第2回の手順でSPF/DKIMはすでに完了しています。
本回ではDMARCのTXTを追加し、SPF/DKIM/DMARCの3点がすべてpassすることを検証。まずは
p=none
で“見える化”から始め、問題がなければ段階的にquarantine → rejectへ強化します。
前提:SPF(include:spf.protection.outlook.com)1本化と、DKIMの有効化(d=aznote.online 署名)が済んでいること。どちらか未了の場合は第2回を先に完了してください。
Step 1:DMARC(p=none)を追加する
まずは監視(見える化)の設定から始めます。DNSにTXTを1本追加してください。
| タイプ | ホスト名 | 値 | TTL |
|---|---|---|---|
| TXT | _dmarc | v=DMARC1; p=none; rua=mailto:dmarc@aznote.online; fo=1 | 3600 |
rua:集計レポートの宛先。dmarc@aznote.onlineのメールボックスを作るか、受信できるアドレスを指定。fo=1:失敗時の詳細(フォレンジック)レポートを要求。受信側の方針により届かないこともあります。
権威DNS(NS)がMicrosoft側でも、お名前.com側でも、権威側の管理画面でTXTを追加すればOK。どちらが権威か不明なら、nslookup -type=ns aznote.online で確認しましょう。
Step 2:DNSとメールで認証を確認する
DNSで確認
nslookup -type=txt _dmarc.aznote.online # → v=DMARC1; p=none; ...
nslookup -type=txt aznote.online # → SPF が見える(v=spf1 include:... -all)
nslookup -type=cname selector1._domainkey.aznote.online
nslookup -type=cname selector2._domainkey.aznote.online
メールで確認(ヘッダ)
you@aznote.onlineから外部(例:Gmail)へ送信。- 受信側で「メッセージソース」を開き、Authentication-Results を確認:
spf=pass/dkim=pass/dmarc=passが理想。
監視開始直後はdmarc=passでなくても、少なくともDMARCレコードが検出されていることを確認。
もっと簡単な方法としては、なりすまし対策ポータルナリタイが提供している【DMARC DKIM CHECK】を利用する方法です。画像にある「CHECK」ボタンを選択すると新規メールが送られるので、メールを送るとSPF、DKIM、DMARCの登録状況がメールで送られてきます。
Step 3:レポートを見ながら段階強化する
1〜2週間ほどレポートを観察し、正規の送信元しか見えないことを確認したら、段階的に強化します。
推奨の強化ステップ
- 厳格アラインメント(任意):
adkim=s; aspf=sを追記。署名/送信元のドメインズレを許容しません。 - 検疫を一部から:
p=quarantine; pct=25など、適用率を低めに開始。 - 最終的に拒否: 問題がなければ
p=reject; pct=100へ。
例:厳格化+検疫25%
v=DMARC1; p=quarantine; pct=25; adkim=s; aspf=s; rua=mailto:dmarc@aznote.online; fo=1
トラブル時の見直しポイント
- SPFがfail:第三者送信(例:ニュースレター、フォームSaaS)の送信IP/ドメインがSPFに含まれていない可能性。ベンダーの推奨SPFを確認。
- DKIMがfail:該当送信システムでDKIM署名が無効か鍵が古い。送信元アプリの署名設定を確認。
- 正規メールがDMARCで弾かれる:段階強化の過程(
quarantine/reject)ではpctを小さく運用し、送信チャネルを洗い出してから100%へ。
安全運用の覚書
- SPFはTXTを1本に統合(重複はNG)。
- SMTP AUTHは組織既定で無効、必要ユーザーのみ個別許可。
- レガシー認証(IMAP/POP/古いActiveSync)は無効化。
前後の回
前へ:第2回(TXT検証) | 次へ:第4回(ユーザー作成/既定ドメイン/送受信テスト) | 連載ハブへ戻る
PR:一部にアフィリエイトリンクを含む場合があります。選定基準/検証環境は本文に記載し、利点/欠点を併記します。
コメント