DMARC は Domain-based Message Authentication, Reporting, and Conformance の略です。
SPF や DKIM の判定結果を使って、なりすましメールをどう扱うかを示します。
初心者向けに言うと、このドメインになりすましたメールが来たら、受信側でどう扱ってほしいか を示すルールです。
さらに、認証状況のレポートを受け取れる設定もあります。
メール送信まわりをちゃんと整えたいときは、SPF や DKIM だけで終わらず、DMARC まで見ると全体像が分かりやすくなります。
DMARCで決めること
DMARC では、SPF や DKIM の認証結果をもとに、認証に失敗したメールをどう扱ってほしいかを DNS で示します。
代表的には、まず監視中心の none、隔離を求める quarantine、拒否を求める reject のような方針があります。
最初から強い設定にすると、正規メールの設定漏れがあった場合に必要なメールまで届きにくくなることがあります。
そのため、実務ではまず none で状況を見て、送信元を整理してから段階的に強める進め方がよくあります。
レポートが役に立つ場面
DMARC では、認証状況に関するレポートを受け取る設定もできます。
これにより、自分たちのドメインを使ったメールがどこから送られているか、認証に失敗している送信元がないかを把握しやすくなります。
Webサイトの問い合わせフォーム、メール配信サービス、社内メール、外部システム通知などが混在している会社では、思った以上に送信元が散らばっていることがあります。
DMARC レポートは、その整理のきっかけになります。
実務での注意点
DMARC は、SPF や DKIM がある程度整ってから意味を持ちます。
SPF も DKIM も設定が曖昧なまま DMARC だけ入れても、安定した運用にはなりません。
また、ポリシーを強くする前には、正規の送信元がすべて認証を通過しているか確認する必要があります。
メールが届かない問題は発覚が遅れやすいので、問い合わせや注文確認など重要なメールを扱う場合は、段階的に進めるのが安全です。