DMARCレポートの読み方

このページの内容は次のお客様に関係があるかもしれません。

DMARCのレポート送信を受信している
＠自社ドメインのメールがスパム判定されていないか知りたい
＠自社ドメインを悪用されていないか知りたい
Report domain:～の件名でGoogleやドコモ、KDDIらメールが来る

こちらで説明しています通り、指定のメールアドレスに対してDMARCの集計レポートが届きます。

このレポートは次の様な件名で届きます。

Report domain: 利用中のドメイン.co.jp Submitter: google.com Report-ID: 1174324036890xxxxxxxxxx
[Preview] Report Domain: 利用中のドメイン.co.jp Submitter: enterprise.protection.outlook.com Report-ID: e8a0b8e6ae5f45968245fxxxxxxxxx
Report Domain: 利用中のドメイン.co.jp Submitter: docomo.ne.jp Report-ID: <8b596d0xxxxxxxxxxxxxxxx01b1b7d8c>

上記の件名で、レポートが送られてきます。DMARCの集計レポートを配信しているのは、大手のメールサービスが多く、個別企業レベルで配信しているところはあまりありません。そのため、主な送信元は Google、Microsoft、Yahoo、Amazon、Apple などの大手サービスからになります。

これらのレポートを受け取ることで、どのメールサーバーが自社ドメインを使ってメールを送信しているか、そしてそれが正しく認証されているかを確認できます。

このメールには、ZIPやGZ形式のファイルが添付されており、この中にXML形式のデータがあります。このXML形式のデータは、DMARCレポート解析ツールで認識する為のデータで、一般の方が見るとよく分からないデータです。但し、注目するポイントさえ抑えれば、成りすましの多い・少ないくらいは判断できます。

DMARC集計レポートを装ったメールに注意

集計レポートを装ったメールは、近年実際に確認されています。

偽装メールの特徴として、添付内容にXMLファイル以外が添付されており、.exeや.scr　などの実行ファイルがZIP・GZファイル内にあります。これらクリックしてしまうと、マルウェアなどに感染する可能性がございますので、絶対にクリックしない事をお願い致します。

DMARC集計レポートの読み方

送付された集計レポートをはXML形式で記載されています。このXML形式のデータは以下のポイントに注目して読めばツールを使わないでも、ある程度把握できます。少量のうちは、このXML形式のファイルを確認すれば、お客様のドメインの悪用状況が確認できます。あまりにも多くなってきた場合は、解析ツールを使うと良いでしょう。

レポート発行元の情報

レポートの発行元情報が記載されています。例では「Google」が、自社で受信した @support.neoworks.jp からのメールについて報告しています。

「Google宛に届いたメールのうち、あなたのドメインを名乗ったもの」を分析した結果です。

DNSに設定されているDMARCポリシーの内容

DNSに設定されているDMARCポリシーの内容が記載されています。例では次の様な設定です。

adkim、aspf共に「r」: DKIM、SPFのアライメントチェック(ドメイン一致の確認をどの程度厳格にするか?)をリラックスモード(サブドメインの一致でも可)にしています。
p、sp共に「none」: ドメイン(p)、サブドメイン(sp) 共に、none(監視を行うだけで、認証失敗時もそのまま配信する)を設定しています。
pct = 100: DMARCポリシーを適用するメールの割合を指定します。100はデフォルト値
pct = 100: DMARCポリシーを適用するメールの割合を指定します。100はデフォルト値
np = 「none」: 存在しないサブドメインから送信されたメールに対して、どんな扱いをするかを指定するための設定で、none(監視を行うだけで、認証失敗時もそのまま配信する)を設定しています。

DMARC集計レポート　DNSに設定されているDMARCポリシーの内容 — DMARCポリシーの内容

受信したメールの認証結果

一番注目すべきポイントが、この認証結果です。ここで、正常な送信と異常な送信(成りすましメールの可能性)が分かります。

このメールサーバー宛に期間中に受信された全ての@お客様ドメイン宛が送信元のメールに対して記録されており、その1つが < record > ～ < /record >で表示されています。

正常な送信の場合

正常な送信の場合は、source_ipが実際の送信メールサーバー、dkim、spfが「PASS」となっている事です。

< row > ～ < /row >内の情報

source_ip: そのメールを送信したメールアドレスです。これが、実際にお客様のメールサーバーのIPアドレスなら問題ないです。
dkim spf: 両方共にPASSとなっているので、問題なく認証されている事を示します。

< auth_results > ～ < /auth_results >内の情報

以下の情報は、認証結果が記録されます。

dkim内のdomain: 署名に使われたドメインです。
dkim内のresult: DKIM署名が正しく認証された事を示します。
spf内のdomain: エンベロープFromドメインが記載されます。メールを送信する際、プロバイダや送信サービスの SMTP サーバーを使うことがあります。その場合、送信元のIPアドレスはプロバイダのもので、SPFはそのプロバイダのドメインでチェックされることになります。従って、ここにプロバイダドメインが表示されていてもPASSしていれば問題ありません。
spf内のresult: 送信元IPは SPF 許可リストに含まれており、正規と認証された事を示します。

転送された場合・Gmailなどで代理送信している場合

このケースは、source_ipは対象ドメインのメールサーバーのIPアドレスでは無く、DKIMはPASSしていますが、SPFはfailしています。

一見、成りすましメールと勘違いしそうなレポートですが、これはメール転送された場合のレポートです。

受信者が、自分宛に来たメールを自分のGmailに転送する事は良くあります。その場合に、記録される集計レポートです。

このケースの場合は、DKIM署名は本文やヘッダーが改ざんされなければ有効のままなのでPASSとなります。しかし転送時に、送信元IPが転送サーバーのものになるので、SPFの整合性が失われてSPFはfailとなります。

この様に、@お客様のドメインのメールサーバーから送信されたメールを別のメールアドレスに転送すると、DKIM PASS、SPF failとなります。

他にも、@お客様のドメインのメールをGoogle Work SpaceやGmailかせ送信している場合や、GmailのSMTPを使って送っている場合も同様でDKIMはPASS、SPFはfailとなります。

高確率でなりすましメール

このケースは、先ずsource_ipは対象ドメインのメールサーバーのIPアドレスではありません。そして、DKIM、SPF共に「fail」が記録しています。

そして、 < disposition > ～ < /disposition > で、quarantine(ドメインのDMARCポリシーp=quarantineに基づき、quarantine＝迷惑メールフォルダに隔離) と記録しているので、DMARCは「成りすましと判断」した事を示しています。

< auth_results > ～ < /auth_results >の情報を見ると、SPFはpermerror(設定エラー、もしくはそのドメインのSPFレコードを正しく取得・検証できなかった状態)で、DKIMは正式署名が無いので表示されていません。

この様な記録は、「なりすましメール」の典型的なパターンとなります。

DMARCレポート解析ツール

上記の通り、XMLを見るだけでもある程度、レポートを理解する事は出来ますが、それも日に数件程度の場合です。大きな企業の場合はメールアカウント数も数百～数千となりますし、レポートの量は膨大なものになります。また、小規模でも毎日複数のメールサーバーから送られてくるDMARCレポートを読むのは面倒です。この様な場合は、DMARCレポート解析ツールを使うと便利です。

オープンソースで無料のものもありますが、運用負荷が発生したり、機能が使い辛いなど商用版に比べると見劣りします。そして、商用版でも無料プランがあるツールもあります。無料プランは、

基本個人での利用目的に限る
利用できるドメインが1ドメイン～2ドメイン
データ保管期間が短い
処理可能なメール数が少ない(月1,000件～1万件程度)

と限定的な利用となります。

無料プランがあるDMARCレポート解析ツール

以下のDMARCレポート解析ツールは商用ツールですが、無料プランがございます。

※ 2025年9月時点の情報