【図解でわかる】情報処理安全確保支援士のネットワーク分野攻略│午後試験で問われるDNS・TLS・DMARCの要点整理

情報処理安全確保支援士試験の合格を目指す上で、多くの受験者が壁と感じるのが「ネットワークと通信のセキュリティ」分野です。DNS、TLS、VPN、無線LAN、メールセキュリティ…。一つひとつの技術は理解できても、全体像や関連性が見えにくく、知識が断片化してしまいがちではありませんか？特に午後問題では、これらの技術が複雑に絡み合ったシナリオが出題されるため、表面的な暗記だけでは対応が困難です。

この記事では、合格への最後のピースを埋めるために、ネットワークセキュリティの頻出テーマを徹底的に掘り下げます。「DNSSECはインターネットの住所録を守るためのハンコ付きの証明書」「VPNは公道に作る自分だけの専用トンネル」といった身近な例えや豊富な図解、表を使い、複雑なプロトコルの仕組みを直感的に理解できるよう解説します。各技術の「なぜ」を理解し、点と点の知識を線で結びつけ、午後試験を突破する本質的な応用力を身につけましょう。

1 情報処理安全確保支援士試験の土台│OSI参照モデルとセキュリティ機器の役割
2 DNSセキュリティ対策の要点│DNSキャッシュポイズニングとDNSSECの仕組みを攻略
3 HTTPSの心臓部│TLSによる通信の暗号化とTLS 1.3の変更点
4 VPNの仕組みと種類│安全なリモートアクセスを実現するIPsecとSSL-VPNの違い
- 4.1 VPNの核心技術：トンネリングとカプセル化
- 4.2 午後試験の頻出論点：IPsecとSSL-VPNの違い
  - 4.2.1 IPsec (Internet Protocol Security)
  - 4.2.2 SSL-VPN
5 無線LAN（Wi-Fi）セキュリティの変遷│WPA2の課題とWPA3の強化点を理解する
6 なりすましメール対策の三位一体│SPF・DKIM・DMARCの仕組みを理解する

情報処理安全確保支援士試験の土台│OSI参照モデルとセキュリティ機器の役割

ネットワークセキュリティを理解するには、まず通信がどのようなルール（プロトコル）で行われ、どのような機器がそれを守っているのかを知る必要があります。このセクションでは、午後問題の読解にも不可欠なネットワークの基礎知識と、ファイアウォールやIDS/IPSといった基本的なセキュリティ機器の役割を、身近な例えを交えて解説します。

通信の設計図：OSI参照モデルとTCP/IPモデル

コンピュータ同士が通信する際の複雑なプロセスを、役割ごとに階層分けしたものが「OSI参照モデル」です。情報処理安全確保支援士試験では、特に各層の役割と代表的なプロトコルを理解しておくことが重要です。

【身近な例え：手紙を送るプロセス】
OSI参照モデルは、手紙を書いて相手に届けるまでの手順によく例えられます。

第7層アプリケーション層：手紙の内容を考える（ブラウザでWebサイトを見るなど）
第3層ネットワーク層：宛先の住所・氏名を書く（IPアドレスで宛先を決める）
第2層データリンク層：封筒に入れる（Ethernetなどのルールでデータを梱包する）
第1層物理層：郵便ポストに投函し、物理的に運ぶ（電気信号や光信号でデータを送る）

[図解：OSI参照モデルの7階層とTCP/IPモデル4階層の対比図。各層の役割（例：ネットワーク層 - IPアドレスによるルーティング）を記載]

信頼性のTCPと速度のUDP：通信の使い分けを理解する

ネットワーク層（第3層）で宛先が決まったデータは、その上のトランスポート層（第4層）で、どのように届けるかが決められます。その代表的なプロトコルがTCPとUDPです。

TCP (Transmission Control Protocol)
- 特徴：通信相手と接続を確認してから（コネクション型）、データが正しく届いたかその都度確認する、信頼性の高い通信です。
- 実生活・仕事例：Webサイトの閲覧、メールの送受信、ファイルのダウンロードなど、データが一つでも欠けると困る場合に使われます。
UDP (User Datagram Protocol)
- 特徴：相手の状況を確認せず、一方的にデータを送りっぱなしにする（コネクションレス型）通信です。信頼性は低いですが、その分高速です。
- 実生活・仕事例：動画ストリーミング、オンラインゲーム、DNSの名前解決など、多少データが欠けてもリアルタイム性が重視される場合に使われます。

項目	TCP	UDP
接続形態	コネクション型	コネクションレス型
信頼性	高い（到達確認、順序制御あり）	低い（確認なし、送りっぱなし）
速度	遅い	速い
主な用途	Web閲覧、メール、ファイル転送	動画ストリーミング、DNS、VoIP

境界を守る番人たち：ファイアウォール・IDS/IPS・DMZ

安全なネットワークを構築するためには、外部からの不正なアクセスを防ぐ「境界防御」が基本となります。

ファイアウォール
- 役割：事前に設定したルールに基づき、通してよい通信と遮断する通信を判断する「防火壁」です。
- 身近な例え：建物の受付や空港の保安検査場です。許可証（IPアドレスやポート番号など）を持っている人だけを通し、持っていない人は入れません。
IDSとIPS
- IDS (Intrusion Detection System / 不正侵入検知システム)：ネットワークやサーバへの不審な通信（攻撃の兆候）を検知し、管理者に通報します。
- IPS (Intrusion Prevention System / 不正侵入防御システム)：不審な通信を検知し、通報するだけでなく、その通信を自動的に遮断します。
- 身近な例え：IDSは「異常を知らせる監視カメラ」、IPSは「不審者を自動で捕まえる高性能な警備システム」とイメージすると分かりやすいでしょう。
DMZ (DeMilitarized Zone / 非武装地帯)
- 目的：Webサーバやメールサーバなど、外部に公開する必要があるサーバを、社内の内部ネットワークと、外部のインターネットとの中間に設置するための特別なネットワーク領域です。
- 身近な例え：会社の「受付ロビー」のようなものです。外部の人も入れますが、重要な情報がある執務室（内部ネットワーク）とは壁で隔てられています。万が一、受付ロビーで問題が起きても、執務室への被害を最小限に食い止められます。

[図解：インターネット、ファイアウォール、DMZ（Webサーバ設置）、内部ネットワーク（PC）が接続された基本的なネットワーク構成図]

DNSセキュリティ対策の要点│DNSキャッシュポイズニングとDNSSECの仕組みを攻略

私たちが普段何気なく使っているドメイン名（例：www.example.co.jp）と、コンピュータが通信で使うIPアドレス（例：192.0.2.1）を結びつけてくれるのがDNS（Domain Name System）です。非常に重要な役割を担うため、DNSが攻撃されると広範囲に影響が及びます。ここでは代表的な攻撃手法と、その核心的な対策であるDNSSECについて学びます。

偽の住所を教える攻撃：DNSキャッシュポイズニングとは？

DNSキャッシュポイズニングは、DNSサーバのキャッシュ（一時的な記憶）に偽の情報を注入（ポイズニング＝毒を盛る）する攻撃です。これにより、ユーザーが正しいドメイン名にアクセスしようとしても、攻撃者が用意した悪意のある偽サイトに誘導されてしまいます。

攻撃の流れ

攻撃者が、標的のDNSキャッシュサーバに特定のドメイン名の問い合わせを行う。
DNSキャッシュサーバが、本来の権威DNSサーバに応答を問い合わせる。
その応答が返ってくる前に、攻撃者が偽のDNS応答（「そのドメイン名のIPアドレスはこちら」という嘘の情報）を送りつける。
DNSキャッシュサーバが偽の応答を信じてキャッシュしてしまい、他のユーザーにもその偽の情報を教えてしまう。

身近な例え
あなたがよく利用する図書館の司書さん（DNSキャッシュサーバ）に「A社の住所は？」と尋ねたとします。司書さんが電話帳（権威DNSサーバ）で調べている隙に、悪意のある人物が横から「A社の住所はここだよ」と偽のメモを渡します。司書さんがそれを信じてしまうと、次に同じ質問をした別の人にも、その偽の住所を教えてしまう、という状況です。

[図解：DNSキャッシュポイズニングのシーケンス図。攻撃者、利用者、キャッシュサーバ、権威DNSサーバ間のやり取りを時系列で示す]

「本物」の証明でDNSを守る：DNSSECの仕組み

DNSキャッシュポイズニングのような攻撃を防ぐため、DNSの応答が「正当な管理者から送られた、改ざんされていない本物」であることを保証する拡張機能がDNSSEC（DNS Security Extensions）です。

目的：DNSSECの目的は「DNS応答の完全性と認証」です。通信を暗号化するものではない点に注意してください。
身近な例え：DNSSECは、役所が発行する住民票に押された「公印（ハンコ）」のようなものです。公印があれば、その住民票が本物であり、途中で誰かが書き換えたものではないと信用できます。DNSSECは、この公印の役割を電子署名によって実現します。

信頼の連鎖（Chain of Trust）

DNSSECの最も重要なコンセプトは「信頼の連鎖」です。DNSはルートゾーンを頂点とした階層構造になっており、親ゾーンが子ゾーンの情報を「この情報は本物ですよ」と電子署名で保証します。この保証が、ルートから目的のドメインまで連鎖していくことで、応答全体の信頼性が担保されます。

ルートゾーンが「.jp」ゾーンの情報を保証する。
「.jp」ゾーンが「.co.jp」ゾーンの情報を保証する。
「.co.jp」ゾーンが「example.co.jp」ゾーンの情報を保証する。

この連鎖をたどることで、最終的に受け取ったIPアドレスが、確かにexample.co.jpの正当な管理者が設定したものであると検証できるのです。

[図解：「信頼の連鎖」の階層図。ルートDNSから順に、下位のゾーンの公開鍵に署名していくイメージを図示]

内部情報の漏洩リスク：ゾーン転送の適切な設定

ゾーン転送は、プライマリDNSサーバからセカンダリDNSサーバへDNSのレコード情報（ゾーンファイル）を複製するための仕組みです。しかし、この設定を誤ると、第三者にネットワーク内部のホスト名やIPアドレスといった構成情報が丸ごと盗まれ、攻撃の足がかりを与えてしまいます。

リスク：社内のサーバやPCの一覧が書かれた「内部用の電話帳」が誰でも閲覧・コピーできる状態になっているのと同じです。
対策：ゾーン転送を許可するリクエスト元のIPアドレスを、セカンダリDNSサーバなど、本当に必要なサーバのみに厳しく制限することが不可欠です。

HTTPSの心臓部│TLSによる通信の暗号化とTLS 1.3の変更点

オンラインショッピングでクレジットカード情報を入力したり、SNSでメッセージをやりとりしたりする際、通信内容が第三者に盗み見られないのはなぜでしょうか。その安全性を担保しているのがTLS（Transport Layer Security）プロトコルです。WebサイトのURLがhttp://ではなくhttps://で始まっている場合、このTLSによって通信が保護されています。ここではTLSの基本的な役割と、より高速かつ安全に進化したTLS 1.3の重要な変更点を解説します。

TLSが保証する3つの大切なこと

TLSは、通信の「のぞき見」「なりすまし」「改ざん」を防ぐために、主に3つの役割を果たします。

暗号化 (Encryption)：通信内容を暗号化し、第三者がデータを盗み見ても意味が分からないようにします。
認証 (Authentication)：サーバ証明書を使って、通信相手が本物のサーバであることを確認し、「なりすまし」を防ぎます。
完全性 (Integrity)：通信データが途中で書き換えられていないか（改ざんされていないか）を保証します。

【身近な例え：セキュリティ完備の現金輸送】
TLS通信は、現金輸送車に例えることができます。

暗号化：現金（データ）を頑丈な金庫（暗号化）に入れる。
認証：輸送先の銀行が、本物の輸送会社かを確認する（サーバ証明書）。
完全性：金庫に特殊な封印（改ざん検知）をし、途中で開けられていないか確認する。

通信前の「身元確認」：TLSハンドシェイクの仕組み

TLS通信を始める前には、クライアント（あなたのブラウザ）とサーバの間で「TLSハンドシェイク」と呼ばれる事前のやり取りが行われます。このステップで、安全な通信路を確立するための重要な取り決めをします。

合意される内容

使用するTLSのバージョン（例：TLS 1.3）
使用する暗号スイート（暗号化アルゴリズムやハッシュ関数の組み合わせ）
通信を暗号化するための「共通鍵」の元になる情報を安全に交換

このとき、サーバは「私は本物ですよ」ということを証明するために、第三者機関（認証局）が発行したサーバ証明書をクライアントに提示します。クライアントは、その証明書が信頼できるものかを確認することで、フィッシングサイトなどへの接続を防ぎます。

[図解：クライアントとサーバがメッセージを交換する、TLSハンドシェイクの基本的なシーケンス図]

高速かつ安全に進化：TLS 1.3の主要な変更点

TLS 1.3は、それ以前のバージョン（特にTLS 1.2）に比べて、セキュリティとパフォーマンスの両面で大幅に強化されています。情報処理安全確保支援士試験でも、この新しいバージョンの特徴が問われる可能性が高まっています。

変更点1：ハンドシェイクの高速化

TLS 1.2では、通信路を確立するまでに2往復の通信（2-RTT）が必要でした。一方、TLS 1.3ではこのプロセスが効率化され、原則1往復（1-RTT）で完了します。これにより、Webサイトの表示速度が向上し、ユーザー体験が改善されます。

変更点2：脆弱な暗号技術の廃止

セキュリティを脅かす古い暗号方式が根本的に使えなくなりました。

RSA鍵交換の廃止：過去の通信が解読されるリスク（Forward Secrecyがない）があるRSA鍵交換が廃止され、前方秘匿性を持つECDHEなどの鍵交換方式が必須となりました。
脆弱な暗号アルゴリズムの削除：RC4やSHA-1といった、脆弱性が指摘されているアルゴリズムがサポート対象外となりました。

変更点3：暗号化範囲の拡大

TLS 1.2では、ハンドシェイクの一部（サーバ証明書など）が平文でやり取りされていました。TLS 1.3では、より早い段階で通信を暗号化するため、ハンドシェイクの大部分が暗号化され、プライバシー保護が強化されています。

項目	TLS 1.2	TLS 1.3
ハンドシェイク	2往復 (2-RTT)	1往復 (1-RTT)
鍵交換方式	RSA, DHE, ECDHE など	ECDHE, DHE のみ (前方秘匿性が必須)
暗号化	ハンドシェイクの一部は平文	ハンドシェイクのほぼ全体が暗号化
セキュリティ	古い暗号方式を許可	強力な暗号方式のみに限定

VPNの仕組みと種類│安全なリモートアクセスを実現するIPsecとSSL-VPNの違い

リモートワークの普及により、自宅や外出先から社内ネットワークに安全に接続する必要性が増しています。これを実現する技術がVPN（Virtual Private Network）です。VPNは、多くの人が利用する公衆回線（インターネット）上に、あたかも専用線のような仮想的なプライベート通信路を構築し、安全なデータ通信を可能にします。

【身近な例え：公道上の専用装甲トンネル】
VPNを理解するには、インターネットを「誰でも通れる公道」だと考えてみましょう。VPNは、この公道の中に、特定の利用者だけが通れる「自分専用の装甲トンネル」を作るようなものです。

トンネル（トンネリング）：データを特別なパケットで覆い隠し（カプセル化）、外部から見えないようにします。
装甲（暗号化）：トンネルの中を通るデータは暗号化されているため、万が一トンネルが破られても中身を読み取られることはありません。

VPNの核心技術：トンネリングとカプセル化

VPNが安全な通信路を構築するための核心技術が「トンネリング」です。これは、送りたいデータ（元のパケット）を、さらに別のパケットの中に入れてしまう「カプセル化」という手法を用いて実現されます。元のパケットは暗号化され、インターネットを経由するための新しいヘッダ情報が付与されることで、安全に目的地まで届けられます。

[図解：VPNのトンネリングの概念図。元のパケットが暗号化され、新しいヘッダが付与されてカプセル化される様子]

午後試験の頻出論点：IPsecとSSL-VPNの違い

VPNを実現するプロトコルにはいくつか種類がありますが、試験で特に重要なのがIPsecとSSL-VPNです。両者は動作するOSI参照モデルの階層が異なり、それによって特徴や用途も変わってきます。

IPsec (Internet Protocol Security)

ネットワーク層（第3層）で動作するプロトコルです。この層で通信を保護するため、上位のアプリケーション（Web、メール、ファイル共有など）の種類を問わず、すべてのIP通信をまとめて暗号化できるのが大きな特徴です。

特徴：汎用性が高く、拠点間VPN（例：東京本社と大阪支社を接続）など、ネットワーク全体を安全に接続する場合に適しています。
実生活・仕事例：企業の各拠点を結ぶ、常時接続されたセキュアなネットワークの構築。利用者のPCには専用のクライアントソフトウェアのインストールが必要になることが一般的です。

SSL-VPN

より上位のセッション層〜アプリケーション層（第5〜7層）で動作します。Webブラウザに標準で搭載されているTLSプロトコル（SSLの後継）を利用するため、利用者はPCに専用ソフトをインストールすることなく、ブラウザだけで手軽に利用できるのが利点です。

特徴：Webアプリケーション単位での細かいアクセスコントロールが可能。リモートワーカーが特定の社内Webシステムにアクセスするような用途に適しています。
実生活・仕事例：自宅から会社の勤怠管理システムや経費精算システムにWebブラウザ経由で安全にアクセスする。

項目	IPsec	SSL-VPN
動作階層	ネットワーク層 (L3)	セッション層〜アプリケーション層 (L5-L7)
保護対象	すべてのIP通信	主にWebアプリケーション通信
クライアント	専用ソフトが必要な場合が多い	Webブラウザのみ（原則不要）
主な用途	拠点間接続、包括的なリモートアクセス	特定アプリへのリモートアクセス
親和性	ファイアウォールで特定のポート（UDP/500など）を開ける必要がある	HTTPSと同じポート（TCP/443）を使うため、FWを通過しやすい

無線LAN（Wi-Fi）セキュリティの変遷│WPA2の課題とWPA3の強化点を理解する

オフィスや家庭、公共の場所で当たり前に利用されている無線LAN（Wi-Fi）は非常に便利ですが、通信が電波で飛び交うため、常に盗聴や不正アクセスのリスクに晒されています。このリスクから通信を守るため、無線LANのセキュリティ規格はWEPからWPA、WPA2、そして最新のWPA3へと進化を続けてきました。ここでは各規格の特徴、特にWPA2が抱えていた課題と、WPA3による解決策を学びます。

使ってはいけない過去の規格：WEPの脆弱性

WEP (Wired Equivalent Privacy) は、無線LANの最初期のセキュリティ規格ですが、暗号鍵が固定的であることや、暗号アルゴリズムそのものに深刻な脆弱性が発見されたことから、現在では数分〜数十分程度で容易に解読可能です。試験問題で「WEPが設定されていた」という記述があれば、それはセキュリティ上の重大な問題点を示唆しています。

【身近な例え：簡単な南京錠】
WEPは、誰でも簡単にピッキングできてしまう「簡単な南京錠」のようなものです。鍵をかけているつもりでも、全く防犯の役割を果たしません。

長年の標準規格：WPA2とその課題

WEPの脆弱性を受けて登場したWPAを経て、長らく標準規格として利用されてきたのがWPA2 (Wi-Fi Protected Access 2)です。

暗号化方式: 強力な暗号化方式であるAES (CCMP)を採用し、WEPとは比較にならない高い安全性を確保しました。
認証方式: 家庭向けのWPA2-PSK（事前共有鍵）と、企業向けのWPA2-EAP（IEEE 802.1X認証）の2つのモードがあります。

しかし、広く普及したWPA2-PSKにも課題がありました。それは、通信経路上で盗聴した情報（4ウェイハンドシェイク）を元に、パスワードをオフライン環境で時間をかけて解析する「ブルートフォース攻撃（総当たり攻撃）」や「辞書攻撃」に弱いという点です。特に簡単なパスワードを設定している場合、解読されるリスクがありました。

現代の標準：WPA3によるセキュリティ強化

WPA3は、WPA2が抱えていた課題を解決し、より堅牢なセキュリティを実現するために登場した最新規格です。

強化点1：ブルートフォース攻撃への耐性強化 (SAE)

WPA3-Personalでは、PSKに代わりSAE (Simultaneous Authentication of Equals)という新しい鍵交換方式が採用されました。SAEは、パスワードそのものを直接やり取りしないため、オフラインでの辞書攻撃を防ぎます。これにより、たとえ推測されやすいパスワードを設定していても、従来より格段に安全性が向上しました。

強化点2：公衆無線LANの安全性向上

カフェや空港などで提供されるパスワードなしの公衆無線LANでは、通信が暗号化されず、同じアクセスポイントに接続している他の利用者から通信内容を盗み見られる危険がありました。WPA3はこれを改善するため、Wi-Fi Enhanced Open™ (OWE)を導入。パスワードなしでも利用者ごとに通信を個別に暗号化し、プライバシーを保護します。

項目	WEP	WPA2	WPA3
主な暗号化方式	RC4 (脆弱)	AES (CCMP)	AES (CCMP)
主な認証 (Personal)	事前共有鍵	PSK	SAE
主な課題	暗号自体が脆弱で容易に解読可能	オフラインでの辞書攻撃に弱い	既存機器の対応が必要
現在の推奨度	使用禁止	非推奨（WPA3が使えない場合のみ）	強く推奨

なりすましメール対策の三位一体│SPF・DKIM・DMARCの仕組みを理解する

フィッシング詐欺やビジネスメール詐欺（BEC）など、多くのサイバー攻撃の起点となるのが「なりすましメール」です。メールの基本プロトコルであるSMTPは、送信者のアドレス（Fromアドレス）を自由に設定できるため、悪意のある第三者が容易になりすましを行えます。この問題に対抗するため、送信ドメイン認証技術であるSPF、DKIM、そしてDMARCが開発されました。

【身近な例え：手紙の本人確認】
メールのセキュリティは、手紙のやり取りに例えると理解しやすくなります。

SMTP：差出人の住所氏名を誰でも自由に書ける「ハガキ」のようなもの。
送信ドメイン認証：そのハガキが本当に本人から送られたものかを確認するための「本人確認の仕組み」です。

前提知識：通信経路の暗号化 (STARTTLS)

送信ドメイン認証を学ぶ前に、メールの「盗聴」対策に触れておきます。標準のSMTPは通信が暗号化されていませんが、STARTTLSという仕組みを使うことで、メールサーバ間の通信をTLSで暗号化できます。これにより、配送中のメールが盗み見られるのを防ぎます。ただし、これはあくまで「配送経路の安全確保」であり、「差出人が本物か」を保証するものではありません。

SPF (Sender Policy Framework) ：送信元IPアドレスの検証

SPFは、メールが正規のメールサーバから送信されたものであることを検証する仕組みです。ドメインの管理者は、自身のドメインからメール送信を許可するサーバのIPアドレスの一覧を、DNSのSPFレコードに公開します。

受信側の動き：メールを受信したサーバは、送信元メールサーバのIPアドレスと、送信元ドメインのSPFレコードを照合します。IPアドレスがSPFレコードに記載されていれば「正規のサーバからの送信」と判断します。
身近な例え：SPFは「手紙の消印」を確認するようなものです。「A社（ドメイン）からの手紙」と書いてあるのに、A社の所在地とは全く関係ない場所の消印が押されていたら怪しいですよね。SPFレコードは、A社が利用を許可している「正規の郵便局（IPアドレス）のリスト」にあたります。

DKIM (DomainKeys Identified Mail) ：電子署名による改ざん検知

DKIMは、メールに電子署名を付与することで、送信元が正当であることと、メールの内容が途中で改ざんされていないことを保証する仕組みです。

送信側の動き：送信メールサーバは、メールのヘッダや本文から生成したハッシュ値を秘密鍵で暗号化し、電子署名としてメールヘッダに付与します。
受信側の動き：受信サーバは、送信元ドメインのDNSに公開されている公開鍵を使って電子署名を復号し、メールの内容と一致するかを検証します。
身近な例え：DKIMは「封筒に押された蝋封（ろうふう）」です。A社独自の印鑑で封をされていれば、それが「確かにA社から送られたものであり、途中で開封されていない」ことの証明になります。DNSに公開された公開鍵は、その印鑑が本物かどうかを照合するための「印鑑登録証明」のようなものです。

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ：認証失敗時のポリシー指示

DMARCは、SPFとDKIMの認証が失敗した場合に、受信側がそのメールをどう扱うべきかをポリシーとして指示するための仕組みです。また、なりすましの状況をドメイン管理者にレポートする機能も持ちます。

DMARCの役割：
1. SPFまたはDKIMのどちらか、あるいは両方の認証に合格したメールのみを正当とみなす。
2. 認証に失敗したメールの扱いをポリシー（pタグ）で指定する。
  - p=none：何もしない（監視・レポートのみ）
  - p=quarantine：迷惑メールフォルダに入れる
  - p=reject：受信を拒否する
3. 認証結果のレポートを受け取るためのメールアドレスを指定する。
身近な例え：DMARCは、A社が郵便局に対して出す「指示書」です。「うちからの手紙で、消印（SPF）がおかしいか、蝋封（DKIM）が偽物だった場合は、相手に渡さず破棄してください（reject）。そして、どんな偽手紙が届いたか定期的に報告してください」と依頼するようなものです。

技術	検証方法	主な目的	例え
SPF	送信元IPアドレス	送信サーバの正当性検証	消印の確認
DKIM	電子署名	送信元の正当性＋改ざん検知	蝋封の確認
DMARC	SPFとDKIMの結果	認証失敗時のポリシー指示	郵便局への指示書