DMARC 解析ツールの選び方|3 軸で迷わない
目次
この記事でわかること
- DMARC 解析ツールが大きく 3 タイプに分かれる理由と、それぞれのコスト感
- 自社に合う候補を 1〜2 個に絞り込むための「3 軸選定フロー」
- 典型的な 3 つの利用パターン(個人事業主 / 制作会社 / 情シス在籍企業)への当てはめ
「DMARC レポートが届いたけれど XML が読めない」が出発点
DMARC(ディーマーク)を p=none で設定した翌日から、Gmail や Microsoft、Yahoo などの主要受信プロバイダから XML 形式の集計レポートが毎日届き始めます。1 通あたり数 KB の小さなファイルですが、要素が入れ子になっており、人間が直接読むことを前提としていません。
ほとんどの担当者はここで「解析ツールが必要だ」と気付きます。そこで検索すると、無料のサービス、月数万円する有料 SaaS、サーバを自分で立てるオープンソースが入り混じった候補リストが出てきて、どれを選べばよいのか判断がつかない状態になります。
この記事は、個別ツールの細かな機能比較ではなく 「どの軸で絞り込むか」 にフォーカスします。具体的なツール名と機能の比較は DMARC ツール おすすめ 7 選比較 にまとめていますので、本記事で方向性を決めた後にそちらで候補を絞ってください。DMARC そのものの設定が未着手の場合は、先に DMARC 設定方法を徹底解説 を読んでから戻ってきていただくとスムーズです。
解析ツールは大きく 3 タイプに分かれる
候補が乱立しているように見えても、運用モデルで分類すれば 3 タイプに収まります。価格帯と「誰が運用するか」が違うだけで、解析する対象(DMARC 集計レポートの XML)は全て同じです。
タイプ 1: 無料 SaaS
メールアドレスを登録してアカウントを作るだけで使えるタイプです。代表的なものは Postmark の DMARC Monitor や、Dmarcian の無料プランなどがあります。月額 0 円から始められる代わりに、登録できるドメイン数やデータ保管期間に制限があり、サポートも英語ベースが中心です。
「まずは自社の状態を可視化したい」「運用するドメインは 1〜2 個」というフェーズには最も向きます。初期投資ゼロで数日後にはダッシュボードで送信元 IP の傾向が見えるため、社内合意を取る際の説明材料としても便利です。
タイプ 2: 有料 SaaS
月 1 万円〜10 万円程度のサブスクリプションで、多ドメイン対応、長期データ保管、日本語 UI / 日本語サポート、BIMI や MTA-STS との連携などが付いてきます。EasyDMARC、Valimail、Red Sift OnDMARC などが代表例です。
ドメインを 5 個以上抱えていたり、監査ログを 1 年以上保存したい場合、運用工数を金で買いたい場合に向きます。グループ会社単位で複数ブランドを動かしている企業や、ISMS / Pマーク 等で証跡保管が求められるケースは、無料 SaaS の機能では足りなくなりがちです。
タイプ 3: セルフホスト OSS
自社サーバ(または自社クラウド)に解析基盤を構築するパターンです。デファクトスタンダードは Python 製の parsedmarc で、IMAP でレポートを受信し Elasticsearch に投入、Kibana で可視化するのが標準構成です。サブスクリプション費用は不要で、サーバ代(月 0 円〜数千円)だけで運用できます。
代わりに構築・運用は技術者が担当する必要があり、Linux / Docker / Elasticsearch の基礎知識が前提になります。社外に DMARC データを出せない業界規制下の企業や、情シス / SRE がすでに在籍している企業に向きます。構築手順は parsedmarc セルフホスト構築手順 で具体的に解説しています。
自社に合う候補を絞る「3 軸選定フロー」
3 タイプの違いがわかったら、次の 3 軸を順に当てはめると候補がほぼ自動的に絞れます。
軸 1: 月間レポート受信数
最も大きな分岐は「データ量」です。送信メール通数が少ない組織ではレポート量も少なく、無料 SaaS の上限内で十分に収まります。月間 100 通以下の組織であれば、無料 SaaS で機能不足を感じるケースはほぼありません。
100〜1,000 通の中規模になると、無料プランのドメイン上限やデータ保管期間に引っかかり始めます。ここから先は有料 SaaS への移行か、軸 3 で技術者がいればセルフホストが視野に入ります。1,000 通を超えると有料 SaaS のプラン料金が一気に上がるため、セルフホストの相対コストが下がります。
軸 2: 監査ログ / データ主権の要件
業種によっては、DMARC レポートに含まれる送信元 IP や送信パターンを「外部 SaaS に蓄積してはいけない」という社内ルールがあります。金融、医療、防衛関連、行政系の案件を持つ組織で時折ぶつかる制約です。
この要件があるならセルフホスト一択です。逆に「外部 SaaS で問題ない」「契約書ベースで委託先管理ができる」状態なら、軸 1 と軸 3 だけで判断できます。
軸 3: 社内に運用できる技術者がいるか
セルフホストは「立てれば終わり」ではなく、Elasticsearch のバージョンアップ、ディスク逼迫対応、レポート取り込みエラーの解消などが日常的に発生します。情シスや SRE が在籍していないと、いずれ動かなくなります。
技術者がいない、または DMARC 運用を片手間でしか見られない場合は、軸 1 で OSS が候補に入っても SaaS を選ぶ方が結果的に安く済みます。
典型 3 パターンへの当てはめ
3 軸を実例に流し込んでみます。
パターン A: 個人事業主・スタートアップ(送信通数 月 100 通以下)
軸 1 で「無料 SaaS で十分」、軸 2 で「特になし」、軸 3 で「技術者なし」となるため、無料 SaaS から始めるのが正解です。Postmark DMARC Monitor のような週次サマリーメール型サービスは、毎日ダッシュボードを見に行く運用が破綻しがちな個人事業主にとって特に相性が良い選択肢です。
パターン B: 制作会社・複数ブランド運用(送信通数 月 100〜1,000 通)
クライアントを含めて 5〜20 ドメインを抱える制作会社は、無料 SaaS のドメイン上限にすぐ当たります。技術者は社内にいないことが多いため、軸 3 で OSS は外れ、結果として有料 SaaS が現実解になります。料金が抑えめのプランから始め、ドメイン数の増減に合わせて見直すのが運用負荷の低いやり方です。
パターン C: 情シス在籍の企業(送信通数 月 1,000 通超)
3 軸全てがセルフホスト向きに振れるパターンです。送信量が多くて有料 SaaS のレートが高く、社内に Linux / Docker を扱える人がおり、データ主権要件もある程度厳しい、というケースが該当します。parsedmarc + Elasticsearch + Kibana で構築すれば、月数万円〜十数万円の SaaS 費用を不要にできます。
レポートの読み方そのものは別記事で
解析ツールを入れる前に、XML の構造を一度自分の目で見ておくと、ダッシュボードのどの数字が何を意味しているか理解しやすくなります。具体的な XML の要素と判断ポイントは DMARC レポートの見方 と DMARC Aggregate レポート (RUA) の読み方 を参照してください。読み方の理解が深まると、ツールが出すアラートの「真偽」を自分で判断できるようになり、誤検知に振り回されにくくなります。
よくある質問
無料 SaaS から有料 SaaS へ後で乗り換えできますか
可能です。DMARC レコード(DNS の TXT)の rua= の宛先を新サービスのアドレスに切り替えるだけで、翌日以降のレポートは新サービスに届きます。ただし過去データは引き継がれないため、乗り換え時は 1〜2 か月の並行運用期間を設けて履歴の連続性を保つのが安全です。
複数の rua 宛先を同時に指定できますか
可能です。DMARC レコードでは rua=mailto:a@example.com,mailto:b@example.com のようにカンマ区切りで複数指定できます。ただし宛先が自社ドメイン外の場合は External Destination Verification(_report._dmarc レコードの追加)が必要です。詳細は DMARC レポートの見方 の運用上の注意セクションを参照してください。
セルフホストの月額はどの程度ですか
最小構成(VPS 1 台、月 0 円〜数千円のクラウドインスタンス)で運用できます。ただしレポート受信量が増えると Elasticsearch のディスクが伸びるため、年単位で運用するなら 1 万円前後/月を見込んでおくと安全です。
まとめ
- DMARC 解析ツールは「無料 SaaS / 有料 SaaS / セルフホスト OSS」の 3 タイプに収束する
- 選定は「月間レポート受信数」「データ主権要件」「社内の技術者有無」の 3 軸で絞れる
- 個人事業主は無料 SaaS、制作会社は有料 SaaS、情シス在籍企業はセルフホストが定石
まずは自社の DMARC 設定状況から確認しましょう
ツールを選ぶ前に、そもそも自社ドメインで DMARC レコードが正しく動いているかを 無料のドメイン診断ツール で数秒で確認できます。レポートが届かない、ツール選定の判断軸が自社に当てはめづらいといった場合は、お問い合わせフォーム からご相談ください。状況を整理し、3 タイプのどれが妥当かを一緒に判断いたします。