青いヒーローの背景にDMARCポリシーオプションのなし、検疫、拒否。左側にオウムのマスコット、右側に通知封筒。

DMARCポリシー解説:なし、隔離、拒否

要約:ChatGPTPerplexity

DMARCポリシーとは、認証に失敗したメールをどのように処理するかを受信メールサーバーに指示する、DMARCレコード内の命令のことです。3つのオプションがあります:なし(監視のみ)、隔離(迷惑メールに送信)、拒否(完全にブロック)。DNSレコードにp=と記述されるこの単一のタグは、メールトラフィックを監視するだけのDMARCと、なりすましメッセージを実際に受信トレイに届かないようにするDMARCとの違いとなります。

すでにDMARCレコードがある場合、ポリシーは簡単に見つかります。レコード内のp=のすぐ後にあります:

v=DMARC1; p=quarantine; rua=mailto:[email protected]

この例では、ポリシーはquarantineです。以下で、3つのポリシーそれぞれが何をするのか、それぞれの正確なレコード構文を示し、監視から完全実施への移行に関する現実的なタイムラインを提示します。

すでにDMARCポリシーを設定していますか?

ドメインにDMARCレコードがあるかどうか、またはどのポリシーを使用しているか不明な場合は、まずそれを確認する必要があります。それがすべてにおいて重要になる前に。

最も簡単な方法は、MXToolboxのような無料のDMARCルックアップツールを使用することです。ドメインを入力すると、存在する場合、p=の値を含む完全なレコードが表示されます。次の3つのうちのいずれかを確認できます:

  • DMARCレコードが見つかりません。ドメインにはポリシーがまったくありません。これは、誰でも結果なしでメールでドメインを偽装できることを意味します。
  • p=noneのレコード。DMARCは監視モードで設定されていますが、まだ何も実施していません。
  • p=quarantineまたはp=rejectのレコード。DMARCは積極的にポリシーを実施しています。

何も表示されない場合は、ポリシーが適用される前にDMARCレコードを作成する必要があります。DNSプロバイダーを通じてレコードを追加するためのスクリーンショット付きの完全なガイドをDMARCレコードの作成方法に記載しました。このガイドでは、DNSレコードがどこにあるか(ホスト、レジストラ、またはCDN)、入力する正確なフィールド、および公開後にレコードが有効であることを確認する方法について説明しています。

確認する際には、WordPressサイト自体の送信メールが、そもそもSPFおよびDKIMを通過するように設定されているかどうかも確認する価値があります。WP Mail SMTPは、サイトが送信するすべてのメールの認証ステータスを表示するため、DMARCがフラグを立てようとしているソースの1つが自分のサイトであるかどうかを推測する必要はありません。

WordPressメールを今すぐ修正する

DMARCレコードを確認する

この記事の残りの部分では、すでにレコードがあるか、または作成したばかりで、どのポリシーを選択し、いつ変更するかを理解したいと考えていることを前提としています。

なし vs. 隔離 vs. 拒否の概要

p=nonep=quarantinep=reject
失敗したメールの処理通常通り配信迷惑メール/ジャンクフォルダに送信配信前にブロック
保護レベルなし(監視のみ)一部全体
設定ミスによる配信リスクなし正当なメールが迷惑メールに分類される可能性正当なメールがバウンスする可能性
最適な使用時期開始時、送信者のマッピング送信者の大部分が確認済み、強制のテストすべての送信者が確認済み
レポートはまだ送信されていますか?はいはいはい

p=none:実施なしの監視

p=none は、DMARCを初めて公開するすべてのドメインの初期ポリシーです。これは、受信サーバーに認証に失敗したメールに対して何もアクションを取らないように指示します。失敗したメッセージは、DMARCがない場合とまったく同じように配信されます。唯一変わることは、どのソースがドメインとしてメールを送信しているか、そしてそれらがSPFとDKIMに合格しているかを示す集計レポートを受け取り始めることです。

v=DMARC1; p=none; rua=mailto:[email protected]

p=none の機能:

  • ドメインの代わりにメールを送信しているすべてのサーバーに関する可視性を生成する
  • 強制アクションが取られないため、配信に影響を与えない
  • 公開するために事前のSPFまたはDKIM設定を必要としない

p=none の機能ではないこと:

  • ドメインを使用したフィッシングやなりすましの試みを停止する
  • ブランドや受信者をいかなる方法でも保護する
  • 有効な長期ポリシーとして機能する

無期限に p=none に設定されているドメインは、DMARCレコードはありますが、実際の保護はありません。これはDMARC展開で最もよくある間違いです。監視をゴールではなく最初のステップとして扱ってしまうことです。

p=quarantine:移行期間中の実施ポリシー

p=quarantine は、受信サーバーに失敗したメッセージを疑わしいものとして扱い、通常は受信トレイではなく受信者のスパムまたはジャンクフォルダにルーティングするように指示します。メールは完全にブロックされるわけではありません。まだ届きますが、通常とは異なる場所に届きます。

v=DMARC1; p=quarantine; rua=mailto:[email protected]

「隔離」がどのように処理されるかは、メールプロバイダーによってわずかに異なります。一部のプロバイダーは、メッセージを移動する代わりに、疑わしいものとしてフラグを付けます。GmailやOutlookを含むほとんどのプロバイダーは、スパムに送信します。いずれにしても、実質的な効果は同じです。認証に失敗した正当なメールは、受信者にとって見つけにくくなります。そのため、隔離は、すべての既知の送信者が正しく設定されていると確信できる場合にのみ設定する必要があります。

ドメインが隔離を中間ステップとして使用する理由:

  • 設定ミスがバウンスになる前に検出します。正当な送信者がDMARCに失敗し始めた場合、メールは完全に消えるのではなく、スパムに届きます。問題を発見して修正できます。
  • rejectへの信頼を構築します。隔離が数週間クリーンに実行されるのを見ることは、完全な強制の準備ができていることを示す最も明確なシグナルです。
  • 段階的に適用できます。 pctタグを使用すると、最初に失敗したメールの一定の割合のみを隔離できます(詳細は後述)。

p=reject:完全実施

p=reject は最も厳格なポリシーです。受信サーバーに、DMARC認証に失敗したメールを配信前にブロックするように指示します。受信トレイもスパムフォルダもありません。メッセージは拒否されます。

v=DMARC1; p=reject; rua=mailto:[email protected]

受信サーバーがrejectを実装する一般的な方法は2つあります:

  • SMTP接続での拒否。受信サーバーは、メッセージが完全に受け入れられる前に、初期接続中にメッセージを拒否します。これはより広く使用されている方法であり、ほとんどのメールプロバイダーが推奨する方法です。
  • 受け入れて、破棄する。 サーバーはメッセージを受け入れ、サイレントに破棄するか、送信者にバウンスバックします。これはまれですが、DMARC仕様では依然として有効です。

拒否は、真剣なDMARC展開の最終目標です。また、間違いが最も顕著になるポリシーでもあります。正当な送信者が正しく認証されていない場合、メールは検出できる迷惑メールフォルダに届きません。単に届かず、通知するソフトフェイルもありません。

pctおよびspタグ

2つの追加タグにより、ポリシーの適用方法を制御できます。どちらも、p=none を超える前に知っておくと良いでしょう。

pct は、失敗したメールのどの割合にポリシーが適用されるかを制御します。 100%の強制に直接移行するのではなく、まず失敗したトラフィックの小さな部分に隔離または拒否を適用できます。

v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]

その割合の外にあるメッセージは、ポリシーがまだp=noneであるかのように扱われます。これにより、すべてか無かの切り替えではなく、段階的な移行が可能になり、すべての送信者が考慮されていると確信できない場合に、強制に移行する最も安全な方法となります。

sp は、サブドメインに個別のポリシーを設定します。 これがないと、サブドメインはメインドメインに設定したポリシーを継承します。

v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]

この例では、ルートドメインに拒否を強制しながら、サブドメインにはよりソフトな隔離ポリシーを与えています。これは、サブドメインが別のチームによって管理されている場合や、まだ完全に認証されていない場合に役立ちます。このタグをスキップするのは一般的な見落としです。ドメインはp=rejectで完全にロックダウンできますが、監視されていないサブドメインはなりすましに対して広く開いたままになります。

なしから拒否への移行にかかる実際の時間

DMARC仕様に固定のタイムラインはありませんが、ロールアウトを急ぐことが正当なメールがブロックされる最も一般的な方法です。防御可能で一般的に推奨されるペースは次のとおりです。

  • p=none で少なくとも2〜4週間維持します。 ドメインが複数のサードパーティツール(マーケティングプラットフォーム、CRM、ヘルプデスクソフトウェア、請求ツール)を介して送信する場合は、さらに長く維持します。この期間中に集計レポートを確認し、すべての正当な送信者がSPFまたはDKIMに合格していることを確認します。
  • 既知の送信者がクリーンになったら p=quarantine に移行します。 低いpct値(例:25)から開始し、レポートに正当なトラフィックが捕捉されていないことを確認しながら増やしていきます。
  • 隔離が100%で実行され、正当なメールに影響がないことを確認してから、p=reject に進みます。 ほとんどのドメインは、開始から数ヶ月から約1年かけてこの段階に到達します。これは、認証する必要のある送信ソースの数によって異なります。
DMARCポリシー図(3つのステージを示す):p=none(監視)、p=quarantine(部分的実施)、p=reject(完全実施)。

ステップをスキップすることが、ほとんどのDMARCロールアウトが失敗する原因です。単一のメールプロバイダーを持つドメインは迅速に進む可能性があります。多数のマーケティング、サポート、トランザクションツールを介して送信するドメインは、より多くの時間が必要です。なぜなら、それらのソースのすべてが、強制が安全になる前に認証に合格する必要があるからです。

避けるべき一般的な間違い

  • 直接拒否に移行する。 すべての正当な送信者が認証されていることを確認する前にp=rejectを発行すると、実際のメールがバウンスされることがあります。警告なしに。
  • p=noneは適用されません。適用ポリシーのないDMARCレコードは、可視性を提供しますが、なりすましに対する実際の保護は提供しません。
  • サブドメインの無視。spが設定されていない場合、攻撃者はメインドメインが完全に適用されていても、ロックダウンされていないサブドメインを標的にすることができます。
  • 段階を踏まない。p=noneから100%拒否へ一度に移行するのは、pct値を徐々に段階的に進めるよりもリスクが高くなります。
  • 新しい送信者の追加後に再確認しない。新しいマーケティングツールやトランザクションメールサービスは、送信ミックスに追加される前にSPFまたはDKIMに合格する必要があります。そうしないと、適用がアクティブになった瞬間にDMARCの失敗が始まります。

ステップをスキップすることが、ほとんどのDMARCロールアウトが失敗する原因です。単一のメールプロバイダーを持つドメインは迅速に進む可能性があります。多数のマーケティング、サポート、トランザクションツールを介して送信するドメインは、より多くの時間が必要です。なぜなら、それらのソースのすべてが、強制が安全になる前に認証に合格する必要があるからです。

WordPressサイトがこれらの送信元の一つである場合、早期に確認する価値があります。WordPressのデフォルトのメール機能は、PHP mail()またはサーバーが設定されているものを使用して送信されますが、ドメインの他の部分が正しく設定されていても、SPFおよびDKIMアライメントが失敗することがよくあります。WP Mail SMTPは、WordPressメールを認証済みSMTP接続経由でルーティングするため、サイト自身のメールが、検疫または拒否への移行を妨げる唯一の送信者になることを防ぎます。

WordPressメールを今すぐ修正する

よくある質問

DMARC p=noneとはどういう意味ですか?p=noneは、DMARCが監視モードであることを意味します。認証に失敗したメールは通常どおり配信されますが、ドメインとしてメールを送信しているソースと、それらがチェックに合格しているかどうかを示すレポートが届きます。

DMARCの検疫と拒否の違いは何ですか?検疫は、認証に失敗したメールを受信者のスパムフォルダに送信するため、配信はされますが、見つけにくくなります。拒否は、配信前に認証に失敗したメールをブロックするため、スパムであっても決して届きません。

p=noneにどのくらい留まるべきですか?少なくとも2〜4週間ですが、複数のサードパーティ送信者がいるドメインでは、適用に進む前にすべてのソースが正しく認証されていることを確認するために、より長い時間が必要になることがよくあります。

DMARCポリシーは配信に影響しますか?p=noneは配信に影響しません。p=quarantineおよびp=rejectは、正当な送信者が正しく認証されていない場合、配信に影響を与える可能性があります。そのため、どちらも徐々に適用し、送信者がクリーンであることを監視で確認した後にのみ適用する必要があります。

次に、DMARCレコードを作成する

ロールアウトのどこにいるかに合ったポリシーがわかったら、レコードを正しく公開することは、正しいものを選択することと同じくらい重要です。私のDMARCレコードの作成方法ガイドでは、DNSに正確な構文を追加する方法をステップバイステップで説明しているため、タイプミスで適用が壊れるリスクはありません。

メールの修正準備はできましたか?今日から始めましょう WordPressの最高のSMTPプラグインで。メールを修正する時間がない場合は、追加購入で完全なWhite Glove Setupアシスタンスを利用でき、すべての有料プランで14日間の返金保証が付いています。

この記事がお役に立った場合は、WordPressのヒントやチュートリアルについては、FacebookとTwitterでフォローしてください。

開示:当社のコンテンツは読者によってサポートされています。これは、当社のリンクの一部をクリックすると、手数料が発生する可能性があることを意味します。WPFormsがどのように資金調達されているか、なぜそれが重要なのか、そしてどのように私たちをサポートできるかをご覧ください。

レイチェル・アドニャナ

レイチェルは 10 年間 WordPress に関する執筆を行い、それよりも長い間ウェブサイトを構築してきました。ウェブ開発と並行して、SEO とデジタルマーケティングの芸術と科学に魅了されています。もっと詳しく

無料のWP Mail SMTPプラグインをお試しください

お気に入りのSMTPプロバイダーを使用して、WordPressのメールを確実に送信してください。