メール送信ドメイン認証技術「DMARC」の基礎知識

Googleや米Yahooの発表をきっかけに、メール送信ドメイン認証技術である「DMARC（Domain-based Message Authentication, Reporting and Conformance）」が注目されています。DMARC対応は政府や業界団体からも要請されており、DMARCに対応しないと企業などからのメールが受信者に届かなくなってしまう可能性があります。

そこで、本連載ではDMARCの基礎知識、対応の流れ、設定や運用の難しさや起こりやすいミス、そしてDMARCの先にあるBIMIについて解説します。初回となる今回は、DMARC対応が必要な理由と基礎知識を紹介します。

DMARCへの対応が求められる背景

近年、DMARCが注目を集めており、企業がDMARCに対応したことを発表するほどです。その背景には、Googleが2023年10月に発表したガイドラインの改定にあります。GoogleではGmailのガイドラインを改定し、一日5,000通以上のメールを送信する事業者に対する要件の一つにDMARC対応を追加しました。このガイドラインに準拠していない事業者のメールはGmailに届かなくなる可能性があるとしています。

• 

  GoogleのGmailガイドライン（一部）引用：Google

また、米Yahooも同時期にほぼ同じ内容のガイドライン改定を発表しました。両社の目的は「なりすましメール」の撲滅です。DMARCはメール送信者のドメインの認証技術であり、送信者のドメインをなりすましたメールを除外する効果があります。なりすましメールはフィッシングやマルウェアを配布するメールに用いられることが多いため、両社はメール利用者のリスクを減らそうと取り組んでいます。

日本ではもっと前からDMARC対応が呼びかけられていました。例えば2023年2月、経済産業省、警察庁、総務省の連名でクレジットカード会社などに向けたフィッシング対策強化の要請にDMARC対応が記載されました。また、多くの業界でもガイドラインにDMARC対応が記載されています。クレジットカード業界のセキュリティ基準である「PCI DSS」も同様です。

なりすましメールは巧妙さを増しており、企業にとって大きな脅威となっています。代表的なものはフィッシングメールですが、企業のドメインになりすますケースも多いです。メールから誘導されるフィッシングサイトは正規のサイトをコピーしているので、メールの受信者にとっては違いが分かりません。ここにログイン情報を入力してしまうと犯罪者に盗まれ、不正アクセスに悪用されてしまいます。

また、一時期猛威を振るったマルウェア「Emotet」もなりすましの手法を使っていました。一見、取引先や社内からのメールを装っていて文面にも違和感はありませんが、これらは別のEmotetに感染した被害者のメールを流用しています。うっかり添付ファイルを開いてしまうと、それをきっかけにEmotetに感染して、さらにランサムウェアに感染する可能性もあります。ビジネスメール詐欺（BEC）も同様の手法を使用しています。

DMARC導入における日本と世界の状況

DMARCは2012年に発表され、2015年に正式に標準化されました。海外、特に欧州では早期から政府がDMARC導入を義務付けていたため、導入率がほぼ100％という国も多くあります。また、米国やオーストラリアも約90％のドメインが導入しています。もちろん国によってばらつきはありますが、先進国での導入率は非常に高いといえます。

一方、日本のDMARC導入率は芳しくありません。Gmailのガイドライン改定を受けて認知度が上がり導入も増えていますが、インターネット協会（IAjapan）の発表によると、2024年6月時点で全体の31.8％のドメインがDMARCを導入しており、8.6％だった前年10月から23.2％上昇したとのことです。属性型ドメイン別の導入率は、同時点で「go.jp（政府機関/各省庁所管の研究所、特殊法人、独立行政法人）」が38.3％と最も高く、「ed.jp（初等中等教育機関など）」が21.7％で最も低い結果でした。

また、Hornetsecurityの日本法人（旧 Vade Japan）が2024年12月に日本語のホームページを持つ206,390個のドメインを無作為に抽出し、DMARCの設定状況について調査を行ったところ、DMARCが設定されているドメインはわずか36.8％（75,981ドメイン）にとどまり、63.2％（130,409ドメイン）が未設定または設定が不正確で意図した通りに機能していないことが判明しました。

調査結果をより詳細に、DMARC導入のステップで見ていくと、DMARCに必須となるメール送信認証技術「SPF」や「DKIM」のうち少なくともSPFを設定しているのは全体の90％、DMARCのポリシー（後述）を「p=none」に設定しているのは32.2％（66,399ドメイン）でした。そしてポリシーのレベルを上げていくにはDMARCレポートの分析が必要になりますが、その実施割合は全体の7.9％となっています。

DMARCレポートを分析して設定に問題がないことを確認したら、ポリシーを「p=quarantine」や「p=reject」へと上げていきますが、「p=quarantine」は3.1％（6,481ドメイン）「p=reject」は1.5％（3,101ドメイン）となっていました。「p=reject」に設定しても継続してDMARCレポートの分析が必要になりますが、その実施割合は全体の0.9％でした。

DMARCのポリシーを「p=reject」にすると、メールソフトに自社などのブランドロゴを表示できる「BIMI」に対応できますが、BIMIに対応しているのは0.08％にとどまっています。なお、62.9％（129,800ドメイン）はそもそもDMARCが設定されておらず、0.3％（609ドメイン）はDMARCが設定されてはいるものの設定が不正確でした。

• 

  日本のホームページにおけるDMARCの導入状況　引用：Hornetsecurity

送信ドメイン認証の基礎知識：SPF、DKIM、DMARC

では、そもそもDMARCとは何なのか。ここからはDMARCについて掘り下げます。DMARCはメール送信認証技術の一つで、同じくメール送信認証技術であるSPF・DKIMの検証が両方失敗したときにどう処理するのかを宣言する仕組みです。まずはSPF・DKIMについて解説します。

SPF（Sender Policy Framework）は、メールの送信元ドメイン（Envelope From）が詐称されていないかどうかを検査する仕組みです。SPFは送信者が自身のDNSサーバに送信メールサーバのIPアドレスを登録しておき（これをSPFレコードと呼びます）、受信側は送信元のDNSサーバのSPFレコードを確認し、それが送信元のIPアドレスと一致していれば正当なメールと判断します。言わばホワイトリスト方式のようなものです。

メールの送信を配信事業者に委託している場合は、そのSPFレコードもDNSサーバに記載しておくことで正当なメールと判断されます。一方、悪意のある送信者がメールを送信しても、その送信元のIPアドレスなどがSPFレコードに記載されていないため、不正なメールと判断され受信者には届きません。

• 

  SPFの仕組み

DKIM（Domain Keys Identified Mail）の仕組みは、印鑑に例えることができます。送信者が自身の印鑑を役所などに登録し、メールに押印して送信するようなものです。受信者は役所にある印鑑登録証とメールに押印された印鑑を照合することによって本人からのメールであることが分かります。DKIMでは、送信者はメールに秘密鍵を用いて電子署名を付加します。受信者のサーバは送信側のDNSサーバに問い合わせて公開鍵を取得し、照合します。

メールの送信を配信事業者に委託している場合は、印鑑を委託先に預けるか、委託先が用意した印鑑を役所に登録する形となります。また、DKIMは電子署名を使用するため、内容が改ざんされていないことも証明できます。

• 

  DKIMの仕組み

しかし、SPFでは送信者のヘッダーFromは参照されないので、悪意のある送信者が自身のDNSサーバに自身のメールサーバを登録し、自身のEnvelope Fromでメールを送信すれば、ヘッダーFromとしては正当な送信者と判断されてしまいます。DKIMでも、送信者が正当かどうかの判断は完全ではありません。悪意のある人でも署名できてしまうといった問題があります。

そこで、DMARCではSPFのEnvelope FromやDKIMの署名者のドメインはヘッダーFromのドメインと同じであることが条件になっています。これによりヘッダーFromのなりすましを防ぐことが可能になります。またDMARCは、前述したようにSPF・DKIMの検証が両方失敗したときにどう処理するのかを宣言する仕組みです。DMARCには3つのポリシーが設定されており、そのレベルを上げていくことでSPFやDKIMの検証に失敗したメールの処理を行うことができます。

DMARCの3つのポリシーは、「none（テスト用でそのまま配送）」「quarantine（隔離）」「reject（拒否）」となっており、noneでは何もせずすべてのメールが受信者に配信されます。quarantineではDMARC認証に失敗したメールをスパムフォルダなどに隔離します。rejectではDMARC認証に失敗したメールは配信されません。つまり、たとえDMARCに対応してもポリシーがnoneのままでは意味がありません。あくまでrejectを目指すことが重要です。

次回は、DMARC対応への流れについて、またDMARCポリシー「reject」実現の難しさについて解説します。