DMARCレポートの読み方｜集計レポート・障害レポートを徹底解説

DMARCを設定したのに、届くレポートの意味がわからない...

この記事では、DMARCレポートの種類と読み方を詳しく解説します。レポートを正しく分析して、メールセキュリティを継続的に改善しましょう。

DMARCレポートとは

DMARCレポートは、あなたのドメインから送信された（とされる）メールの認証結果を報告するものです。受信側のメールサーバーが送信してくれます。

2種類のレポート

DMARCレコードでの設定例

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-forensic@example.com

集計レポート（RUA）の読み方

集計レポートはXML形式で送られてきます。

XMLファイルの構造

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <report_id>12345678901234567890</report_id>
    <date_range>
      <begin>1703116800</begin>
      <end>1703203199</end>
    </date_range>
  </report_metadata>

  <policy_published>
    <domain>example.com</domain>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>100</pct>
  </policy_published>

  <record>
    <row>
      <source_ip>203.0.113.10</source_ip>
      <count>150</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

主要な要素の意味

report_metadata（レポート情報）

policy_published（公開ポリシー）

record（認証結果）

結果の判定基準

レポート分析のチェックポイント

1. 認証失敗のIPアドレスを特定

<row>
  <source_ip>198.51.100.50</source_ip>
  <count>25</count>
  <policy_evaluated>
    <dkim>fail</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>

このIPアドレスが：

• 自社のサーバー → SPF/DKIMの設定を修正
• 契約サービス → includeに追加
• 不明 → なりすましの可能性

2. 成功率を計算

成功率 = (pass件数 / 総件数) × 100

目標: 95%以上

3. トレンドを監視

• 認証失敗が急増 → 設定変更の影響や攻撃の可能性
• 不明なIPからの送信増加 → なりすまし攻撃の兆候

障害レポート（RUF）の読み方

障害レポートは認証に失敗した個別メールの詳細を含みます。

サンプル

From: noreply-dmarc@google.com
To: dmarc-forensic@example.com
Subject: DMARC forensic report for example.com

Arrival-Date: Mon, 25 Dec 2025 10:30:00 +0900
Source-IP: 192.0.2.100
Authentication-Results:
  dkim=fail (signature verification failed)
  spf=fail (sender IP not in SPF record)

注意点

• プライバシーの問題から、多くのプロバイダは障害レポートを送信しない
• Gmailは集計レポートのみ送信

レポート分析ツール

オンラインツール

XMLファイルを手動で読むのは大変なので、分析ツールを活用しましょう。

RiskLensでの確認

RiskLensでは、現在のDMARC設定状況を診断できます。レポート受信先が正しく設定されているか確認しましょう。

レポートに基づく改善アクション

ケース1: 自社サーバーがSPF失敗

原因: SPFレコードにIPアドレスが含まれていない

対処:

# 修正前
v=spf1 include:_spf.google.com -all

# 修正後
v=spf1 ip4:203.0.113.10 include:_spf.google.com -all

ケース2: 外部サービスがDKIM失敗

原因: DKIM署名が設定されていない、または署名キーが間違っている

対処:

1. サービス提供元からDKIMキーを取得
2. DNSにCNAMEまたはTXTレコードを追加
3. サービス側でDKIM署名を有効化

ケース3: 不明なIPからの大量送信

原因: なりすまし攻撃の可能性

対処:

1. ポリシーをp=quarantineまたはp=rejectに強化
2. 継続的に監視

DMARCポリシーの段階的強化

レポートを分析しながら、ポリシーを段階的に強化します。

# ステップ1: 監視モード（1-2週間）
v=DMARC1; p=none; rua=mailto:dmarc@example.com

# ステップ2: 一部隔離（2-4週間）
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@example.com

# ステップ3: 完全隔離（2-4週間）
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@example.com

# ステップ4: 拒否（最終目標）
v=DMARC1; p=reject; rua=mailto:dmarc@example.com

よくある質問

Q: レポートが届かない

確認ポイント:

• ruaのメールアドレスが正しいか
• メールが迷惑メールフォルダに入っていないか
• DMARCレコードの構文が正しいか

Q: レポートの量が多すぎる

対処法:

• 専用のメールアドレスを用意
• 分析ツールを使って自動処理

Q: 100%にならない

正当なメールでも認証に失敗することがあります。

• 転送メール
• メーリングリスト
• 古いメールサーバー

95%以上を目指しつつ、完璧を求めすぎないことも重要です。

まとめ

DMARCレポートを活用することで：

最初は難しく感じるかもしれませんが、分析ツールを活用すれば効率的に監視できます。まずはRiskLensでDMARC設定状況を確認し、レポート受信の準備を整えましょう。