![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
DMARCとは,上で設定したSPFやDKIMといった認証技術を利用し,詐称された(なりすまされた)メールを受信者がどう扱うべきかをドメイン管理者が宣言・制御するものである.
送信側でこれを利用するためには,SPFやDKIMの設定と同様にこのドメインを管理しているDNSのゾーン情報にTXTレコードを一つ追加するだけでいい.
具体的には,以下のようなTXTレコードを追加する.
_dmarc.example.net. IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:admin@example.net; sp=reject;"
レコードのエントリ名は,上記例のようにドメイン名の前に_dmarc.を追加する.レコードの中で必須のものは,DMARCのバージョンを指定するvタグと,SPFやDKIMによる認証が失敗した場合に受信者にどう処理して欲しいかのポリシーを宣言するpタグの二つである.DMARCのバージョン指定については,現在はバージョン1しか無いようなのでv=DMARC1;と指定すればいい.ポリシーの宣言については,以下に挙げる3種類から選ぶ.
pctタグは任意で指定できるもので,該当したメールのうちどれだけの割合のメールを実際にポリシーに従って処理するかを指定する.pctタグを指定しなかった場合はDMARCのチェックを通過しなかった全てのメールについてポリシーに従って処理される.DMARCによる認証結果は日々レポートとして記録されるが,これを特定のメールアドレスで受信したい場合は,ruaタグで指定する.spタグでは,ドメインのサブドメインを用いたメールについてどう処理するかを指定する.指定する内容はpタグと同様である.
DMARCを設定する際には,徐々にルールを厳しくしていく方法が望ましいとされている.まずはpタグでnoneを指定してruaタグで指定したメールアドレスに届く日々のレポートで結果を確認し,問題が無ければpタグでquarantineを指定する.そして全てのメールで意図したように署名がなされ,問題なく運用できていることが確認できたらpタグにrejectを指定する.また,quarantineやrejectを指定する際にpctタグで初めは20などの低い割合を指定し,徐々に100に近づけていく方法を取ることでよりじっくりとDMARCを導入できる.
![[heart]](image/face/heart.png)
