迷惑メール対策の SPF・DKIM・DMARC、設定しないとどうなる?
2024年あたりから、Google と Yahoo が「送信者の認証が無いメールはどんどん拒否する」方針を強めてきました。これに対応していない独自ドメインメールは、送信しても相手に届かない、という現実がじわじわ広がっています。
「SPF」「DKIM」「DMARC」という3つの仕組みの話なのですが、初めて聞くと頭が痛くなる用語です。このページではざっくりした理解と、設定のためのアクションだけお伝えします。
なぜ今、認証が厳しくなっているのか
スパムメールや詐欺メールの大半は、「他人のメールアドレスを名乗って送る」なりすまし型です。amazon-support@example.com みたいに、正規っぽい送信元を偽装して被害を出します。
これを技術的に防ぐ仕組みが SPF・DKIM・DMARC。ドメイン所有者が「うちのドメインからのメールは、このサーバー経由でしか出てないよ」と DNS で宣言しておけば、受信側はそれと照らし合わせて、嘘の送信元を機械的に弾けるわけです。
Google は2024年2月から「1日5,000通以上送る送信者」に対して認証を必須化。それ未満でも、認証なしのメールはどんどん迷惑メール送りになっています。
SPF・DKIM・DMARC それぞれ何者?
SPF(Sender Policy Framework)
「このドメインのメールは、これらのサーバーから送られます」と宣言する仕組み。DNS の TXT レコードに、許可するサーバーの一覧を書きます。
例:v=spf1 +ip4:192.0.2.0/24 include:spf.example.jp ~all
これにより、リストに無いサーバーから yoursite.com を名乗って送られたメールは、受信側で「怪しい」と判定されます。
DKIM(DomainKeys Identified Mail)
メールに 電子署名 を付ける仕組み。送信時にサーバーが秘密鍵で署名し、受信側が公開鍵で検証することで「このメール、本当に yoursite.com から出てる&改ざんされてない」と確認できます。
DKIM の公開鍵は DNS の TXT レコードに置きます。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
SPF と DKIM の結果をどう扱うかの ポリシー を宣言する仕組み。「SPF も DKIM も失敗したメールは拒否してください」みたいなルールを DNS で公開します。
DMARC は3つの中で最も新しく、SPF/DKIM の上に乗る形で機能します。
レンタルサーバーでの実際の設定
主要レンタルサーバーは、これら3つを管理画面からポチポチで設定できるようにしてくれています。
エックスサーバー
サーバーパネル → 「メール認証」または「SPF/DKIM 設定」。
- SPF:「設定する」ボタンをクリック
- DKIM:「DKIM 設定」を開いて「設定する」
- DMARC:「DMARC 設定」で「設定する」(
p=noneから始めるのが安全)
ConoHa WING
メール管理 → メールドメイン → 「DKIM 設定」「SPF 設定」をオン。 DMARC は DNS の TXT レコードに自分で追記。
ロリポップ
ユーザー専用ページ → 「メール → メール認証設定(SPF)」で SPF 設定可。DKIM は対応プラン限定。
mixhost
cPanel → 「メール → メール認証」。SPF と DKIM、両方とも有効化のボタンあり。
各社、設定手順は微妙に違いますが、要するに「管理画面でチェックを入れる、もしくは1〜2クリック」で済む話。サポートに「SPF と DKIM を設定したい」と聞けばすぐ案内してくれます。
DMARC の「ポリシー」段階的に強める
DMARC は強気な設定にすると、自分が出す正規メールまで弾かれることがあります。最初は穏やかにスタートして、徐々に強める運用が定石。
| ポリシー | 動作 | 推奨タイミング |
|---|---|---|
p=none |
失敗しても何もしない、レポートだけ受け取る | 最初の1〜2か月 |
p=quarantine |
失敗したメールを迷惑メールフォルダ送り | 数週間運用して問題なければ |
p=reject |
失敗したメールを完全拒否 | 安定運用が確認できてから |
DNS の TXT レコードはこんな形:
v=DMARC1; p=none; rua=mailto:postmaster@yoursite.com
rua で指定したメールアドレスに、毎日認証結果のレポートが届きます。最初は驚くほど大量のメールがあって、自分のドメインがどれだけ偽装されていたかが分かって面白いです。
設定しないとどれくらいヤバいの?
「設定しない=届かない」というわけではなく、「届く確率が落ちる」が正確です。具体的には:
- Gmail の受信トレイに入る確率が下がる(迷惑メール送りになる)
- 大手の受信側(Yahoo、Outlook、企業のメールサーバー)で拒否される
- 取引先のシステムが厳格な認証を要求してきて返信不能になる
特に法人やお店の問い合わせメールが届かないと、見えない機会損失が積み重なります。設定の手間は1〜2時間。それで届く確率が大きく上がるなら、やらない選択肢はないですよね。
設定後に動作確認する
設定したら、ちゃんと効いているかチェック。
- MXToolbox の SPF/DKIM/DMARC チェッカー … 入力するだけで状態を診断
- Gmail で自分宛にテスト送信 → メールを開いて「メッセージのソースを表示」 →
DKIM=PASSSPF=PASSDMARC=PASSの文字を確認
3つとも PASS になっていれば成功。FAIL があれば、設定値を見直します。
ちょっと身も蓋もない結論
SPF と DKIM は、ほぼ全ての独自ドメインメール運用者にとって必須レベル。設定していないと、確実にどこかで損しています。
DMARC は1段階上の対策で、本格運用するなら導入推奨。個人事業レベルなら、まず SPF と DKIM だけでも十分なスタート地点に立てます。
レンタルサーバー会社のサポートに「設定したい」と一言伝えるだけで案内してくれるので、今日にでも済ませてしまいましょう。
よくある質問
Q. SPF だけ設定すれば十分ですか?
Q. DMARC の設定で自分のメールが届かなくなりました
Q. メルマガ配信サービスを使っている場合の SPF はどうしますか?
あなたに合うサーバーを見つけるなら
記事を読んでも迷う方は、3分の診断ツールで1〜2社に絞り込めます。
5つの質問に答えるだけ / 登録不要