設定方法 - DNSのTXTレコードに設定する
レコード名
_dmarc.example.com
値
以下のように
- 100%のメールにポリシーを適用する
- 認証できないメールは受信拒否する
- 日時レポートの送信先のメールアドレスを指定する
という設定にすると良いだろう (最終的には)
"v=DMARC1;p=reject;pct=100;rua=mailto:example@com"
p には何を設定する?
認証できないメールの処理方法を受信メールサーバーに指示します。
- none—メールをそのまま受信者に配信して、日次レポートに記録します。レポートは、レコード内の rua オプションで指定されたメールアドレスに送信されます。
- quarantine— メールを迷惑メールに分類して、受信者の迷惑メールフォルダに送信します。受信者は迷惑メールを確認し、正当なメールを特定することができます。
- reject—メールを拒否します。このオプションを使用すると、通常、受信サーバーから送信サーバーにバウンスメールが送信されます。
( DMARC ポリシーの定義 より )
最終的には reject を設定すべきのはずだ。
なぜなら
- 「なりすましメールが届いたのに、普通に受信できる」
- 「なりすましメールが迷惑メールフォルダに届いており、開いてしまう」
という状態ではセキュリティ設定の意味がないからだ。
pct の設定は何?
DMARC ポリシーの対象となる未認証メールの割合を指定します。DMARC を段階的に導入する場合は、一部のメールから開始することをおすすめします。
( DMARC ポリシーの定義 より )
これは最終的には100%にすべきのはずだ。
なぜなら「なりすましメールが50%の確率で届いてしまう」のでは意味がないからだ。
rua に設定するメールアドレスは何?
rua=mailto:example@com
これは日時レポートの送信先。
対象ドメインのものでなくても良い。
メール認証がPASSした数、失敗した数などが1日1回送られてくるようだ。
段階的な導入
pの種類やpctのパーセンテージを調整することで、段階的な導入ができるようになっている。
たとえば
- 100%のメールにポリシーを適用するが、迷惑メールフォルダに入る設定にしておく
- 30%のメールにポリシーを適用して、受信拒否されるようにしておく
などとして、いっきにユーザー影響が起きてしまわないように、試験的に導入していくことができる
動作確認
設定したらサービスから自分宛にメール送信するなどして、受信したメールヘッダを確認する
Gmailであればメールのソースを表示すると、認証にPASSしたか失敗したかが簡単に分かる
参考
Googleのヘルプが分かりやすい
チャットメンバー募集
何か質問、悩み事、相談などあればLINEオープンチャットもご利用ください。
プロフィール・経歴