迷惑メール対策の入門｜SPF・DKIM・DMARC をメール担当が理解する順序

現代のビジネスにおいて、メールは単なる連絡手段ではなく、企業の信頼性を担保するインフラです。しかし、2024年2月から施行されたGmailの「メール送信者のガイドライン」の厳格化以降、適切な設定を行っていないドメインからのメールは、受信ボックスに届くことすら許されない時代になりました。

本記事では、IT実務担当者が「何から、どの順序で、どう設定すべきか」を迷わないよう、SPF、DKIM、DMARCの3つの技術を、実務ベースで徹底的に解説します。

なぜ今、SPF・DKIM・DMARCの「3点セット」が必須なのか

これまでは「SPFさえ設定しておけば大丈夫」という風潮がありました。しかし、攻撃手法の巧妙化により、SPFだけでは防げないなりすましや、通信経路での改ざんが問題となっています。

2024年以降の送信者ガイドライン（Gmail/Yahoo!）による強制力

Googleと米Yahoo!は、1日5,000件以上のメールを送信する「大量送信者」に対し、以下の要件を義務化しました（一部は小規模送信者にも適用）。

• SPFおよびDKIMのセットアップ（必須）
• DMARCポリシーの導入（最低でも p=none）
• ワンクリックでの登録解除リンクの設置

これに対応していないドメインからのメールは、Googleのスパムフィルタによって拒否されるか、迷惑メールフォルダに直行します。これはBtoCだけでなく、BtoBの商談メールにおいても同様の影響が出始めています。

なりすまし対策だけではない「到達率」への直接的影響

これらの認証技術は、セキュリティ向上だけでなく、ドメインのレピュテーション（評判）を維持するために不可欠です。正しい認証を通すことで、受信側サーバーに対して「このメールは正規の送信元から送られた、改ざんのない本物である」という証明書を提示することになり、結果として到達率が向上します。

社内のインフラ環境を見直す際は、メールだけでなく、他のSaaSツールとの連携も考慮する必要があります。例えば、ID管理の不備から不正アクセスを許しては、どれだけメール認証を固めても意味がありません。アカウント管理の全体像については、以下の記事が参考になります。

SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐ。Entra ID・Okta・ジョーシスを活用した自動化アーキテクチャ

【STEP 1】SPF（Sender Policy Framework）の基本と設定

SPFは、最も歴史が古く、かつ設定が容易な認証技術です。一言で言えば、「私のドメインを語ってメールを送っても良いサーバーのIPアドレス一覧」をDNSに公開する仕組みです。

SPFの仕組み：IPアドレスの「ホワイトリスト」

1. 送信側がメールを送信する。
2. 受信側サーバーが、メールの「Return-Path」に記載されたドメインのDNSレコードを確認する。
3. DNSレコード内のSPF設定（TXTレコード）に、送信元サーバーのIPアドレスが含まれていれば「PASS」と判定する。

SPFレコードの書き方と構文解説

DNSのTXTレコードに以下のように記述します。

v=spf1 ip4:192.168.0.1 include:_https://www.google.com/search?q=spf.google.com ~all

実務の注意点：「10回制限」の壁をどう突破するか

SPFには「DNS Lookup 10回制限」という仕様があります。include を多用すると、この制限に抵触し、認証が「PermError」となって失敗します。解決策としては、不要な include を削除するか、SPFフラットニング（include先をIPアドレスに展開する手法）を検討する必要があります。

【STEP 2】DKIM（DomainKeys Identified Mail）の仕組みと構築

SPFが「送信元の場所（IP）」を認証するのに対し、DKIMは「メールそのもの」を認証します。

DKIMの仕組み：鍵ペアによる「改ざん検知」

電子署名の仕組みを利用します。

1. 送信サーバーで、メール本文やヘッダーを秘密鍵で署名する。
2. 受信サーバーが、DNSに公開されている「公開鍵」を取得して署名を検証する。

これにより、配送途中でメール本文が書き換えられていないことが保証されます。

作成手順：セレクタの決定からDNS登録まで

実務上の手順は以下の通りです。

1. セレクタの決定：1つのドメインで複数の配信システム（例：GWSとSalesforce）を使う場合、識別子（セレクタ）を分けます。例：google._domainkey。
2. 公開鍵の発行：Google WorkspaceやMicrosoft 365の管理画面から、DKIM設定を開始し、TXTレコード用の値を生成します。
3. DNSへの登録：生成された値をDNSサーバーに登録します。
4. 認証の有効化：登録後、管理画面で「認証を開始」をクリックします。ここを忘れる担当者が多いため注意が必要です。

【STEP 3】DMARC（Domain-based Message Authentication）

DMARCは、SPFとDKIMの「守護神」です。もしSPFやDKIMの認証が失敗したとき、受信サーバーに「そのメールをどう処理してほしいか」を指示します。

DMARCの役割：認証結果の最終判断

DMARCが導入されていないと、SPF/DKIMが失敗しても、受信側の判断に委ねられてしまいます。DMARCを設定することで、「認証に失敗したなりすましメールは拒絶（reject）せよ」と明示できます。

ポリシーの3段階の使い分け

• p=none (モニタリング)：何もしない。まずはレポートだけを受け取り、正当なメールが認証エラーになっていないか確認する段階。
• p=quarantine (隔離)：認証失敗したメールを迷惑メールフォルダに送る。
• p=reject (拒否)：認証失敗したメールを完全にブロックする。最終目標。

バックオフィス業務のDXを進める際、こうしたインフラ設定の「自動化」や「最適化」は、業務の安定性に直結します。特に、経理や労務のシステムを連携させる際も、通知メールの認証が正しく設定されていないと、重要な通知が従業員に届かないといったトラブルを招きます。

Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DX完全ガイド

【比較表】主要メール配信サービス・グループウェアの対応状況

各サービスで、SPF/DKIM/DMARCを設定する際の特性を比較しました。

実務でよくある不達トラブルと解消ステップ

設定したのに認証がパスしない（Alignmentエラー）

DMARCには「アライメント（一致）」という概念があります。

• SPFのアライメント：メールの Header From（送信者として表示されるドメイン）と Return-Path のドメインが一致しているか。
• DKIMのアライメント：Header From と DKIM署名ドメイン（d=値）が一致しているか。

よくあるミスは、外部ツール（MAツールなど）を使っていて、Header Fromは自社ドメインなのに、SPF/DKIMがツールのドメインのままになっているケースです。この場合、DMARCは失敗とみなされます。

外部SaaS（Salesforce等）からのメールが迷惑メールに入る場合

Salesforceや各種SaaSから自社ドメインでメールを送る場合、そのSaaSのIPアドレスを自社のSPFレコードに追加するだけでは不十分な場合があります。SaaS側が提供する「DKIM設定手順」に従い、自社ドメインの鍵をSaaS側に持たせる設定（DKIM署名の委任）が必要です。

こうしたデータ連携やSaaSの活用においては、認証設定だけでなく、取得したデータをどのように一元管理するかも重要です。顧客情報の統合については、以下の記事で解説しています。

WebトラッキングとID連携の実践ガイド。ITP対策・LINEログインを用いたセキュアな名寄せアーキテクチャ

認証状況をチェックするための無料ツール

設定が終わったら、必ず以下のツールで検証してください。

• Google Admin Toolbox (Check MX)：Google Workspace設定の整合性を確認。
• dmarcly：DMARCレコードの文法チェック。
• Mail-Tester：実際にテストメールを1通送り、スパムスコアを10点満点で採点。

まとめ：安全なメールインフラを構築するために

SPF・DKIM・DMARCの設定は、一度設定すれば終わりではありません。新しくSaaSを導入したとき、配信サーバーを切り替えたとき、その都度DNSレコードの更新が必要です。特に、DMARCの p=none でレポートを収集し、自社が関知していない送信元がないかを定期的にチェックする運用フローを確立しましょう。

本記事のステップに従い、まずはSPF/DKIMのAlignment（一致）を確認し、DMARCのモニタリングを開始することをお勧めします。それが、企業のブランドを守り、確実に顧客へ言葉を届けるための第一歩となります。