SPF、DKIM、DMARCは、メールが受信トレイに届くかスパムフォルダに入るかを決定する3つのDNSレコードです。2024年からGoogleはすべての大量送信者にこれらの認証標準を要求しており、無視するとメールが確実にスパムに振り分けられるか拒否されます。このガイドでは設定をステップバイステップで説明します。
メール認証とは何ですか?なぜ重要なのですか?
メール認証は、メールプロバイダーがメールが実際に表示された送信者ドメインから来ているかどうかを確認できる技術標準のセットです。問題は、元のメールプロトコル(SMTP)には送信者の検証機能が組み込まれていないことです。技術的には誰でも任意の送信者アドレスでメールを送信できます。
3つの認証標準は異なる方法でこの問題を解決します:
| 標準 | 保護メカニズム | 対象 |
|---|---|---|
| SPF | 認可サーバーのホワイトリスト | 不正サーバーからのなりすまし |
| DKIM | メッセージの暗号署名 | 転送中の改ざん |
| DMARC | 認証失敗時のポリシー | ドメインの不正使用 |
2024年2月から、Googleは1日5,000通以上のメールをGmailに送信するすべての送信者に対して、SPF、DKIM、DMARCの設定を義務付けています。Microsoftは2025年に続きます。コールドメールでは、これらの標準はもはやオプションではなく必須です。
SPFの設定 — ステップバイステップ
SPFレコードとは?
SPFレコードはDNSのTXTエントリで、あなたの代わりにメールを送信できるサーバーをリストアップします。
SPFレコードの基本構造
v=spf1 include:_spf.google.com ~all
| 要素 | 意味 |
|---|---|
v=spf1 | SPFプロトコルバージョン(常に同一) |
include:domain.com | 指定プロバイダーのすべてのサーバーを認可 |
ip4:1.2.3.4 | 特定のIPv4アドレスを認可 |
~all | ソフトフェイル:他のサーバーを疑わしいとしてマーク |
-all | ハードフェイル:他のサーバーを拒否 |
主要なメールプロバイダーのSPFレコード
| プロバイダー | SPFレコード |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
最重要ルール: ドメインごとに1つのSPFレコードのみ許可されています。複数のメールプロバイダーを使用する場合は、1つのレコードにまとめてください:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
DKIMの設定 — デジタル署名
DKIMの仕組み
DKIM(DomainKeys Identified Mail)はキーペアを使用します:メールサーバーの秘密鍵とDNSの公開鍵。送信される各メールは秘密鍵で署名されます。受信サーバーはDNSから公開鍵を読み取り、署名を検証します。
Google WorkspaceでのDKIM設定
- Google Admin Console(admin.google.com)を開く
- アプリ → Google Workspace → Gmail → メール認証に移動
- ドメインを選択
- 「新しいレコードを生成」をクリック(2048ビット推奨)
- DNSにTXTレコードを追加(名前:
google._domainkey、タイプ: TXT) - 15〜30分待ち、「DKIM認証を開始」をクリック
DMARCの設定 — ポリシー
DMARCの段階的な導入モデル
厳格なポリシーから始めないでください:
| フェーズ | レコード | 意味 | 期間 |
|---|---|---|---|
| フェーズ1 | p=none | 監視のみ | 2〜4週間 |
| フェーズ2 | p=quarantine; pct=25 | 疑わしいメールの25%をスパムへ | 2週間 |
| フェーズ3 | p=quarantine; pct=100 | すべての疑わしいメールをスパムへ | 2〜4週間 |
| フェーズ4 | p=reject | 疑わしいメールを拒否 | 永続 |
DMARCレコードの設定
フェーズ1(開始):
名前: _dmarc.yourdomain.jp
タイプ: TXT
値: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.jp; fo=1
よくあるミスと回避方法
- 複数のSPFレコード: 1つのみ許可。すべてを1つのレコードにまとめてください。
- SPFとDKIM前のDMARC: 最初にSPFとDKIMを設定し、次に
p=noneでDMARCを設定してください。 - SPFレコードのDNSルックアップが多すぎる: 上限は10です。
include:ディレクティブを最小化してください。 - Cloudflareのプロキシステータスが間違っている: TXTレコードは「DNSのみ」に設定する必要があります。
- すぐに
p=rejectから始める: 常にp=noneから始め、レポートを分析してから変更してください。
ツールによる確認
- MXToolbox(mxtoolbox.com): SPF、DKIM、DMARCの個別チェッカー
- Google Admin Toolbox(toolbox.googleapps.com): すべてのDNSレコードを一度に確認
- mail-tester.com: 実際のメールを送信し、0〜10のスパムスコアを取得
目標: mail-tester.comで9/10以上。
よくある質問
SPFとは何ですか?なぜ必要なのですか?
SPFはあなたのドメインのメールを送信できるサーバーを指定するDNSレコードです。SPFがないと、プロバイダーはメールを検証できず、スパムに振り分けることが多くなります。
DKIMとSPFの違いは何ですか?
SPFは送信サーバーの認可を確認し、DKIMはメールを暗号的に署名します。両者は補完的です。
DMARCを誤って設定するとどうなりますか?
"reject"ポリシーのDMARCを誤って設定すると、すべてのメールが拒否される可能性があります。常にp=noneから始め、2〜4週間のレポート分析後に切り替えてください。
DNS変更が有効になるまでどのくらいかかりますか?
15分から48時間かかることがあります。一般的には1〜4時間です。
コールドメールにSPF、DKIM、DMARCは必要ですか?
はい、3つすべてが不可欠です。適切な認証がないと、メールがスパムに振り分けられる可能性が非常に高くなります。