Cloudflare の DMARC 管理機能が一般提供開始
Cloudflare は、メール認証の重要性が高まる中、DMARC 管理機能を一般提供開始し、全顧客に無料の包括的なダッシュボードを提供してドメインのセキュリティ強化を支援した。
キーポイント
DMARC Management の一般提供と無料化
Cloudflare は以前ベータ版として提供していた DMARC 管理機能を正式に一般提供し、すべての Cloudflare カスタマーに対して無料で利用可能にした。
再設計されたダッシュボードの導入
新機能は完全な DMARC 強制(enforcement)への移行を容易にするよう再設計され、複雑な XML レポートの解析や外部コンサルタントの依存を不要とする統合ビューを提供する。
メール認証プロトコルの重要性向上
Google、Microsoft、Yahoo による厳格なポリシー強化により、SPF、DKIM、DMARC の適切な設定が必須となり、不正送信の防止と配信信頼性の確保が急務となっている。
厳格なメール認証ポリシーの必要性
Google、Microsoft、Yahoo の発表により、DMARC、SPF、DKIM の設定が不十分または誤っていると、正当なメールがスパムフォルダに振り分けられたり拒絶されたりするリスクが高まっている。
Cloudflare DMARC Management の自己完結型機能
専門家の介入や手動でのレポート分析を不要とし、顧客自身が可視性と自信を持ってポリシーを強化できるセルフサービス環境を提供している。
IP アドレスと脅威インテリジェンスの統合
DMARC レポートに送信元 IP アドレスが表示され、Investigate タブでその IP の評判データ、地理情報、ASN、および既知の悪意ある活動との関連性を即座に確認できるようになりました。
メール認証レコードの一元可視化と診断
DMARC、DKIM、SPF、BIMI の各レコードステータスを単一のビューで確認でき、自動分析に基づいた「合格」「警告」「不合格」の判定と具体的な修復推奨事項が提供されます。
影響分析・編集コメントを表示
影響分析
この発表は、大規模なメールプロバイダーによるセキュリティ基準の強化という業界全体の潮流の中で、中小企業や個人ドメイン所有者が専門知識なしで高水準のメール認証を実現できる障壁を下げた点で重要です。Cloudflare が提供する無料ツールにより、メール詐欺やブランド偽装に対する防御力が底上げされ、インターネット全体の信頼性向上に寄与します。
編集コメント
AI テクノロジーそのものの進化ではありませんが、生成 AI の普及に伴うメール詐欺の高度化に対抗するため、インフラ層での防御策を民主化する重要な一歩です。専門知識がなくてもセキュリティ対策が可能になる点は、実務現場にとって非常に価値が高いニュースと言えます。
DMARC Management を最初に立ち上げた際、それはシンプルな信念に基づいていました。インターネット上のすべてのドメインは強力なメール認証を享受するに値し、コストがその実現を妨げる理由であってはならないと。より良いインターネットの構築を支援するという私たちの使命の一環として、DMARC Management はすべての Cloudflare カスタマーに対して無料で提供されるようになりました。私たちは、メールセキュリティコンサルタントを雇ったり、XML レポートファイルを人手で解析したりすることなく、誰もが DMARC の現状を理解し改善するためのツールを提供したかったのです。
今日、私たちはそのコミットメントをさらに進めます。Cloudflare DMARC Management が一般利用可能となりました。これは、可能な限り容易に完全な DMARC 強制(enforcement)を実現できるよう、再設計された体験を備えています。
DMARC Management ダッシュボードは、メール認証の現状を一元管理するビューを提供します。
メール認証が実際にあなたにもたらすもの
誰かがあなたのドメイン「から」メールを受信するたびに、そのメールプロバイダーは単純な質問を行います。このドメインの本当の所有者が実際にこのメールを送ったのか?と。この質問に答える手段がない場合、誰でもあなたになりすましてメールを送ることができ、受信者はその違いを見分ける方法を持ちません。
メール認証とは、その質問に答える DNS レコード(Domain Name System records)のセットです。あなたのドメインを保護するプロトコルは 4 つあります:
SPF(Sender Policy Framework)は、受信メールサーバーに対して、あなたのドメインに代わって電子メールを送信することが許可されている IP アドレスとサービスがどれであるかを示します。
DKIM(DomainKeys Identified Mail)は、送信するすべての電子メールに暗号化署名を付与し、受信サーバーがメッセージが転送中に改ざんされていないことを検証できるようにします。
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は SPF と DKIM を結びつけ、認証に失敗した電子メールに対して受信サーバーがどのように対処すべきか(通過させる、隔離する、あるいは完全に拒否する)を指示します。また、あなたのドメインを名乗って電子メールを送信している誰がいるかについてのレポートも送信されます。
BIMI(Brand Indicators for Message Identification)は、対応する受信トレイにおいて、あなたのブランドロゴを電子メールの隣に表示することを可能にしますが、これは DMARC ポリシーが十分に強力である場合に限り適用されます。
これら 4 つが正しく設定されている場合、なりすましメールは誰かの受信トレイに到達する前にブロックされ、正当なメールが届く可能性は大幅に高まります。一方、これらが欠落しているか誤って設定されている場合、ブランドのなりすましや、主要な電子メールメールボックスプロバイダーからの配信性に関するペナルティにさらされることになります。
DMARC はもはや任意のものではありません
DMARC は常に重要でした。しかし過去2年間で、その重要性は著しく高まりました。Google、Microsoft、Yahoo はいずれもより厳格なメール認証の強制を表明または実施しています。適切な DMARC、SPF、DKIM レコードが設定されていない(あるいは最悪の場合、誤って設定されている)ドメインでは、正当なメールがスパムフォルダに振り分けられたり、 outright 拒絶されたりするケースが増えています。かつてはベストプラクティスとされていたものが、今や必須要件となっています。メールの衛生状態が悪いことは、そのまま配信性の低下を意味し、多くの企業にとっては収益の損失やコミュニケーションの機会喪失につながります。
業界からのメッセージは明確です。ドメインからメールを送信するならば、これらのレコードを正しく設定する必要があります。猶予期間は終了しました。
問題:DMARC は複雑で、ミスは高価な代償を伴う
ここに課題があります。p=none(監視のみ、メールはブロックされない)から p=quarantine(不審なメールはスパムへ振り分けられる)、そして p=reject(認証されていないメールは outright 拒絶される)への移行には、多くの不確実性が伴います。強制を早すぎると、代わりに送信していたことを忘れていたサードパーティサービスからの正当なメールフローが壊れるリスクがあります。逆に動きが遅すぎると、ドメインがなりすましにさらされ、さらに顧客が利用しているプロバイダーから配信性のペナルティを受けることになります。
⟦CODE_0⟧
ほとんどの組織は DMARC の強制適用が必要であることを知っています。しかし、実際にそれを実現するには、集計 XML レポートを理解し、インフラストラクチャ全体で正当な送信ソースをすべて特定し、ポリシーを強化しても何も壊さないという十分な信頼性を構築する必要があります。
Cloudflare DMARC Management を作成した目的は、あらゆる顧客が専門家の支援なしに、この旅路を自分自身でナビゲートできるようにすることです。集計レポートのスプレッドシート分析も不要ですし、どの IP アドレスがどのベンダーに属するかを推測する必要もありません。目標は、DMARC 強制適用への道限りなくセルフサービス化し、何も壊すことなくポリシーを強化するための可視性と信頼性を与えることです。
DMARC レポートは、ドメイン全体における送信ソースの整合性を示します。
私たちが提供したもの
より深いレポート可視性とソース調査
メールトラフィックの状況を理解しやすくするために、レポート体験を再設計しました。これにより、どの送信ソースが DMARC、SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)の整合性に合格しているか、または不合格かを一目で確認できるようになり、これまで以上に詳細な調査が可能になりました。
すべてのレポートで、送信元サービスとともに送信元の IP アドレスが表示されるようになり、正当なインフラと不正な送信者を区別するための詳細な粒度が提供されます。これで、任意の IP アドレスを直接「Investigate(調査)」タブで開くことができ、Cloudflare がそのアドレスについて保有するすべての脅威インテリジェンス — レピュテーションデータ、地理的位置情報、自律システム番号 (ASN) の詳細、および既知の悪意のある活動との関連性 — を表示できます。
これにより、DMARC レポートは受動的なデータフィードから、能動的な調査ツールへと進化します。
送信元を詳細に確認すると、「Investigate(調査)」タブで IP レベルの詳細と Cloudflare の脅威インテリジェンスが表示されます。
何が見えるか
それが示すもの
送信元 IP アドレス
ドメインに代わってメールを送信する特定のインフラ
送信元サービス名
IP アドレス背後の組織またはプロバイダー
DMARC / SPF / DKIM の整合性
各認証チェックがそのソースに対してパスしたか失敗したか
Investigate(調査)タブ
Cloudflare の脅威インテリジェンス:レピュテーション、地理的位置情報、ASN、既知の脅威との関連性
メール認証レコードの状態
顧客から最もよく寄せられる質問の一つに「レコードは正しく設定されていますか?」というのがあります。
これまで、この質問に答えるには、DNS TXT レコードを手動で検査し、複数の仕様書における各タグと値の意味を理解する必要がありました。今回のリリースにより、必要なすべてのメール認証レコード(DMARC、DKIM、SPF、BIMI)の状態を、単一のビューで確認できるようになりました。
各レコードタイプは、自動分析に基づいて明確な「合格」「警告」「不合格」のステータスが表示されます。特定のレコードをクリックすると、検出された具体的な問題と、それを修正するための推奨事項を確認できます。DKIM キーに構文エラーがある場合はフラグが立ちますし、BIMI レコードが存在せず、かつ DMARC ポリシーが BIMI をサポートする十分な強度を持っている場合も、その旨をお知らせします。
レコード分析カードでは、各メール認証レコードに対して「合格」「警告」「不合格」のステータスと、実行可能な推奨事項が表示されます。
推奨事項は専門用語(RFC 用語)ではなく、平易な言葉で記述されています。メールセキュリティの専門知識の有無にかかわらず、次に取るべきアクションが一目でわかるようにすることが目的です。
レコード | 確認項目
---|---
SPF | 複数のレコード、ルックアップ制限、緩やかな +all、メカニズムの欠落
DKIM | キーのフォーマット、公開キーの欠落または不正な形式
DMARC | ポリシーの強度、監視と強制の実施、レポート設定
BIMI
ロゴ URL フォーマット、検証済みマーク証明書 (VMC) の存在
SPF ルックアップ監査
これは、予想以上に多くの組織で静かにメールが壊れる問題に対処するものです。SPF 仕様(RFC 7208)では、SPF 評価ごとに DNS ルックアップのハードリミットが 10 回に設定されています。SPF レコード内のすべての include:、a、mx、redirect、exists メカニズムがこの制限に含まれ、各 include: の内部にあるネストされたルックアップも同様にカウントされます。10 回を超えると、受信メールサーバーは permerror を返し、その結果 SPF チェックが完全に失敗します。
多くの人は、メールが拒否され始めるまで自分が制限を超えていることに気づきません。
DMARC Management を使用すると、SPF レコードを監査して、実際にどの程度のルックアップが発生しているかを正確に確認できます。レコード内のすべてのメカニズムを詳細に調べ、最もコストのかかる include: チェーンがどこにあるかを確認し、制限を下回るためにレコードの統合や平坦化を行うべき場所を特定できます。
SPF ルックアップ監査は、SPF レコード内のすべての DNS ルックアップを追跡し、10 回のルックアップ制限に対して現在どこにあるかを正確に示します。
はじめに
DMARC Management を使用するには、ドメインの DNS が Cloudflare に設定されている必要があります。その後、Cloudflare ダッシュボードでそのドメインの「Email」タブの下で DMARC Management をオンにできます。
- Cloudflare ダッシュボードで対象ドメインに移動します。
- [Email] > [DMARC Management] にアクセスします。
- セットアップウィザードに従って、DMARC レポートの受信を開始します。
- レコード分析結果と推奨事項を確認します。
- 自身のペースで p=quarantine(不審なメールはスパムフォルダへ振り分け)または p=reject(認証に失敗したメールは完全にブロック)の設定を達成するよう取り組みます。
次のステップ
DMARC Management 機能をさらに強化し、引き続きアクセスしやすい状態を維持していく予定です。現在、以下の機能の実装を計画しており、楽しみにしています:より詳細なフォレンジックレポート機能、より賢い推奨事項の提示、そして Cloudflare プラットフォーム全体とのより緊密な統合です。
まだ DNS 管理に Cloudflare を利用していない場合は、こちらから開始できます。ドメインを Cloudflare に移行すれば、追加の設定やコストなしで即座に DMARC Management が利用可能になります。
あなたのドメインは保護されているか、そうでないかのどちらかです。Cloudflare ダッシュボードの [Email] > [DMARC Management] へアクセスして、すぐに始めましょう。
原文を表示
When we first launched DMARC Management, it was driven by a simple belief: every domain on the Internet deserves strong email authentication, and cost should never be the reason it doesn't happen. As part of our mission to help build a better Internet, we made DMARC Management available for free to every Cloudflare customer. We wanted to give everyone the tools to understand and improve their DMARC posture without needing to hire an email security consultant or parse XML report files by hand.
Today, we are taking that commitment further. Cloudflare DMARC Management is now generally available, with a redesigned experience built to help you reach full DMARC enforcement as easily as possible.
image
The DMARC Management dashboard offers a unified view of your email authentication posture.
What email authentication actually does for you
Every time someone receives an email "from" your domain, their email provider asks a simple question: did the real owner of this domain actually send this? Without a way to answer that question, anyone can send an email pretending to be you and your recipients will have no way to tell the difference.
Email authentication is the set of DNS records that answers that question. There are four protocols that protect your domain:
SPF (Sender Policy Framework) tells receiving mail servers which IP addresses and services are allowed to send email on behalf of your domain.
DKIM (DomainKeys Identified Mail) attaches a cryptographic signature to every email you send, so receiving servers can verify the message hasn't been tampered with in transit.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ties SPF and DKIM together and tells receiving servers what to do when an email fails authentication: let it through, quarantine it, or reject it outright. It also sends you reports on who is sending email as your domain.
BIMI (Brand Indicators for Message Identification) lets you display your brand logo next to your emails in supported inboxes, but only if your DMARC policy is strong enough.
When all four are configured correctly, spoofed emails get blocked before they reach anyone's inbox and your legitimate emails are far more likely to be delivered. When they're missing or misconfigured, you're exposed to brand impersonation and deliverability penalties from the large email mailbox providers.
DMARC is no longer optional
DMARC has always been important. But over the past two years, the stakes have gotten significantly higher. Google, Microsoft, and Yahoo have all announced or implemented stricter email authentication enforcement. Domains that do not have proper DMARC, SPF, and DKIM records configured (or worse, have them configured incorrectly) are increasingly seeing their legitimate emails land in spam folders or get rejected outright. What was once a best practice is now a requirement. Poor email hygiene directly translates to poor deliverability, and for many businesses, that means lost revenue and missed communications.
The message from the industry is clear: if you send email from your domain, you need these records configured correctly. The grace period is over.
The problem: DMARC is confusing, and mistakes are costly
Here is the challenge. The journey from p=none (monitor only, no emails are blocked) to p=quarantine (suspicious emails are sent to spam) to p=reject (unauthenticated emails are blocked outright) is filled with uncertainty. Enable enforcement too early, and you risk breaking legitimate email flows from third-party services you forgot were sending on your behalf. Move too slowly, and you leave your domain exposed to spoofing, and now, to deliverability penalties from the very providers your customers use.
Most organizations know they need DMARC enforcement. But actually getting there requires understanding aggregate XML reports, identifying every legitimate sending source across your infrastructure, and building enough confidence that tightening your policy will not break anything.
We built Cloudflare DMARC Management so that any customer can navigate this journey on their own. No need for professional services engagement. No spreadsheet analysis of aggregate reports. No guessing which IP address belongs to which vendor. The goal is to make the path to full DMARC enforcement as self-service as possible, giving you the visibility and confidence to tighten your policy without breaking anything.
image
DMARC reports show sending source alignment across your domain.
What we shipped
Deeper report visibility with source investigation
We redesigned the reporting experience to make it easier to understand what is happening with your email traffic. You can now see at a glance which sending sources are passing or failing DMARC, SPF, and DKIM alignment and drill deeper than ever before.
Every report now surfaces the source IP address alongside the sending service, giving you the granularity to distinguish between legitimate infrastructure and unauthorized senders. You can now open any IP address directly in our Investigate tab, which surfaces all the threat intelligence Cloudflare has on that address — reputation data, geolocation, autonomous system number (ASN) details, and any known associations with malicious activity.
This turns your DMARC reports from a passive data feed into an active investigation tool.
image
image
Drilling into a sending source reveals IP-level detail and Cloudflare threat intelligence in the Investigate tab.
What you see
What it tells you
Source IP address
The specific infrastructure sending email on behalf of your domain
Sending service name
The organization or provider behind the IP
DMARC / SPF / DKIM alignment
Whether each authentication check passed or failed for that source
Investigate tab
Cloudflare threat intelligence: reputation, geolocation, ASN, and known threat associations
Email authentication record status
One of the most common questions customers ask is: "Are my records set up correctly?"
Until now, answering that question required manually inspecting DNS TXT records and understanding what each tag and value means across multiple specifications. With this release, you can see the status of every email authentication record you need: DMARC, DKIM, SPF, and BIMI, in a single view.
Each record type gets a clear pass, warning, or fail status based on automated analysis. You can drill into any record to see specific findings about what we detected and recommendations for how to fix it. If your DKIM key is malformed, we flag it. If you are missing a BIMI record and your DMARC policy is strong enough to support one, we let you know that too.
image
Record analysis cards show pass, warning, or fail status for each email authentication record, with actionable recommendations.
The recommendations are written in plain language, not RFC jargon. The goal is to make it obvious what action to take next, regardless of your email security expertise.
Record
What we check
SPF
Multiple records, lookup limits, permissive +all, missing mechanisms
DKIM
Key formatting, missing or malformed public keys
DMARC
Policy strength, monitoring vs. enforcement, reporting configuration
BIMI
Logo URL format, Verified Mark Certificate (VMC) presence
SPF lookup audit
This one addresses a problem that silently breaks email for more organizations than you would expect. The SPF specification (RFC 7208) imposes a hard limit of 10 DNS lookups per SPF evaluation. Every include:, a, mx, redirect, and exists mechanism in your SPF record counts toward that limit, and so do the nested lookups inside each include:. Exceed 10 and receiving mail servers return a permerror, which means your SPF check fails entirely.
Most people have no idea they are over the limit until their email starts getting rejected.
DMARC Management now lets you audit your SPF record and see exactly how many lookups it incurs. You can drill into every mechanism in the record, see which include:chains are the most expensive, and identify where to consolidate or flatten your record to get back under the limit.
image
The SPF lookup audit traces every DNS lookup in your SPF record, showing exactly where you are against the 10-lookup limit.
Getting started
To use DMARC Management, you need to have your domain's DNS on Cloudflare. Then you can turn on DMARC Management under the Email tab for that domain in the Cloudflare dashboard.
- Navigate to your domain in the Cloudflare dashboard.
- Go to Email > DMARC Management.
- Follow the setup wizard to start receiving DMARC reports.
- Review your record analysis and recommendations.
- Work toward p=quarantine (suspicious emails go to spam) or p=reject (unauthenticated emails are blocked entirely) at your own pace.
What's next
We are going to continue building on top of DMARC Management, and our goal is to keep it accessible. We have several things planned that we are excited to ship: deeper forensic reporting, smarter recommendations, and tighter integration with the rest of the Cloudflare platform.
If you are not yet using Cloudflare for your DNS, you can get started here. Once your domain is on Cloudflare, DMARC Management is available immediately with no additional configuration or cost required.
Your domain is either protected or it isn't. Head to Email > DMARC Management in your Cloudflare dashboard to get started.
関連記事
反撃するフィルター
Richard Jowsey氏が、スパムフィルターの精度向上のために、疑わしいメールのリンク先を確認する手法を開発した。この方法は、スパム送信者のサーバーに負荷をかける副作用を持つ。
AI エージェント向けのクラウドフレア一時アカウントの提供開始
クラウドフレアは、AI エージェントが人間向けに設計された認証フロー(ブラウザ操作や多要素認証など)に直面して停止する問題を解決するため、エージェント専用の一時アカウント機能をリリースした。
独自の脆弱性ハーンを構築する
クラウドフレアは、最先端セキュリティモデルを企業コードベースに適用した「グラスウィング・プロジェクト」の初期調査結果を発表し、AI 脅威からインフラと顧客を守るための防御構造の適応について解説している。
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み