(2025年11月11日)
本コラムでは非エンジニアの方に向けて、DMARCに関連した情報をお届けします。
想定している読者は、日々取引先やお客様とメールをやり取りしている方です。エンジニアの方であっても普段メールプロトコル関係の開発/運用に関わってない方も想定しています。つまり、DMARC業界関係者の方を除いてほぼ全員ということになりますね☺️
中でも、DMARC?なにそれ?という方を念頭において本コラムは書き進めていきます。DMARCは知っているけど、イマイチ分かりにくくて腹落ちできてない…という方にも復習がてら読んで頂けるような内容にする予定です。
弊社の過去発信と同様、このコラムも「難しい技術を分かりやすく伝える」ことを最重要視し、どのサイトよりも分かりやすいDMARC解説を目指して書き綴っていきたいと思います。
では早速始めていきましょう。
まず最初は、DMARCとは何か?…ではなく(えっ!?😳)、DMARCを取り巻く状況について解説してみます。とりあえずは現状理解から。DMARCの言葉の意味や定義、設定の仕方は、後からでも十分です。
DMARCという言葉をチラホラと見聞きするようになった気がします。ECサイト関係者の方は特にそう感じておられるかも。数年前から以下のような発信が目立つようになってきたからですね。
前者は、経済産業省・総務省・警察庁の共同要請で、後者はフィッシング対策協議会から。なかなか物騒に喧伝されるDMARCですが、おそらく多くの人が知ることになったきっかけは、Googleの以下ガイドラインの発表でしょう。
対応しないと、Gmail メアド向けのメルマガが届かなくなるかも!?と、業界もざわつきました。ただDMARCは理解するのが困難で、取り敢えずの対応でしのいだ企業も多かったようです。(DMARCには対応レベルがあって、未対応または最低レベルの企業が目立つ)
DMARCは難しい…と評されます。
それもその筈で、SPFとDKIM、DNSやメールの仕組みなど、前提となる関連技術が膨大だからです。足し算を知らないのに掛け算ができるわけないのと一緒で、物事には順番があり、まずDNS、そしてメールの仕組み、それからSPFとDKIMの理解、ようやくDMARCです。
DNSでさえ怪しいのに…という現場の肌感覚を基点にしたら、DMARCの正しい理解と適切な導入への道のりは、物凄く遠くて長く感じられて、最低レベルの対応でとりあえず良いや…となるのも仕方ありません。
誤った設定(具体的には、p=none;でrua指定なし) で対応が完了した気になっている企業も驚くほど多いです。左記の設定の意味は、非エンジニアの方にも理解できるよう今後解説していきますので、ご安心を。今は先の楽しみ(?)とさせて貰って、DMARCの設定には、レベルがあり、求められる関連知識が多く、それゆえに設定した気になりがち…とだけ理解頂ければ十分です。
そんなDMARCですが、業界的な現在位置を確認しておきましょう。結論、徐々に導入圧力が強まっているという状況にあります。こんなふうに。
- 2024年2月 : Google、大量送信者にDMARC必須化
- 2024年12月 : Yahoo! JAPANが、DMARCを使った迷惑メール判定強化
- 2025年2月 : ドコモ、メールに「迷惑メールフォルダ」を追加して判定強化
- 2025年5月5日 : Microsof、大量送信者にDMARC必須化
冒頭に3つあげたリンク先も併せると、「B2Cビジネスとか、カード決済とか、EC関係とか、メルマガ配信とかをしてるなら、DMARCは導入した方が良い」と思えるぐらいの温度感に感じられます。
別にウチは該当しないし、関係ないよね?…ぶっちゃけ、今はそれでもokです。
ただ、メールを取り巻くインターネットの情勢とDMARCの現状は、しっかりと把握はしておきたいところです。そのうち、すべての企業が、否が応にも例外なく対応しなくちゃならなくなるからですね。それはなぜか。
セキュリティ的に重要であると見聞きするようになり、技術の詳細は良く分からないが導入せざるを得ない、行政も業界団体も言ってるしネット全体がそんな機運だし…ウチもぼちぼち…
この感じ、10年ほどまえの何かに似てませんか?🤔
そう、Webサイトの常時SSL化対応(HTTPS対応) ですね。あの時も一緒でした。各ブラウザが対応を進め、常時SSL非対応なサイトを排除(警告表示)しはじめて、現場は対応を急かされた…、あの苦く面倒臭い経験です。
今度は、似たようなことがメールの世界にもやってきた。ひとまずはDMARCをそんな感触で捉えておくと良いでしょう。
- セキュリティ課題の対策強化が業界方針となる
- 行政も呼びかける、関係団体も呼びかける
- 非対応なものが除外・排斥され始める
- 現場は対応を迫られる
- 対応していて当然の世界がやってくる
Webサイトの常時SSL化では、まさにこうなっていきました。今ではすっかり 5 です。Web関係者の方は、例外なく記憶が蘇る筈です。そんなことあったなぁ、面倒くさかったなぁ…と。
興味深い(無視できない)のはその変遷。常時SSL化対応、最初は問い合わせフォームのページだけでした。でも全ページで求められるように厳しくなりましたよね。そして今は、既に 5 のステージにいるにも関わらず、さらに厳しくなろうとしています。近々、証明書の有効期間は100日とか47日とかに短くなっていく予定です。このように、セキュリティ的な対策要件は徐々に厳しくなってきましたし、なっていくものなのですね。
翻って、メールの世界のDMARCは今どうか。現在は 3 から 4 の間と言えます。再掲しますが、各社は動き始めています。
- 2024年2月 : Google、大量送信者にDMARC必須化
- 2024年12月 : Yahoo! JAPANが、DMARCを使った迷惑メール判定強化
- 2025年2月 : ドコモ、メールに「迷惑メールフォルダ」を追加して判定強化
- 2025年5月5日 : Microsoft、大量送信者にDMARC必須化
3 のステージ(非対応なものが除外され始める)に突入していて、4 のステージ(現場は対応を迫られる)が併せて迫ってきている状況です。
常時SSL化の要件が厳しくなっていった(し、これからもなっていく)ことを思い出して下さい。今後は、DMARCの要件も徐々に厳しくなっていくことでしょう。
で、肝心の「Q. DMARCの導入をしていなければどうなるのか?」のアンサーですが、
A. 自社から送信するメールが、自社内や取引先、既存顧客・潜在顧客に、いずれ届かなくなる or 迷惑メール行きがデフォルトになる可能性がある
です。結構、深刻ですよね。
でもまぁ正直、何年かかるかわかりません。Webサイトのhttps対応も10年近くかかってようやく対応率9割とかですから。(弊社の上場会社の常時SSL化対応レポート参照)
しかし、確実にやってくる未来。包囲網は狭まっていき(3)、現場は対応を求められようになり(4)、結果、ほぼ全ての企業がDMARCの導入をせざるを得なくなります(5)。Webサイトのhttps対応を「ウチはやりません」とはなかなかいかなかったのと同じです。
いぁ、それにしても…です。
常時SSL化対応と同じく、よく分からない(自分が価値を感じれない)モノの対応が強いられるのは、歯痒いものです。「また面倒くさいことが増えるのかよ」「今メール送受信で何も困ってないのに何で?巻き込まれ案件じゃん」等々と感じてしまうのもごもっとも。
しかし、DMARC導入の背景には、メールを使った犯罪が絶えない昨今のインターネット情勢があります。メールに関わる全ての関係者がそうした犯罪を皆で協力して減らしていきましょうよ…という取り組みが始まっていて、その取り組みの仕組みが DMARC なのです。
…と言われても、なかなか普通はピンときません。なので、具体例を次回コラムでお示しします。
どんなインターネット犯罪が背景にあり、なぜ「DMARC導入してねー」と圧力がかかり始めているのか、具体的な被害例をご紹介してDMARCの役割を解説したいと思います。弊社が遭遇した実例を公開しますので、リアリティも感じて頂けるかなと。「あ、そういうことなら導入しないとね」「DMARC考えた人、すげーな」と思って頂けると思います。