DMARC

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、SPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）という2つの先行標準を基盤とするメール認証プロトコルです。SPFが送信サーバーを検証し、DKIMがメッセージの完全性を検証するのに対し、DMARCは両者を統合し、ドメイン所有者がDNSレコードを公開して、メッセージが一方または両方のチェックに失敗した場合の処理方法を受信メールサーバーに指示できるようにします。DMARCはまた、レポート機能を導入し、ドメイン所有者にXMLレポートを送信して、メールヘッダーにおけるドメインの不正使用を監視できるようにします。

メールは、パブリケーションリンクの共有、リード通知の配信、トランザクションメッセージの送信において依然として主要なチャネルです。DMARCがなければ、攻撃者はフィッシングメールの「差出人」フィールドにあなたのドメイン名を偽装し、不正なメッセージがあなたの組織から送信されたように見せることができます。これはブランドの信頼を損ない、連絡先をリスクにさらします。適切に設定されたDMARCポリシーは、受信サーバーに非認証メッセージを隔離または拒否するよう指示し、偽装メールが受信トレイに届く前にブロックします。フリップブックのリンクをメールで配布するパブリッシャーにとって、DMARCは配信率も向上させます。GmailやOutlookなどのメールプロバイダーは、有効なDMARCレコードを持つドメインを優先的に扱います。

FlipLinkのメールインフラストラクチャは、最初からDMARC認証をパスするように設計されています。FlipLinkがリード通知、パブリケーション共有リンク、または[メールテンプレート](/features/email-templates)経由のメッセージを送信する際、それらのメールはSPFとDKIMの両方の要件に準拠しています。カスタム送信ドメインを使用する場合は、DNSにDMARCレコードを公開してポリシーとレポートアドレスを定義します。FlipLinkの送信プラクティスはDMARCポリシーに準拠しているため、正当なメールは認証をパスし、不正なメールは受信サーバーによってキャッチされます。これにより、フリップブック共有メール、リードアラート、自動通知がスパムとしてフラグ付けされたり拒否されたりすることなく、受信者に確実に届きます。

DMARCレコードは、ドメインのDNSにおけるTXTエントリです。主要なタグには以下が含まれます：`v=DMARC1`（バージョン）、`p=`（ポリシー：none、quarantine、またはreject）、`rua=`（集約レポートアドレス）、`ruf=`（フォレンジックレポートアドレス）、`pct=`（ポリシーが適用されるメッセージの割合）、`adkim=`/`aspf=`（アライメントモード、strictまたはrelaxed）。アライメントが重要な概念です。DMARCは、「差出人」ヘッダーのドメインが、SPFで認証されたドメイン（エンベロープ送信者）およびDKIMで認証されたドメイン（署名ドメイン）と一致するかどうかを確認します。Relaxedアライメントはサブドメインが組織ドメインと一致することを許可し、Strictアライメントは完全一致を要求します。ほとんどのパブリッシャーは、サブドメインやFlipLinkのようなサードパーティ送信者からの正当なメールをブロックしないよう、Relaxedアライメントから始めます。

1. **まずSPFを確認** — すべての認可された送信サーバー（メールプロバイダー、FlipLink、マーケティングツール）を含む有効なSPFレコードがあることを確認します。 2. **DKIM署名を設定** — DNSにDKIMキーを設定し、メールプロバイダーが送信メッセージに署名していることを確認します。 3. **p=noneから開始** — メール配信に影響を与えずにレポート収集を開始するため、`p=none`でDMARCレコードを公開します：`v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com` 4. **2〜4週間レポートを分析** — 集約レポートを使用して、すべての正当な送信者とドメインの不正使用を特定します。 5. **p=quarantineに移行** — すべての正当な送信者が認証をパスしていることを確認したら、ポリシーをquarantineに変更して、失敗するメッセージをスパムフォルダーにルーティングします。 6. **p=rejectに進む** — 正当なメールが隔離されていないことを確認した後、最大限の保護のためにポリシーをrejectに設定します。 7. **継続的に監視** — DMARCレポートを定期的に確認し続け、新しい送信者や設定のずれをキャッチします。

**SPFとDKIMなしでDMARCを設定できますか？** 技術的にはDMARCレコードを公開できますが、実用的な効果はありません。DMARCはSPFとDKIMの結果に基づいて合否を判定します。少なくとも1つが設定されていなければ、すべてのメッセージがDMARCチェックに失敗します。 **DMARCによってメールの配信が止まりますか？** 段階的なアプローチに従えば問題ありません。`p=none`から始めることで、何もブロックせずにどのメールがパスまたは失敗するかを観察できます。すべての正当なメール送信元が適切に認証されていることを確認した後にのみ、quarantineまたはrejectに移行してください。 **DMARCが有効になるまでどのくらいかかりますか？** DNSの変更は通常数時間以内に伝播しますが、一部のプロバイダーでは最大48時間かかる場合があります。伝播後、受信サーバーは直ちにポリシーの適用を開始し、集約レポートは24時間以内に届き始めます。

DMARCは、SPFまたはDKIMのチェックが失敗した場合の処理をドメイン所有者に制御権を与えることで、メール認証スタックを完成させます。ブランドをなりすましから保護し、メールの配信率を向上させ、誰があなたに代わってメールを送信しているかの可視性を提供します。