メールセキュリティ
DMARCを「p=none」のまま放置していませんか?なりすましメール対策で今すぐ見直すべきこと
SPF、DKIM、DMARCを設定しているから安心。そう思っていませんか。
実は、DMARCのポリシーが p=none のままになっている場合、なりすましメールを検知する準備はできていても、受信側に対して「迷惑メール扱いにしてほしい」「拒否してほしい」という強い指示を出せていない状態です。
これは、意図せず自社ドメインを悪用される余地を残してしまうことにつながります。お客様、取引先、関係者に迷惑が及ぶ前に、早急な確認をおすすめします。
SPF・DKIM・DMARCを設定していても、そこで終わりではありません
メールのなりすまし対策として、SPF、DKIM、DMARCの設定は非常に重要です。
しかし、DMARCは「DNSにレコードを追加したら完了」というものではありません。特に注意したいのが、DMARCポリシーの値です。
| DMARCポリシー | 意味 | 主な用途 |
|---|---|---|
p=none |
認証に失敗しても配送は止めず、レポートで確認する | 導入初期・監視段階 |
p=quarantine |
認証に失敗したメールを迷惑メール扱いにするよう受信側に求める | 段階的な厳格化 |
p=reject |
認証に失敗したメールを拒否するよう受信側に求める | 最終的ななりすまし対策 |
つまり、p=none は「まず状況を把握するための設定」であり、長期間そのまま放置する前提の設定ではありません。
「p=none」のまま放置すると何が問題なのか
DMARCの p=none は、レポートを受け取りながら正規の送信元を確認するための重要な段階です。
しかし、確認を終えたあとも p=none のままにしていると、第三者が自社ドメインを装ったメールを送信した場合でも、受信側のサーバーに対して強い処理方針を示せません。
その結果、攻撃者が自社名や自社ドメインを悪用したフィッシングメール、請求書偽装メール、ウイルス誘導メールなどを送った際に、受信者のもとへ届いてしまう可能性が残ります。
本来の流れは「none → quarantine → reject」
DMARCは、いきなり厳格化すればよいというものではありません。正規のメールまで届かなくなる事故を防ぐため、段階的な確認が必要です。
-
SPFとDKIMを正しく設定する
自社のメールサーバー、Webフォーム、ECサイト、メール配信システム、予約システム、請求書送信サービスなど、メールを送る可能性があるサービスを洗い出します。 -
DMARCを
p=noneで開始する
まずはレポートを受け取り、どの送信元が正規のメールとして認証されているかを確認します。 -
DMARCレポートを確認する
SPF、DKIM、DMARCの成功・失敗状況を見て、正規の送信元が失敗していないかを確認します。 -
p=quarantineに変更する
問題がないことを確認できたら、認証に失敗したメールを迷惑メール扱いにするよう受信側に求めます。 -
最終的に
p=rejectを目指す
運用上の問題がないことを確認したうえで、なりすましメールを拒否する方針へ進めます。
この流れを途中で止めてしまうと、DMARCを導入しているにもかかわらず、十分な防御効果を発揮できない状態が続いてしまいます。
まず確認すべきチェックリスト
自社ドメインのメール設定について、以下を確認してください。
- DMARCレコードが存在しているか
- DMARCポリシーが
p=noneのまま放置されていないか - DMARCレポートの送信先である
ruaが設定されているか - DMARCレポートを実際に確認しているか
- SPFに正規の送信元がすべて含まれているか
- DKIM署名が有効になっているか
- Webフォーム、ECサイト、メール配信サービスなど外部サービスの送信認証が整っているか
- 段階的に
quarantineやrejectへ移行する予定があるか
DMARCレコード例
以下は一例です。実際の設定値は、利用しているメールサーバー、Google Workspace、Microsoft 365、レンタルサーバー、メール配信サービスなどの構成によって変わります。
監視段階の例
v=DMARC1; p=none; rua=mailto:dmarc@example.com迷惑メール扱いを求める段階の例
v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@example.com拒否を求める段階の例
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@example.com
特に p=reject へ変更する場合は、正規のメールが認証に失敗していないかを事前に確認することが重要です。確認が不十分なまま厳格化すると、自社の正規メールが届かなくなる可能性があります。
「迷惑メールフィルタで弾く」だけでは根本対策になりません
特定の件名、本文、URL、送信元表示名を条件にして迷惑メールを振り分ける方法は、一時的な対処としては有効な場合があります。
しかし、攻撃者は文面やURLをすぐに変えます。毎回フィルタ条件を追加していく方法は、いわゆる「モグラ叩き」になりがちです。
本来取り組むべきなのは、メールの見た目ではなく、送信元ドメインの認証です。自社ドメインを名乗るメールが、本当に許可された送信元から送られているのかを機械的に確認し、失敗したメールに対してどう扱うべきかをDMARCで示すことが重要です。
自社ドメインを守ることは、取引先を守ることでもあります
なりすましメールの被害は、自社だけで完結しません。
もし自社ドメインを装ったメールが取引先やお客様に届けば、受信者は「いつもの会社から届いたメール」と誤認してしまう可能性があります。
添付ファイルを開く、偽サイトにアクセスする、認証情報を入力する、請求書の振込先を誤る。そうした被害の入口として、自社ドメインが悪用されることは避けなければなりません。
DMARCの見直しは、単なるDNS設定ではありません。企業としての信用を守り、関係者に迷惑をかけないための基本的なセキュリティ対応です。
まとめ:DMARCは「設定済み」ではなく「運用中」かを確認しましょう
SPF、DKIM、DMARCを設定していることは大切です。しかし、それだけで安心してはいけません。
特にDMARCが p=none のまま長期間放置されている場合は、早急にレポートを確認し、段階的な厳格化を検討してください。
自社ドメインを悪用される前に、今すぐDNS設定とDMARCレポートを見直しましょう。
メール認証設定の確認をご希望の方へ
株式会社オフィスニシムラでは、ホームページやECサイト運営に関わるドメイン・メール設定の確認もご相談いただけます。
「SPF・DKIM・DMARCを設定したつもりだが不安」「DMARCレポートの見方がわからない」「外部配信サービスを使っていて設定が複雑」という場合は、お気軽にご相談ください。
