DMARC未対応ではメールが届かない？ Cloudflareが無料化で狙う“最後の障壁”：もう猶予はない

GoogleやMicrosoftなど主要メール事業者による認証要件の強化で、DMARCは「推奨設定」から事実上の必須要件へと変わりつつある。しかし多くの企業は運用の複雑さを理由に強制適用に踏み切れていない。Cloudflareが無償提供を始めた新機能はこれをどう解消するか。

[＠IT]

　Cloudflareは2026年6月16日（現地時間）、電子メール認証を管理する「Cloudflare DMARC Management」の一般提供を開始した。Cloudflare利用者向けに、DMARC（Domain-based Message Authentication, Reporting & Conformance）の状態を可視化し、強制適用まで支援する機能を無償で提供する。

　Cloudflareは、インターネットのあらゆるドメインが強固な電子メール認証を利用できるべきだとしており、導入や運用コストが障壁になるべきではないとの考えから同機能を提供する。一般提供に合わせて管理画面も刷新し、DMARCの完全適用に向けた運用を容易にした。

「推奨設定」から「必須要件」へ　DMARCを巡る環境が変わった

　電子メール認証は、送信者がドメインの正当な所有者であることを受信側に証明するための仕組みだ。Cloudflareは主な認証技術として、SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC、BIMI（Brand Indicators for Message Identification）の4つを挙げている。

　SPFはドメインの代わりに電子メールを送信できるサーバやサービスを定義する。DKIMは電子メールに暗号署名を付与し、配送途中で改ざんされていないことを確認する。DMARCはSPFとDKIMの結果を基に、認証に失敗した電子メールを受信側がどのように扱うべきかを定義する。BIMIは認証済み電子メールにブランドロゴを表示するための仕組みで、強固なDMARCポリシーが前提となる。

　これらを適切に設定することで、ドメインを悪用したなりすましメールが受信者に届くリスクを大幅に低減できる。また、正当な電子メールの到達率改善にもつながる。一方で設定が不十分な場合、なりすまし被害のリスクが高まるだけでなく、正規の電子メールが迷惑メールとして扱われたり、受信を拒否されたりする可能性がある。

　Cloudflareによると、DMARCは以前から推奨されてきたベストプラクティスだったが、この数年で状況は大きく変化した。GoogleやMicrosoft、LINEヤフーなど主要メール事業者が送信者認証要件を強化しており、DMARCやSPF、DKIMを適切に設定していないドメインでは、正規の業務メールの到達性に影響が及ぶケースも増えている。

　かつてDMARC未導入は主にセキュリティ課題だった。しかし現在では、電子メールを確実に届けるための運用要件になりつつある。Cloudflareは、電子メールを送信するあらゆる組織にとって、認証レコードの適切な設定は避けて通れないものになったとの認識を示している。

　それでもDMARCの運用には課題が残る。DMARCポリシーは、監視のみをする「p=none」から、不審な電子メールを隔離する「p=quarantine」、認証に失敗した電子メールを拒否する「p=reject」へと段階的に強化するのが一般的だ。

　しかし強制適用を急ぎ過ぎると、自社ドメインを利用する正当なクラウドサービスや業務システムからの電子メールまで遮断してしまう恐れがある。一方で対応を先送りにすれば、なりすましリスクやメール到達性の問題を抱え続けることになる。

　多くの組織はDMARCの必要性を理解しているが、実際には集約XMLレポートを分析し、正当な送信元を洗い出した上でポリシー強化の影響を評価しなければならない。Cloudflareはこうした運用負荷こそがDMARC普及の障壁になっているとみている。

　同社はこれまで専門サービスや表計算ソフトに頼ることが多かったDMARCレポート分析をセルフサービス化し、より多くの組織が強制適用まで到達できるよう支援する考えだ。

　Cloudflare DMARC Managementの新しいレポート画面では、送信元ごとのDMARCやSPF、DKIMの認証結果を確認できる。送信元IPアドレスや利用サービスも表示されるため、正当な送信基盤と未承認の送信者を区別しやすい。

　また、Cloudflareの脅威インテリジェンスと連携し、IPアドレスの評判やASN情報、既知の悪性活動との関連なども確認できる。従来は認証状況を確認するための運用データだったDMARCレポートを、不審な送信元を調査するためのセキュリティ分析ツールとして活用できる点が特徴だ。

　新機能では、SPFやDKIM、DMARC、BIMIの各認証レコードの状態も単一の画面で確認できる。各レコードには自動分析に基づく合格や警告、失敗のステータスが示される。利用者は個別のレコードを開き、検出結果や修正の推奨事項を確認できる。DKIMキーの形式に問題があると通知され、DMARCポリシーがBIMIを利用できる強度に達しているにもかかわらずBIMIレコードがない場合も知らせる。推奨事項はRFCの専門用語ではなく平易な言葉で示すとしている。

　この他、一般提供に伴い、SPFレコードの監査機能も追加した。SPF仕様のRFC 7208において、SPF評価ごとにDNS参照回数が10回までに制限されている。include、a、mx、redirect、existsの各仕組みは参照回数に含まれ、includeの内部で発生するネストした参照も対象になる。10回を超えると受信側メールサーバはpermerrorを返し、SPFチェック全体が失敗する。新機能において、SPFレコードが何回のDNS参照を発生させるかを確認でき、各仕組みや負荷の大きいincludeチェーンを掘り下げ、統合やフラット化の候補を特定できる。

　利用を開始するには、対象ドメインのDNSをCloudflareで管理している必要がある。Cloudflareダッシュボードで対象ドメインを開き、EmailからCloudflare DMARC Managementに進む。セットアップウィザードに従ってDMARCレポートの受信を開始し、レコード分析と推奨事項を確認する。その後、利用者は自分のペースでp=quarantineまたはp=rejectを目指す。

　Cloudflareは今後、より深いフォレンジックレポート、より賢い推奨事項、Cloudflareプラットフォーム全体との緊密な統合を計画している。CloudflareでDNSを利用していない場合は、ドメインをCloudflareに移行することで、追加設定や追加費用なしにCloudflare DMARC Managementを利用できるとしている。