>
                <domain>sender.net</domain>
                <result>pass</result>
                <human_result></human_result>
            </dkim>
            <spf>
                <domain>sender.com</domain>
                <result>pass</result>
            </spf>
        </auth_results>
    </record>
</feedback>

集計レポートはZIPの添付ファイルとして送信されるため、定義しているアドレスがこのファイルタイプの添付ファイルを受け入れることができるかを確認してください。

5.経験を積むに従い、DMARCポリシータグを`p=none`から`p=quarantine`、`p=reject`に順にエスカレートする

これで、メールストリームをテストして微調整し、誰が(何が)ドメインのメールを送信しているかを正確に判断できたため、ポリシー設定を調整できます。

これまで、p=noneポリシーを使用してあらゆる不正な動作の報告を受けてきたため、電子メールがどこから来ているのか知ることができたはずです。次のステップは、DMARCレコードのポリシーを調整し、ドメインから送信されたことを示す電子メールを、受信者が処理する方法をコントロールすることです。

p=none - 違反の報告を取得しますが、受信者自身でメッセージ自体を処理する限り、受信者は何のアクションも実行しません。

p=quarantine - 無資格のメールは直接迷惑メールに分類されますが、そのメールを回復することができます。これは、メールの送信元の場所をすべて把握しているとほぼ確信しているものの、100%確信が持てるまで無資格のメッセージを「ソフトフェイル」する場合に便利です。

p=reject - 無資格のメールは受信者のメールサーバーにより完全に削除され、回復することはできません。この設定は、ドメインのメールを送信しているすべてのサーバーとサービスを確実に把握しており、これらのサービスのそれぞれに署名が設定されており、それ以外のサービスを完全に拒否する場合に使用します。

幸先の良いスタートを切りましょう。SendGridオンボーディングサービスを使用すれば、現時点だけでなく将来メールプログラムが拡大し続ける中で、アカウントが最適化され、成功に向けて設定されていることを確信できます。

その他のリソース

サポートが必要ですか？

誰にでもそういうことはあります。今すぐTwilio SendGridサポートチームにヘルプしてもらいましょう。

コーディングで行き詰っていませんか？Stack OverflowのSendGridタグの質問一覧を参照するか、Stack OverflowのTwilio Collectiveにアクセスして、皆さんの知恵を借りましょう。

サポートが必要ですか？

フィードバックいただき、ありがとうございました。

フィードバックいただき、ありがとうございました。