「取引先からのメールだと思って開いたら、実は偽物だった」
「自社の名前を使った不審なメールが出回っていると連絡が来た」
こうした“なりすましメール”は、企業の規模を問わず、日常的に送られてきています。
なりすましメール対策としてよく出てくるのが、SPF、DKIM、DMARCという言葉です。中でもDMARCは、自社ドメインを悪用したメールを見つけ、受信側に「このメールをどう扱ってほしいか」を伝えるための重要な仕組みです。
Google Workspaceの管理者向け説明でも、DMARCはSPFまたはDKIMに合格しないメールに対して、受信サーバーが拒否・隔離・通常配信のどれを行うか判断するための仕組みとされています。
特に2024年以降、Googleや米Yahoo!が発表した「メール送信者ガイドライン」の影響により、セキュリティ対策としてだけでなく、「メールを確実に届けるための必須条件」として「DMARC(ディーマーク)」が注目されています。
(参考)メールとWebが一番狙われる理由とは?中小企業がまず強化すべき「入口対策」
今回は、DMARCの基本、SPF・DKIMとの違い、SEGとの関係、そして実際に何から始めればよいのかを分かりやすく解説します。
DMARCとは?自社ドメインの「なりすまし」を防ぐ仕組み
DMARC(ディーマーク)とは、「Domain-based Message Authentication, Reporting and Conformance」の略で、メールの送信元ドメインが正しいかを確認し、不正なメールをどう扱うかを受信側に伝えるための仕組みです。
簡単に言うと、DMARCは「この会社のドメインを名乗るメールが届いたとき、本当にその会社から送られたものかを確認し、怪しい場合はどう処理するかを決めるルール」です。
例えば、攻撃者が example.co.jp という会社のメールアドレスを装って、取引先に請求書メールを送ったとします。見た目上は本物の会社から届いたように見えても、実際には攻撃者のサーバーから送られている場合があります。
DMARCを設定しておくと、受信側のメールサーバーは「このメールは本当にexample.co.jpが認めた送信元から送られているのか」を確認できます。そして、認証に失敗した場合には、「そのまま受信する」「迷惑メールに隔離する」「受信拒否する」といった対応を取ることができます。
つまりDMARCは、自社に届くメールを守るというより、自社のドメインが第三者に悪用されることを防ぐ対策です。自社名を使った詐欺メールが取引先に届けば、直接の金銭被害がなくても、会社の信用は大きく損なわれます。中小企業にとっても、ブランドや取引先との信頼を守るために重要な対策です。
SPF・DKIM・DMARCの違いを整理する
DMARCを理解するには、SPFとDKIMとの関係を押さえておく必要があります。これらは3つセットで語られることが多いですが、それぞれ役割が異なります。
| SPF(Sender Policy Framework) |
| 「このドメインのメールを送ってよいサーバーはどれか」をDNS※に登録する仕組み |
| あらかじめ登録したサーバー以外からの送信をチェックします。たとえば、自社がGoogle WorkspaceやMicrosoft 365を使ってメールを送っている場合、「このサービスから送られたメールは正規のものです」と示す役割があります。 |
※DNS((Domain Name System)):ドメイン名とサーバー情報を紐づける仕組みです。インターネット上の「ドメイン名」(例: google.com)と「IPアドレス」(例: 192.0.2.1)を自動的に変換するシステムで、人間が理解しやすいドメイン名を、コンピューターが認識できる数字の羅列(IPアドレス)に変換します。
| DKIM(DomainKeys Identified Mail;ディーキム) |
| メールに電子署名を付ける仕組み |
| メールの内容が途中で改ざんされていないか、正しい送信元から送られているかを確認するために使われます。 |
そして
| DMARC(Domain-based Message Authentication, Reporting and Conformance ;ディーマーク) |
| SPFやDKIMの認証結果を使い、「認証に失敗したメールをどう扱うか」を受信側に伝える仕組み |
| DMARCは単独で機能するものではなく、SPFやDKIMの認証結果を前提に動作します。DMARC.orgでも、DMARCはSPFとDKIMの実運用を前提に設計された仕組みだと説明されています。 |
簡単に整理すると、次のようなイメージです。
| 仕組み | 役割 | たとえるなら |
| SPF | 送信してよいサーバーを確認する | 「この配送業者は正規です」 |
| DKIM | メールに電子署名を付ける | 「封筒に改ざん防止の印鑑を押す」 |
| DMARC | 失敗したメールの扱いを決める | 「怪しい郵便物は受取拒否してください」と指示する |
いわば、SPFとDKIMが「身分証明書」なら、DMARCは「偽造品を見つけた際のアクションマニュアル」と言えます。
この3つを組み合わせることで、なりすましメールを見分けやすくなり、自社ドメインの信頼性を高めることができます。
なぜ中小企業にもDMARCが必要なのか
「うちは有名企業ではないから、なりすまされることはない」
という考えは、現代のサイバー攻撃においては通用しません。
むしろ、取引先との関係性、請求書のやり取り、日常的なメール運用の中に“だませる余地”があるかどうかが重要で、対策が手薄な中小企業を足がかりに取引先(大企業)を狙う「サプライチェーン攻撃」の踏み台にされるリスクが高まっています。
例えば、次のようなケースが考えられます。
|
特に中小企業では、メールの設定が導入時のままになっていたり、複数の外部サービスから自社ドメインのメールを送っていたりすることがあります。Google Workspace、Microsoft 365、メール配信システム、CRM、請求書発行サービス、採用管理ツールなど、送信元が増えるほど、正しく管理しないと認証ミスが起こりやすくなります。
DMARCには、認証状況のレポートを受け取れる機能もあります。これにより、「自社ドメインを使って、どこからメールが送られているのか」「正しく認証されていない送信元はないか」を把握できます。Googleの説明でも、DMARCレポートは認証の問題や不審な活動を把握するために役立つとされています。
つまりDMARCは、単なる技術設定ではなく、自社のメール利用状況を“見える化”するための管理手段でもあります。
DMARCの3つのポリシー:none・quarantine・reject
DMARCには、主に3つのポリシーがあります。これは、DMARC認証に失敗したメールをどう扱うかを受信側に伝える設定です。
DMARCのポリシーは、DNS上で「p=none」「p=quarantine」「p=reject」のように設定します。この「p」はpolicy(ポリシー)の略で、認証に失敗したメールを受信側にどう扱ってほしいかを示すものです。
| 1つ目 | p=none |
| これは「監視のみ」の状態です。認証に失敗したメールがあっても、受信側に拒否や隔離を強く求めるわけではありません。まずはレポートを受け取り、現状を把握するために使われます。 | |
| 2つ目 | p=quarantine |
| これは、認証に失敗したメールを迷惑メールフォルダなどに隔離してもらう設定です。いきなり拒否するのではなく、段階的に防御を強めたい場合に使われます。 | |
| 3つ目 | p=reject |
| これは、認証に失敗したメールを受信拒否してもらう設定です。なりすましメール対策としては最も強い設定ですが、正規のメール送信元が正しく設定されていない状態で導入すると、本来届くべきメールまで届かなくなる可能性があります。 | |
そのため、中小企業ではいきなり reject にするのではなく、まずは none でレポートを確認し、正規の送信元を洗い出し、SPFやDKIMを整えたうえで、段階的に quarantine、reject へ進めるのが現実的です。
DMARCは「設定すれば終わり」ではありません。新しいメール配信サービスを使い始めたとき、問い合わせフォームを変更したとき、MAツールや請求書発行サービスを導入したときなど、自社ドメインでメールを送る仕組みが増えるたびに確認が必要です。
まずは「p=none」で監視から始め、問題がないことを確認しながら、段階的に「p=quarantine」「p=reject」へ進めるのが一般的です。
DMARC単独とSEG導入は何が違うのか
以前のLYST’sコラム「メールとWebが一番狙われる理由とは?」では、メールの入口対策としてSEG(Secure Email Gateway)を紹介し、その主な機能の一つとして、SPF/DKIM/DMARCによるなりすましメール対策に触れました。
SEGは、スパムメール、マルウェア、フィッシング、不審なURLなどをメールの入口で検査し、危険なメールを社員に届く前に隔離する仕組みです。SEGが受信メールを検査する際に、SPF・DKIM・DMARCの認証結果を利用して、怪しいメールを判定・隔離しているのです。
(参考)メールとWebが一番狙われる理由とは?中小企業がまず強化すべき「入口対策」
一方で、自社ドメインをなりすましから守るためのDMARC設定は、SEGを導入するだけで自動的に完了するものではありません。DMARCは、自社のDNSに設定し、受信側に「認証に失敗したメールをどう扱ってほしいか」を伝える仕組みです。
整理すると、次のようになります。
| 対策 | 主な目的 | 守る対象 |
| DMARC | 自社ドメインのなりすまし防止 | 取引先・顧客・自社ブランド |
| SEG | 危険な受信メールの検査・隔離 | 社員・社内ネットワーク |
| SPF/DKIM | 送信元の正当性確認 | メール認証の土台 |
| 社員教育 | 怪しいメールへの判断力向上 | 人の判断ミス |
つまり、DMARCは「自社の名前を悪用されないための対策」、SEGは「社員が危険なメールを開かないための対策」です。
中小企業の場合、まずDMARCで自社ドメインの状態を把握し、なりすまし対策の土台を整える(自社ドメインの悪用防止)。そのうえで、受信メールのリスクが高い場合や、社員数・拠点数・取引先が多い場合には、SEGの導入を検討する。この順番が分かりやすいでしょう。
BIMIやID・パスワード運用ともつながるDMARC
DMARCは、なりすましメール対策だけでなく、今後のメール信頼性やブランド表示にも関係します。
その一つがBIMI(Brand Indicators for Message Identification;ビミ)です。
BIMIとは、対応するメールサービス上で、企業の公式ロゴをメールの横に表示するための仕組みです。受信者にとっては、「このメールは正規の企業から届いたものらしい」と判断しやすくなるため、ブランド信頼性の向上にもつながります。
- 視覚的な安心感: 受信者が一目で「本物のメールだ」と判断できる。
- 開封率の向上: ロゴが表示されることで、他のメールに埋もれず目立ちやすくなる。
- マーケティング効果: セキュリティ対策をブランドの信頼性に転換できる。
ただし、BIMIを利用するには、DMARCが適切に設定されていることが前提になります。BIMI GroupのFAQ でも、BIMIには少なくともDMARCアライメントが必要で、多くのプロバイダーではロゴの権利を証明する証明書が求められる場合があると説明されています。
また、BIMIの表示にはDMARCポリシーが quarantine または reject であることが条件になる場合があります。
それから、DMARCは「ドメイン」の正当性を証明しますが、「アカウントそのものの乗っ取り」を防ぐことはできません。
もし社員のメールアカウントのIDとパスワードが盗まれ、本人のアカウントから悪意あるメールが送られた場合、それは「正当な送信元」からの送信となるため、DMARCを通過してしまいます。
しかし、DMARCによって自社ドメインを装ったメールの悪用を減らすことで、偽メールによるID・パスワード窃取のリスクを下げることができます。
あわせて、次のような対策も重要です。
|
DMARCは、メール認証の技術ではありますが、実際にはID管理、パスワード管理、社員教育、ブランド保護とつながるセキュリティ対策です。
中小企業がDMARCを始めるときの進め方
中小企業がDMARCに取り組む場合、まず重要なのは「いきなり強い設定にしない」ことです。設定を誤ると、正規のメールまで届かなくなる可能性があるためです。
|
1 |
最初のステップは、自社がどこからメールを送っているかを洗い出すことです。 Google WorkspaceやMicrosoft 365だけでなく、メール配信システム、問い合わせフォーム、請求書発行サービス、採用管理ツール、CRM、MAツールなども確認します。 |
↓
|
2 |
次に、SPFとDKIMが正しく設定されているか確認します。 DMARCはSPFやDKIMの結果をもとに動くため、この土台が整っていないと正しく機能しません。 |
↓
|
3 |
そのうえで、DMARCを p=none から始め、レポートを確認します。 どの送信元が正しく認証されているか、認証に失敗している送信元はないか、不審な送信元はないかを確認します。 |
↓
|
4 |
問題が整理できたら、段階的に quarantine、最終的には reject を検討します。 特に、取引先とのメールが多い企業、請求・契約・採用・顧客対応をメール中心で行っている企業は、早めに取り組む価値があります。 |
ただし、DNS設定やメール認証の確認には専門的な知識が必要です。社内に詳しい担当者がいない場合は、無理に自社だけで対応しようとせず、外部の専門家に相談することも現実的な選択肢です。
まとめ:DMARCは“守れる会社”のメール対策の土台
DMARCは、なりすましメール対策の基本となる仕組みです。自社ドメインを悪用したメールを見つけ、受信側にどう扱うべきかを伝えることで、取引先や顧客を守り、自社の信用を守ることにつながります。
ただし、DMARCだけですべてのメール攻撃を防げるわけではありません。DMARCは自社ドメインのなりすまし対策、SEGは危険な受信メールの入口対策、EDRは端末側の検知・対応、SOCやMDRは監視・運用の仕組みです。
「中小企業のための“守れる会社”の作り方」という視点で見ると、DMARCはメールセキュリティの土台にあたります。まずは自社のメール送信状況を把握し、SPF・DKIM・DMARCを整える。そのうえで、必要に応じてSEGや社員教育、ID管理、多要素認証などを組み合わせることが大切です。
メールは、今も多くの企業にとって最も重要な業務インフラです。だからこそ、「メールは届けばよい」ではなく、「信頼できる形で届く」「自社の名前が悪用されない」状態をつくることが、これからの中小企業に求められるセキュリティ対策です。
(参考)メールとWebが一番狙われる理由とは?中小企業がまず強化すべき「入口対策」
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
(参考)SOCとは?中小企業に監視体制は必要か|SIEM・MDRとの違いも解説
セキュリティ対策は、コストではなく「信頼への投資」です。LYSTでは、中小企業の皆様が無理なく、効果的にセキュリティレベルを向上させられるようサポートしております。DMARC導入やメールセキュリティに不安がある方は、ぜひ一度ご相談ください。
