DMARCとは？仕組み・導入メリット・設定ポイントまでやさしく解説

なりすましメール対策として注目されるDMARCですが、そもそもどのような技術なのでしょうか。ここでは、DMARCの定義や役割、注目される背景、関連する認証技術との違いについて解説します。

1-1. DMARCの定義と注目される理由

DMARCは既存のメール認証技術を統合し、より確実ななりすましメール対策を実現する技術です。

DMARCの定義と役割

DMARC（Domain-based Message Authentication, Reporting, and Conformance）は、送信元ドメインの正当性を検証するメール認証技術です。
2010年代前半にGoogleやMicrosoft、Yahoo!などが中心となって策定し、その後IETF（Internet Engineering Task Force／インターネット技術の国際標準化組織）のRFC（Request for Comments／技術仕様書）として公開されたことで、事実上の国際標準となりました。

DMARCの大きな特長は、従来の送信ドメイン認証技術であるSPF（送信サーバー認証技術）やDKIM（電子署名による認証技術）では防げなかった「差出人アドレス（ヘッダFromドメイン）の詐称」を検知できる点です。受信者が実際に目にする差出人アドレス（送信者情報）の信頼性を向上させることができ、さらに認証結果を送信者にレポートとして返す機能により、自社ドメインの悪用実態を可視化できます。
つまり、DMARCはメール受信者にとっては「不正メールの防御」、送信者にとっては「送信状況の可視化」の機能を備えた、非常に効果的な仕組みです。

DMARCが注目されている理由

2023年10月、Googleは「1日5,000通以上のメールをGmailに送信する場合、2024年2月以降DMARCへの対応が必須」という新しいメール送信者ガイドラインを公表しました。Yahoo! も同様の要件を導入しており、Microsoft も DMARCや後で説明するSPF（Sender Policy Framework）・DKIM（DomainKeys Identified Mail）などについての厳格な送信ガイドラインを公開しています。これにより、主要メールサービスにおける世界的な対応強化の流れが加速しています。

2024年５月に発表されたTwoFive社の「なりすましメール対策実態調査」によれば、日本でも日経225企業の91.6%がDMARCを導入済みであり、1年前と比較して29.4ポイント上昇しています。また、2023年2月には経済産業省・経済産業省、警察庁が連名でクレジットカード会社にDMARCの導入を要請するなど、官民一体で対策が進められています。
このように、企業にとってDMARCは「導入するかどうか」ではなく、「いつ導入するか」が問われる段階に入っているといえるでしょう。

参考：
TwoFive｜なりすましメール対策の実態調査結果（参照2025年11月13日）
Google｜メール送信者のガイドライン（参照2025年11月13日）
経済産業省｜クレジットカード会社等に対するフィッシング対策の強化を要請しました（参照2026年1月6日）

1-2. なりすましメール・フィッシング詐欺の被害実態

なりすましメールによる被害は年々深刻化しています。ここではその被害について解説します。

増加する被害の現状

フィッシング対策協議会の報告によれば、2025年10月のフィッシング報告件数は22万件を超え、2024年10月から約25%増加しています。さらに、2024年の年間累計件数は約170万件に達し、2019年と比較すると、6年間で約30倍という急増ぶりです。
ブランド別の内訳を見ると、AmazonやAppleなど大手企業をかたるフィッシングメールが大きな割合を占めています。

一方、警視庁の統計では、2025年上半期のネットバンキングにおける不正送金被害は2,593件、被害総額は約42億円にのぼりました。そのうち約9割が、フィッシングによって取得された情報をもとに行われたと考えられています。
こうした数値は、なりすましやフィッシングが単なる個別の問題ではなく、社会全体に影響を及ぼす重大な脅威であることを示しています。

参考：
フィッシング対策協議会｜月次報告書2025/10（参照2025年11月28日）
警視庁サイバーセキュリティ対策本部 | 令和7年上半期におけるサイバー空間をめぐる驚異の情勢について（参照2025年11月13日）

従来の対策では防げない理由

なりすましメールの中でも特に悪質な手口が、「差出人アドレス（ヘッダFromドメイン）の詐称」です。
従来の送信ドメイン認証であるSPF（送信サーバー認証技術）は、送信元サーバーのIPアドレスを検証し、DKIM（電子署名による認証技術）は電子署名の正当性を確認しますが、いずれも「受信者が実際に目にする差出人アドレス（ヘッダFrom）」との整合性まではチェックしません。

このため、攻撃者は正規の送信インフラを悪用しつつ、見た目上は信頼できる企業からのメールであるかのように偽装することが可能です。

DMARCはこのような致命的な欠点を補完し、差出人アドレス（ヘッダFromドメイン）とSPFまたはDKIMの認証結果に基づくドメインとの一致を確認することで、より確実ななりすまし対策を実現します。

1-3. SPF／DKIM／DMARCの違いと関係性

送信ドメイン認証には、SPF・DKIM・DMARCの3つの技術があり、それぞれ異なる役割を担っています。
中でもDMARCは、SPFおよびDKIMの結果をもとに「総合的な判断」を下す仕組みと捉えると理解しやすいでしょう。

DMARCは、受信者が実際に目にする「差出人アドレス（ヘッダFromドメイン）」が、SPFやDKIMの認証で確認されたドメインと一致しているか（アライメント：送信元ドメインの一致確認）をチェックします。
SPFまたはDKIMのいずれか一方でも認証に成功し、かつアライメントが成立すれば、DMARC認証は成功と見なされます。

逆に、両方の認証が失敗した場合は、送信者側が設定したDMARCポリシーに従って、次のいずれかの処理が行われます。

• 監視モード（none：認証結果を記録するのみで配信は許可）
• 隔離（quarantine：迷惑メールフォルダへ振り分け）
• 拒否（reject：配信を完全にブロック）

この3層構造によって、単一の認証方式だけでは防ぎきれなかったなりすましに対してより強固なセキュリティを確保できる点が、DMARCの大きな強みです。

DMARCの動作の流れ、ポリシーの種類、設定の前提条件について解説します。

2-1. DMARCの動作の流れと認証の仕組み

DMARCは、受信側のメールサーバーで動作する仕組みです。ここでは、メール送信から受信・認証までのプロセスを解説します。

メール送信～受信での検証プロセス

受信側のメールサーバーは、まずSPF認証とDKIM認証を行い、その結果をもとにDMARCの検証を実施します。
この際、送信元ドメインのDNS（ドメイン名をIPアドレスに変換するシステム）に公開されているDMARC設定（TXTレコード：DNS上にテキスト情報を記録する形式）を参照し、「v=DMARC1」などのバージョン情報、ポリシー（p=none等）、レポート送信先（rua）などに従って処理が決定されます。

DMARCの検証処理は、受信側で自動的に行われるものであるため、送信者が意識及ぶことはあまりありません。ただし、正確な設定がなされていなければ、意図しないブロックや認証失敗の原因になります。そのため、事前に適切なDMARCレコードを整備しておくことが重要です。

認証成功・失敗の判断基準

DMARCで「認証成功」とされるためには、次の2つの条件を満たす必要があります：

• SPFまたはDKIMのいずれか一方で認証に成功している
• 認証に成功したドメインと、差出人アドレス（ヘッダFromドメイン）が一致（アライメント成功）している

たとえば、差出人アドレスが「info@example.com」で、SPF認証に使われたエンベロープFrom（メール配送時に使われる送信元アドレス）やDKIM署名のd=example.comであれば、アライメントが成立し、メールは正常に配信されます。
このようにDMARCでは、単なる認証成功だけでなく、ドメインの整合性を確認することで、より精密ななりすまし対策を実現しています。

2-2. DMARCポリシーの種類（none／quarantine／reject）

DMARCには、認証失敗時の処理方法を指定する「ポリシー」があります。主に以下の3種類です。

none（監視モード）：防御効果はなく、認証結果を記録するのみ
quarantine（隔離）：認証失敗メールを迷惑メールフォルダへ振り分ける
reject（拒否）：認証失敗メールを完全にブロックする

導入時は「none」から始めて段階的に強化していくのが一般的です。

各ポリシーの詳細な動作や、段階的な移行手順については、以下の記事で詳しく解説しています。

DMARC設定の基本と手順を初心者向けに解説

2-3. DMARC設定の事前確認とレコードの基本

DMARCを設定する前に確認すべき事項と、基本的なレコードの構造について説明します。

SPF／DKIMの事前確認が必要

DMARCは、SPFまたはDKIMの認証結果をもとに動作するため、事前にこれらを正しく設定しておく必要があります。建物に例えるなら、SPFとDKIMが基礎であり、DMARCはその上に建つ構造物といえるでしょう。

特に、複数の送信経路や外部サービス（メール配信ツールやCRM）を利用している企業では、すべての経路でSPFとDKIMが整備されているかを確認することが不可欠です。

DMARCレコードの設定

DMARCの設定は、ドメインのDNSにTXTレコードを追加する形で行います。導入初期は「監視モード（p=none）」から始め、レポートを確認しながら段階的にポリシーを強化していくのが基本です。

具体的な設定手順、DNSレコードの記述方法、トラブルシューティングについては、以下の記事で詳しく解説しています。

DMARC設定の基本と手順を初心者向けに解説

DMARC導入によって得られる効果は大きいですが、同時に注意すべきポイントもあります。ここではメリットと注意点の両面から解説します。

3-1. DMARC導入のメリット

DMARC導入には、以下の3つのメリットがあります。

なりすましメールの防止とブランド保護

DMARCを適切に設定することで、自社ドメインを装った不正なメールがブロックまたは隔離され、顧客や取引先がフィッシング被害に遭うリスクを大幅に低減できます。
これは企業のブランド価値や社会的信頼を守る上でも極めて重要です。特に金融機関やECサイト（ネット通販サイト）など、顧客の個人情報や金銭を扱う業種では、なりすまし防止は企業の社会的責任ともいえるでしょう。

メールの到達率・配信成功率の向上

DMARC設定により、正規のメールが認証に合格しやすくなり、迷惑メールとして扱われるリスクが減少します。
到達率はメールのコンテンツや送信元の評判（レピュテーション）など複数の要因に左右されますが、DMARCは主要メールサービスでの信頼性確保における重要な基盤です。 2024年2月以降、Gmailでは1日5,000通以上送信する送信者に対してDMARC対応を義務づけており、未対応の場合はメールがブロックされる可能性もあります。
マーケティングメールや通知メールなど、確実な配信が求められる場合ほど、DMARCの重要性は高まります。

メール送信状況の可視化

DMARCのレポート機能により、自社ドメインからの送信メールの全体像を把握できます。想定外の送信元や設定ミス、不正な送信活動などを早期に発見できるため、セキュリティ対策だけでなく、社内のメール運用改善にも役立ちます。この可視化機能は、セキュリティ強化と同時に、IT運用の効率化にもつながる重要な機能です。

3-2. DMARC導入時の注意点とよくある失敗

DMARCは強力な技術ですが、設定や運用に誤りがあると、正規のメールが届かなくなるなどの問題が発生します。以下に代表的な注意点と失敗例を紹介します。

厳格なポリシーによる正規メール遮断のリスク

準備不足のまま「p=reject」に設定すると、認証に失敗したメールがすべてブロックされ、業務に必要な正規メールまで届かなくなる恐れがあります。
特に複数の部門で異なるメール配信サービスを利用している場合や、CRM（顧客管理システム）などから自動送信されるメールがある場合、すべての経路でSPFやDKIMの設定が正しくされていないと、認証に失敗します。大企業ほどメール送信経路が複雑になりがちなため、より慎重な段階的導入が求められます。

レポートの活用不足による見逃し

DMARCレポートはXML形式（構造化データ形式）で送信され、人の目で直接読むには難解です。
そのため、適切な可視化ツールや解析サービスを利用せずに放置すると、不正送信や設定ミスを見逃すリスクがあります。

受信側メールサービスの対応状況による効果のばらつき

TwoFive社の調査によれば、2024年10月時点で、DMARCポリシーに対応しているメールサービスは664件にのぼり、前年から約2倍に増加しています。Gmail、Yahoo!、Outlookなど大手サービスは対応していますが、中小規模のサービスや独自構築のメールサーバーでは、対応していない場合もあります。
このため、DMARCの導入効果は、送信先によって異なることを理解しておく必要があります。

参考：クラウドWatch｜なりすましメール対策、日経225企業のDMARC導入率は92.0％～TwoFive調査（参照2025年11月13日）

DMARC導入には段階的なアプローチと継続的な運用が重要です。ここでは、導入のポイントと、今後のメールセキュリティの展望について解説します。

4-1. DMARC導入のポイント

DMARC導入を円滑に進めるには、以下の3つのポイントを意識することが重要です。

ポイント1：段階的なポリシー移行

いきなり厳格なポリシー（reject）を適用するのではなく、まずは p=none （監視モード）でレポートを取得し、自社の送信状況を把握することが重要です。
その後、状況に応じて p=quarantine（隔離） → p=reject （拒否）と段階的に強化することで、誤検知や配信トラブルのリスクを抑えつつ、なりすまし対策を確実に進められます。

ポイント2：レポート分析と継続的な監視

DMARCレポートには、送信元IPアドレス、送信通数、SPF/DKIM認証結果、ポリシー適用結果などが日単位で記録されています。
これらの情報をもとに、週次や月次で異常の兆候を監視することが推奨されます。想定外の送信元や認証失敗の傾向がないかチェックすることで、問題の早期発見と迅速な対応が可能になります。

また、メール送信環境はツールの追加やシステム変更により変化しやすいため、変更時にはレポートを特に注意深く確認する必要があります。

ポイント3：専門ツール・サービスの活用

DMARCレポートは膨大なXML形式データとして送られてくるため、人間が直接読み解くのは非常に困難です。そのため、専門のDMARC管理・分析ツールを活用することで、複雑なレポート解析を自動化し、認証失敗の原因特定や不正送信の検知を効率的に行うことを推奨します。
特に複数ドメインの運用や大量メールの送信を行う企業では、専門ツールの導入が運用負荷の大幅な軽減につながります。

三菱ＨＣキャピタルＩＴパートナーズでは、PCLCM（PCライフサイクルマネジメント）サービスの提供に留まらず、お客様が抱えるサイバーセキュリティ課題の解決についても支援を行っております。DMARC対応をはじめとしたメールセキュリティのほか、コンピュータセキュリティの強化を検討する際は、ぜひご相談ください。

4-2. メールセキュリティの今後と企業に求められる対応

DMARCをはじめとしたメール認証技術は、今後ますます普及が進むと予想されます。
米国連邦政府や英国・デンマーク・オランダなどの各国政府では、公共機関にDMARCのドメインに対して導入を義務付けたり、強く推奨したりするポリシーが打ち出されています。多くの場合、最終的には p=quarantine や p=reject といった強いポリシー設定が求められており、公共セクターにおけるメール認証の標準化が進んでいます。
また、金融業界では、PCI DSS v4.0などの国際的なセキュリティ基準において、DMARCがフィッシング対策として紹介されています。

PCI DSS Email Compliance: Your DMARC Strategy For 4.0（参照2025年12月19日）
DMARC for PCI DSS 4.0: A Good Practice for Securing Email（参照2025年12月19日）

日本国内でも、2023年2月に経済産業省・総務省・警察庁が連名でクレジットカード会社などに対し、DMARC導入を含むフィッシング対策強化を要請しており、官民を挙げた取り組みが進行中です。今後は「DMARC対応が当たり前」という時代が訪れるでしょう。

さらに、DMARC認証に成功したメールに対して、送信者のブランドロゴを受信トレイに表示する「BIMI（Brand Indicators for Message Identification／ブランド表示による送信者識別技術）」という次世代技術も注目されています。

BIMIを利用するには、DMARCの設定（p=quarantine または p=reject）が必要で、認証基盤としてのDMARCの重要性は今後さらに高まると考えられます。
このような動きを受け、メールセキュリティは単なるIT対策ではなく、企業のガバナンスやコンプライアンスの一環としての位置づけが求められるようになってきています。
DMARCへの対応は、取引先や顧客からの信頼を維持するうえで不可欠であり、早期の対応が将来的なビジネスリスクの低減につながります。

DMARCは、なりすましメール対策として有効な国際標準のメール認証技術です。SPFとDKIMの基盤の上に構築され、差出人アドレス（ヘッダFromドメイン）の正当性を検証することで、従来の技術では防ぎきれなかったなりすましの検出を可能にします。
2024年以降、主要メールサービス（Gmailなど）ではDMARC対応が義務化され、日本国内でも導入が加速しています。なりすましの防止だけでなく、メールの到達率向上や送信状況の可視化といった効果もあり、ビジネスにおける重要なセキュリティ対策といえるでしょう。

DMARC運用には、専門の管理・分析ツールの活用が効果的です。これにより複雑なレポート解析を自動化し、効率的な運用が可能になります。さらに、メールセキュリティだけでなく、IT資産管理やPC端末の適切な管理を含めた組織全体のセキュリティ体制の構築が求められます。

三菱ＨＣキャピタルＩＴパートナーズ株式会社では、PCLCM（PCライフサイクルマネジメント）サービスだけでなく、DMARC運用も含めた企業のエンドポイントセキュリティ対策についてもサポートしています。
DMARCを含むメールセキュリティ対策とあわせて、IT資産管理全体の見直しをご検討される際は、ぜひお気軽にご相談ください。

三菱ＨＣキャピタルＩＴパートナーズのセキュリティサービス