## この記事でわかること - DMARC の「アライメント(整合性)」が何を意味するか - SPF アライメントと DKIM アライメントの違い - relaxed と strict の動作差と、どちらを選ぶべきか ## DMARC アライメントとは何か DMARC(RFC 7489)は、SPF か DKIM のどちらかが「**送信元ドメインと一致した状態で**」検証に成功することを要求します。この「一致」のことを **アライメント(alignment)** と呼びます。 メールには認証の観点で重要な 3 つのドメインがあります。 - **Header From(差出人)**: 受信者のメーラーに表示されるアドレス、例: `info@example.co.jp` - **Envelope From(Return-Path)**: 配送経路で使われる送信元、SPF が検証する対象 - **DKIM Signature の d= ドメイン**: DKIM 署名が紐付くドメイン SPF や DKIM の検証だけが pass しても、Header From のドメインと一致していなければ DMARC としては fail 扱いになります。これがアライメントの核心です。 ![DMARC アライメントの考え方](/blog/dmarc-alignment-explained/alignment-concept.svg) ## SPF アライメントと DKIM アライメント DMARC は 2 種類のアライメントを並列で見て、**どちらか一方が成功すれば pass** とします。 ### SPF アライメント Envelope From のドメインと Header From のドメインが一致するかを見ます。メーリングリストや一部のメール配信サービスでは、配送経路で Envelope From が書き換えられ、SPF アライメントが取れないケースがよくあります。 ### DKIM アライメント DKIM-Signature ヘッダーの `d=` パラメータと Header From のドメインが一致するかを見ます。メール内容そのものに署名するため、転送やリレーでも一般的に維持されやすいのが特徴です。 DMARC を確実に通したいなら、**DKIM 署名を必ず Header From のドメインで行う**のが鉄則です。SPF と DKIM の役割の違いは[SPF / DKIM / DMARC の違い](/blog/spf-dkim-dmarc-difference)もあわせて参照してください。 ## relaxed と strict の違い DMARC レコードでは、それぞれのアライメント判定モードを指定できます。 - `adkim=r`(relaxed、デフォルト) / `adkim=s`(strict) - `aspf=r`(relaxed、デフォルト) / `aspf=s`(strict) ### relaxed(緩い一致) 組織ドメイン(Organizational Domain)レベルで一致すれば OK。 - Header From: `info@example.co.jp` - DKIM d=: `mail.example.co.jp` - → 組織ドメイン(`example.co.jp`)が一致 → **pass** ### strict(厳密な一致) 完全一致が必要。サブドメインを使った瞬間に fail します。 - Header From: `info@example.co.jp` - DKIM d=: `mail.example.co.jp` - → 完全一致しない → **fail** ![relaxed と strict の判定例](/blog/dmarc-alignment-explained/relaxed-vs-strict.svg) ## どちらを選ぶべきか 中小企業や制作会社の運用では、**relaxed(デフォルト)で運用**で十分です。サブドメインからの送信(例: `noreply.example.co.jp` を使う配信ツール)を許容できる柔軟性があります。 strict が必要になるのは、 - ブランド保護として、サブドメイン経由のなりすましも完全に排除したい - 大企業で、子会社ドメインと組織ドメインを意図的に分離したい といった特殊ケースに限られます。本格的な DMARC 導入手順は[DMARC 設定ガイド](/blog/dmarc-setup-guide)で解説しています。 ## アライメント失敗の典型パターン 実務でよく見る失敗を 3 つ紹介します。 ### パターン 1: メール配信ツールが独自ドメインで署名 たとえば SendGrid や Mailchimp の初期設定では、DKIM 署名が `sendgrid.net` ドメインで行われます。Header From は自社の `example.co.jp` のため、DKIM アライメント fail です。配信ツール側で「カスタムドメイン認証」「ドメイン認証設定」を有効にし、自社ドメインで署名するよう切り替える必要があります。 ### パターン 2: メーリングリストの転送で Envelope From が書き換え メーリングリスト経由で転送されるとき、Envelope From がリスト管理サーバーのドメインに書き換えられ、SPF アライメントが取れなくなります。これは仕様上避けられないため、**DKIM アライメントが取れるように配信元の DKIM を整備**しておくのが鉄則です。 ### パターン 3: DMARC レコードの adkim/aspf を strict に勘違い設定 「strict のほうが安全に見える」と直感で `adkim=s; aspf=s` を指定し、サブドメインからの送信が全 fail に。ポリシーが `p=reject` だと自社の正規メールも届かなくなります。**まず DMARC レポートを 2〜4 週間収集してから**、strict 化を検討してください。 ## まとめ - DMARC アライメントは「Header From と SPF/DKIM のドメインが一致しているか」の判定 - relaxed が現実的なデフォルト。strict は特殊ケースのみ - 配信ツール導入時はアライメント取得が最大の落とし穴 ## DMARC 状態を診断 無料の[ドメイン診断](/diagnose)で、DMARC レコード・アライメント状況・推奨ポリシーを 3 分でチェックできます。アライメントが取れない原因の特定までサポートします。