顧客と自社ブランドを“なりすまし”から守るDMARCポリシーの段階的引き上げ

いま、なりすましメール対策が急務な理由

　フィッシング詐欺の報告件数・被害額は年々増加拡大しています。フィッシング対策協議会によれば、フィッシングの報告件数は2018年の約2万件から2024年には約170万件、2025年は10月の時点で210万件に達しており、被害の裾野が広がっていることが報告されています。

　こうした状況で注目すべきは、被害者は金銭や個人情報を搾取されるユーザーだけではなく、自社のブランドを悪用されることで取引先や顧客からの信頼を失ってしまう企業もまた、深刻な被害者と言えることです。

　なりすましの標的となるブランドは多様化しており、従来から狙われてきたECサイトや金融機関に加え、これまであまり標的になっていなかった業種も被害に遭うようになっています。フィッシング対策協議会の「フィッシングレポート2025」では、「従来は狙われなかったブランドでも、対策が遅れ一度狙われると継続的に標的にされる傾向がある」と指摘されています。

　さらに、数年前までは不自然な日本語が散見されたフィッシングメールも、生成AIの進化によって、日本語を母語とする人間が書いたものと見分けがつかないほど自然で巧妙なものが急増しています。このような状況では、ユーザー側の注意や努力だけで被害を防ぐことが難しくなっています。

　だからこそ今、メールを配信する事業者側が主体となった技術的な対策の重要性がかつてなく高まっています。本稿では、特に効果的な手段であるDMARCポリシーの段階的な引き上げの進め方を、メール管理者向けに具体的に解説します。

DMARC導入の意義：被害を未然に防ぐ「ブランドの防御壁」

　では、事業者側が主体となって進めるべき対策とは、具体的に何でしょうか。その答えが「送信ドメイン認証」技術の導入と適切な運用です。

　最近、Gmailなどのメールクライアントで、送信元に企業のブランドロゴが表示されるのを目にしたことはないでしょうか。これは「企業ロゴ付きメール（BIMI、Brand Indicators for Message Identification）」と呼ばれる仕組みで、認証された正規のメールであることを視覚的に証明するものです。企業ロゴ付きメール（BIMI）を導入した企業は、顧客に対し「ブランドロゴが表示されていれば本物のメールです」という、極めて分かりやすい識別方法を提供できます。

　そして、この企業ロゴ付きメール（BIMI）を実現するための技術的な大前提となるのが、本稿のテーマである「DMARC（Domain-based Message Authentication, Reporting, and Conformance）」です。DMARCは、先行するSPFやDKIMといった認証技術と連携し、自社ドメインを騙る不正なメールを拒否する強力な防御壁となります。これらの設定は、まさに企業のメールサーバーや送信システムを管理・運用する技術者のみなさまが担うべき重要な役割なのです。

　本稿を執筆するGMOブランドセキュリティは、GMOインターネットグループのうち約50社を対象に、この企業ロゴ付きメール（BIMI）導入支援プロジェクトを完遂しました。その過程で、各社のDMARCポリシーを最も安全なレベルへと段階的に引き上げる実務を数多く経験し、安全かつ確実な導入を可能にするノウハウを蓄積しました。

　この実践知に基づき、本連載では全3回にわたり以下の構成で、現場で本当に役立つDMARC導入のステップを解説していきます。

　本連載はDMARCポリシー引き上げ専用ツールの導入を前提としない、現場経験と実績に裏打ちされた実践ガイドです。社内ドメインのセキュリティ強化を検討している技術者の方はもちろん、企業ロゴ付きメール（BIMI）によるブランド価値向上を目指す広報・経営企画・マーケティング担当者の方にも、ぜひご一読いただければ幸いです。

DMARCとは何か（SPF・DKIM・DMARCの基本）

　現在のメールは、送信元アドレスの詐称が技術的に可能であり、この悪用によって「なりすましメール」や「フィッシングメール」が企業の信頼を損なうリスクがあります。こうしたリスクを低減するために導入されたのが送信ドメイン認証と呼ばれる仕組みです。代表的な技術には以下の3つがあります。

　まず、「SPF」（Sender Policy Framework）ですが、送信元IPアドレスが正当な送信サーバーか検証する仕組み。ドメインのDNSに、そのドメインからメール送信を許可されたサーバー（IPアドレス）のリストをTXTレコードとして公開し、受信側はメール送信元IPアドレスがそのリストに含まれるか照合します。

　続いて、「DKIM」（DomainKeys Identified Mail）ですが、メールに電子署名を付与し、受信側で改ざんやなりすましがないか確認する仕組み。送信者は秘密鍵でメールヘッダに電子署名を付け、受信側はDNSに公開された公開鍵で署名の正当性を検証します。

　最後の「DMARC」（Domain-based Message Authentication, Reporting and Conformance） 」は、SPFやDKIMの認証結果に基づき、受信メールをどのように扱うか受信側に指示する仕組みです。そして、DMARCによる指示の方針にあたる、本連載のテーマである「DMARCポリシー」です。「SPF/DKIMのチェック結果に応じてメールを受け入れるか隔離または、拒否する」ポリシーをドメイン所有者が決め、受信側に伝えます。加えて、DMARCでは認証結果のレポートをドメイン管理者へ送信する機能もあります。

　DMARCポリシーは「DMARCレコード」と呼ばれるテキストデータとしてDNSサーバーに登録され、全世界のメールサーバーに向け宣言されます。ポリシーには次の3種類があります。

• none（監視のみ）
• quarantine（隔離）
• reject（拒否）

　例えば「v=DMARC1; p=none; rua=mailto:dmarc-reports@example.co.jp」のように設定し、自社ドメインのDNSサーバーに追記します。これにより受信側メールサーバーは送信ドメインのDMARCポリシーを参照し、SPFやDKIMが失敗したメールを監視のみでそのまま配信するか（none）、迷惑メールBOXに隔離するか（quarantine）、完全に受信を拒否するか（reject）を判断できます。

　DMARCレコードにはほかにも、レポート送信先メールアドレス（RUAタグ）などを指定できます。

　DMARCレコードには、レポート送信先のメールアドレス（RUAタグ）を指定することができます。RUAタグを使うことで、複数のドメインからのDMARC集計レポートを一元的に受け取ることができます。この際、複数のドメインで同じメールアドレスを指定することが推奨されます。

　また、複数のメールボックスを個別に確認する必要がなくなるため、レポートの受信・確認作業を一元化でき、運用管理の効率化にもつながります。

　なお、将来的にドメイン数の増加や運用部門の分化などにより、ドメインごとにレポート受信先を分ける必要が生じた場合には、個別アドレスの併用や分割も検討しましょう。

　DMARCは、SPF/DKIMがPASS（合格）でも、Fromドメインとの「整合（アライメント）」が取れていないとFAIL（不合格）になります。実運用では、送信サービス側の署名ドメインやSPF送信ドメインをFromに揃えることが重要です。

なぜDMARCポリシーの引き上げが必要か

　DMARCポリシーをnone（監視のみ）からquarantine（隔離）やreject（拒否）といった強化レベルに引き上げる主な理由は、メールのなりすまし防止と企業ロゴ付きメール（BIMI）対応のためです。

　なりすましメールの防止策は、DMARCポリシーの引き上げを実行（quarantine/rejectへ引き上げ）すれば、SPFやDKIM認証に失敗した不正なメールは受信者の受信箱に届きにくくなります。p=noneのままでは認証結果をレポートするだけで、受信側で拒否されないため、攻撃者は依然としてあなたのドメインになりすましてメールを送り放題です。その結果、顧客や取引先がなりすましメールを受け取ってしまうリスクがあります。DMARCを適切に強化設定することで、自分のドメインを騙った「なりすましメール」が届かないようにでき、顧客とブランドを保護できます。

　そして、企業ロゴ付きメール（BIMI）への対応については、企業ロゴ付きメール（BIMI）とは、メールに企業のブランドロゴを表示する新しい仕組みで、受信者の受信トレイに認証済みのブランドロゴが表示されることで、受信者はぱっと見て正当なメール配信者であることを判別できます。メールの開封率向上や、顧客保護に努める企業だと認識され、信頼性を高める効果が期待できます。

　この企業ロゴ付きメール（BIMI）を実装するにはDMARCのポリシーをquarantineまたはrejectに設定していることが前提となります。具体的には、認証局から企業のブランドロゴ証明書（VMC、Verified Mark Certificate）を取得する際に、DMARC導入とポリシー強化が必須となります。DMARCポリシーを引き上げていない企業は、企業ロゴ付きメール（BIMI）／企業ロゴ所有証明書（VMC）によるロゴ表示ができないため、ブランド訴求や信頼性の観点からも対応が求められます。

段階的に進めれば安全に導入できる──半年を目安にしたDMARCポリシー強化

　多くの日本企業がDMARCポリシーの引き上げに慎重になる最大の理由は、「万が一、取引先や顧客に送るべき正規のメールが拒否されてしまったら」という懸念でしょう。

　しかし、私たちGMOブランドセキュリティがGMOインターネットグループ約50社へ企業ロゴ付きメール（BIMI）を導入した経験から、期間を半年程度見据えた「段階的なポリシー引き上げ」がDMARCポリシー引き上げに伴うリスクを最小限に抑える上で極めて有効であることをお伝えしたいと、本稿をご用意しました。

　DMARCの設定自体は数時間で終わりますが、その導入は数日で完了する単純作業ではありません。自社のメール送信環境を可視化し、改善していく一つのプロジェクトとして捉えることをおすすめします。このアプローチの最大のメリットは、正規メールが拒否ブロックされるリスクを最小限に近づけられる点にあります。具体的なステップは以下の通りです。

DMARCポリシーの種類と動作

　以下の表にDMARCポリシー設定値ごとの動作概要を示します。ポリシーを引き上げることで、なりすましメールへの対策強度が上がります。

　ポリシーを段階的に引き上げることで、メールの到達性への悪影響を抑えつつセキュリティを高めることができます。第2回では、実際にDMARCを安全に導入しポリシーを引き上げる手順を説明します。