DMARCレポートの読み解き方:見るべき5つのポイント

本記事では、DMARCレポートから読みれる重要なポイントと、効果的な活用方法について解説します。

DMARCレポートの基本

レポートの種類

DMARCには2種類のレポートがあります：

1. 集計レポート（Aggregate Report）

• 送信ドメインの認証結果の統計情報
• XML形式で提供
• 通常24時間ごとに送信

1. 失敗レポート（Forensic Report）

• 認証に失敗した個別メールの詳細情報
• メール形式で提供
• 発生時に即時送信
• プライバシーへの懸念から、送信しないプロバイダもある

本記事では主に集計レポートの読み解き方に焦点を当てます。

読み解くための5つのポイント

サンプルとして、弊社に対してGoogleから送られてきたレポートを取り上げてみます。

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <version>1.0</version>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>17515367178819392292</report_id>
    <date_range>
      <begin>1741478400</begin>
      <end>1741564799</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>interstellar.co.jp</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>10</pct>
    <np>quarantine</np>
  </policy_published>
  <record>
    <row>
      <source_ip>209.85.220.69</source_ip>
      <count>3</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>interstellar.co.jp</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>interstellar.co.jp</domain>
        <result>pass</result>
        <selector>google</selector>
      </dkim>
      <spf>
        <domain>interstellar.co.jp</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>209.85.220.41</source_ip>
      <count>4</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>interstellar.co.jp</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>interstellar.co.jp</domain>
        <result>pass</result>
        <selector>google</selector>
      </dkim>
      <spf>
        <domain>interstellar.co.jp</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

ポイント1：送信元IPアドレスの確認

レポートの<source_ip>セクションに注目しましょう。

      <source_ip>209.85.220.69</source_ip>

このIPアドレスが、以下のいずれかであるかを確認します。

• 自社の正規メールサーバーのIPアドレス
• CRM・マーケティングツールやメール配信などのクラウドサービスの送信IPアドレス
• 不明なIPアドレス

対応方法：

• 正規のメール送信元リスト（自社およびクラウドサービス）と適合すればOK
• 未確認のIPからの送信は調査

ポイント2：認証結果の分析

<auth_results>セクションで、SPFとDKIMの認証結果を確認します。

    <auth_results>
      <dkim>
        <domain>interstellar.co.jp</domain>
        <result>pass</result>
        <selector>google</selector>
      </dkim>
      <spf>
        <domain>interstellar.co.jp</domain>
        <result>pass</result>
      </spf>
    </auth_results>

結果：

• pass：認証成功
• fail：認証失敗
• neutral/none：認証未実施
• temperror：一時的エラー
• permerror：永続的エラー

対応方法：

• SPF/DKIMの両方が「pass」ならOK
• 片方だけ「pass」なら、もう片方の設定を確認
• 両方「fail」の場合は設定に問題がないか調査

ポイント3：送信数の確認

<count>セクションで送信数を確認します。

      <count>3</count>

• 通常の送信量と比較して異常はないか
• 特定のIPからの急激な送信増加がないか
• 週末や夜間など、通常送信しない時間帯の送信がないか

対応方法：

• 送信量の履歴をグラフ化して傾向分析
• 急増している場合はアカウント乗っ取りの可能性を調査
• 業務パターンとの整合性確認

ポイント4：処理方針（Disposition）の確認

<policy_evaluated>セクションの<disposition>タグを確認します。

        <disposition>none</disposition>

• none：アクション無し（監視モード）
• quarantine：隔離（迷惑メールフォルダ）
• reject：拒否（配信されず）

対応方法：

• p=noneでも受信側が独自ポリシーで拒否する可能性があります
• 正規メールが隔離/拒否されていないか確認
• DMARCポリシーの段階的な強化を検討

ポイント5：適合率（Alignment）の確認

<policy_evaluated>内の<dkim>と<spf>の値を確認します。

        <dkim>pass</dkim>
        <spf>pass</spf>

• From:ドメインとSPF/DKIMドメインの一致状況
• メール配信サービス利用時に一致しているか
• サブドメイン利用時も適合しているか

対応方法：

• 不一致がある場合はDKIM署名の追加
• SPFレコードの見直し
• adkim/aspfパラメータの調整検討

レポート分析から見える問題と対処法

1. なりすましメールの検出

問題の兆候：

• 未確認IPからの大量送信
• SPF/DKIM認証の失敗
• 海外IPからの送信

対処方法：

• DMARCポリシーを強化（p=quarantine/reject）
• 送信ドメイン認証の徹底（SPF/DKIM）
• セキュリティチームへの報告

2. 正規メールの配信問題

問題の兆候：

• 正規IPからの送信でも認証失敗
• CRMやマーケティングツールからの送信で失敗
• サードパーティ送信での認証エラー

対処方法：

• サードパーティ送信元のSPF許可
• DKIMの適切な設定
• サブドメイン委任の検討

3. 設定ミスの発見

よくある問題：

• SPFレコードの文法エラー
• DKIMの鍵不一致
• DMARCレコードの設定ミス

対処方法：

• 定期的な設定検証
• テスト送信による確認
• 専門ツールによる診断

定期的なモニタリングのポイント

モニタリング頻度

モニタリングは場合により以下のような頻度で確認すると良いでしょう。

• 初期設定直後：毎日
• 安定期：週1回
• ポリシー変更時：毎日

効率的な分析方法

DMARCレポートからはさまざまな情報は読み取れますが、XMLファイルの解析に手間がかかることや、傾向を掴むにはひとつづつ見ていたのでは非効率です。これらを簡単にできるようにする解析ツールが多数出ていますので、これらを利用すると良いでしょう。

まとめ

DMARCレポートは、メールセキュリティと配信状況の重要な情報源です。定期的な分析によって、なりすましメールの検出や配信問題の早期発見が可能になります。特に頻繁にメール送信を行う企業では死活問題になるので、定期的なモニタリングを行っていきましょう。