DMARC

DMARC（Domain-based Message Authentication, Reporting and Conformance）は SPF と DKIM の上に位置するポリシー層で、RFC 7489 で定義されています。SPF と DKIM はそれぞれ異なるシグナルを検証しますが、DMARC は受信者に 2 つのことを伝えます: (1) どちらのシグナルも可視の From: ヘッダと「整合」しないときの扱い（none / quarantine / reject）、(2) 集計レポート（RUA）と forensic レポート（RUF）の送り先です。ポリシーは _dmarc.{domain} の TXT レコードとして公開します。

v=DMARC1; p=none; rua=mailto:dmarc-agg@yourcompany.com; pct=100; adkim=r; aspf=r

主なタグ:

• p= — ポリシー: none（モニタリングのみ）、quarantine（迷惑メールフォルダ）、reject（バウンス）。
• rua= — 集計レポートの送信先（受信者ごとに日次 XML）。
• ruf= — forensic / failure レポート（稀。送ってくる受信者は少数）。
• pct= — ポリシーを適用する失敗メールの割合（ロールアウトノブ）。
• adkim= / aspf= — alignment モード: r relaxed（組織ドメインレベルで一致）または s strict（From: と完全一致）。

DMARC で最も多い誤りは p=none を飛ばすことです — まだ把握しきれていないメールフローを持つドメインでいきなり p=reject に進むと、正当なメール（forwarder、メーリングリスト、CRM ツール）が静かにバウンスします。標準的なロールアウトは: (1) p=none と RUA レポートを設定し、2〜4 週間日次レポートを観察、(2) レポートで明らかになった未認証ストリームを修正、(3) p=quarantine; pct=10 → 50 → 100 と段階的に上げる、(4) 集計レポートで正当な失敗が丸 1 週間ゼロになったら p=reject; pct=100 で確定、という流れです。

Google と Yahoo は 2024 年 2 月に bulk-sender ポリシーを更新し、ユーザーあたり 1 日 5,000 通を超える送信者には DMARC を必須としました（Google ガイダンス）。AcelleMail と Amazon SES をスケールで利用するセルフホスト運用者にとって、DMARC alignment はもはや任意ではなく、2 大メールボックスプロバイダで受信箱に届けるための前提条件です。