DMARCの設定完了~レポートで何を確認したらいいの?
目次
ネームサーバの引っ越し
最近のGoogleWorkspaceの設定見直しなどをしておりましたが、DMARCは設定できず。使っているサーバー(WPX speed)でDNSを設定していましたが、 _dmarc のアンダースコアが使えず、問合せたら、別のネームサーバで設定しろ!とのことでした。ということで、改めて、DNSをムームーDNSで設定し直しました。
ムームーDNSを改めて設定し直して、dmarcを追加しました。
しばらくして確認してみると、DMARC PASSになりました!
DMARCのレポートの何を見たらいいのか?
毎日レポートがメールで届くようになりました。xmlファイル。一体何を見たらいいのでしょうか?聞いてみました。 毎日3件くらいFAILになってる感じです。
① まず最初に見るべき3点(必須)
1. DMARCの判定結果(pass / fail)
- 見る項目
policy_evaluated → dispositionpolicy_evaluated → dkimpolicy_evaluated → spf
チェック観点
passが大半か?failが定期的・大量に出ていないか?
要注意
fail + none/quarantine/rejectが急増
→ なりすまし or 設定ミスの可能性大
2. 送信元IPアドレス(source_ip)
- 見る項目
source_ipcount(そのIPから何通来ているか)
チェック観点
- 見覚えのないIPが送信していないか?
- 同一IPから大量送信されていないか?
実務的判断
- 自社のメールサーバ/Google/Microsoft以外のIP
→ ほぼ「なりすまし」候補
3. Fromドメインと認証ドメインの一致(アライメント)
- 見る項目
header_fromdkim → domainspf → domain
チェック観点
- Fromドメインと DKIM/SPF ドメインが一致しているか?
典型的なNG例
- From:
example.co.jp - DKIM:
sendgrid.net(未設定)
→ DMARC fail
② 次に見るべき重要ポイント(実務判断)
4. DKIM / SPF どちらで失敗しているか
- 見る項目
dkim → resultspf → result
判断基準
| 状況 | 対応 |
|---|---|
| SPF fail / DKIM pass | SPF設定見直し |
| SPF pass / DKIM fail | DKIM鍵・署名設定 |
| 両方 fail | なりすまし or 致命的設定ミス |
5. 正規配信ツールが失敗していないか
- MAツール、請求書送付、フォーム通知など
チェック観点
mailchimp,sendgrid,kintone,freee等のIP/ドメイン- fail になっていないか?
よくある事故
- SPFに入れ忘れ
- DKIMを設定したつもりで未有効
③ ポリシー調整のために見るポイント
6. disposition(none / quarantine / reject)
none:監視モードquarantine:迷惑メールreject:拒否
実務目線
noneで fail が多い → まだrejectは早い- 正規メールがすべて pass →
quarantine → reject検討可
7. 件数の推移(時間軸)
- 日別・週別で fail が増減していないか
注意点
- ある日突然 fail が急増
→ 新しいツール導入 or 攻撃開始
④ よくある危険サイン(即対応)
- 知らないIPから 毎日failが継続
- 海外IP+大量送信
- reject設定後に「届かない」問い合わせ増加
⑤ 初心者向け・最低限の読み方まとめ
この3つだけ見ればOK
- fail がどれくらいあるか
- 知らないIPが送っていないか
- 正規メールが fail していないか
とりあえずは初心者向けで、FAILの数確認から始めます。
そんなところで
