## この記事でわかること - GoogleとMicrosoftによるDMARC義務化の開始時期と、それぞれの内容の違い - 1日5,000通未満の中小企業・制作会社・個人事業主にも対応が必要な理由 - 今から始められる対応ステップと、つまずきやすいポイント ## 「DMARC義務化」はいつから始まったのか 「DMARC義務化っていつから?」「うちは関係ある?」という相談が、2024年以降、IT担当者のいない中小企業や制作会社、個人事業主から急激に増えています。 結論から言うと、**Gmail宛ての一括送信者に対するDMARC要件は2024年2月1日から、Outlook宛ては2025年5月5日から**運用されています。これは各社の公式ドキュメントで確認できる事実です。 ![Gmail・Outlookの送信者要件タイムライン](/blog/dmarc-mandatory/enforcement-timeline.svg) ### Google(Gmail)の要件(2024年2月1日〜) Googleは[Email sender guidelines](https://support.google.com/mail/answer/81126)で、Gmail宛てに送るすべての送信者に次の基準を適用しました。 - **すべての送信者**に対して、SPFまたはDKIMのいずれかによる認証を必須化 - **1日5,000通以上をGmailに送る一括送信者**には、SPF・DKIM・DMARCの3つすべてと、From列のドメインとSPF/DKIMドメインのアラインメント(一致)を要求 - スパム率を低く保つこと(一括送信者のハードラインは0.30%未満)、ワンクリック退会リンクを設置することも追加 要件を満たさないメールは、迷惑メールに振り分けられるか、エラーコードで拒否されます。Google 側の要件を項目ごとに分解した対応チェックリストは[Google 送信者ガイドライン 2024 への対応手順](/blog/google-sender-requirements-2024)にまとめています。1 日 5,000 通という閾値が自社に該当するかの判定方法は[1日5000通の対象判定](/blog/dmarc-5000-mails-check)、ワンクリック退会の実装手順は[One-Click Unsubscribe(RFC 8058)の設定](/blog/one-click-unsubscribe-setup)を参照してください。 ### Yahoo の要件(Gmail と同時期、共同発表) Yahoo Mail(米 Yahoo Inc.)は Google と同時期に共同で送信者要件を発表しました。要件はほぼ Google と同等ですが、宛先ドメインや日本国内の `yahoo.co.jp`(LINEヤフー運営)の扱いに差分があります。詳細は[Yahoo メール 送信者要件と DMARC 必須化](/blog/yahoo-sender-requirements)で整理しています。 ### Microsoft(Outlook)の要件(2025年5月5日〜) Microsoftは[High-volume sendersの新要件](https://techcommunity.microsoft.com/blog/microsoft-defender-for-office-365-blog/strengthening-email-ecosystem-outlook%e2%80%99s-new-requirements-for-high%E2%80%90volume-senders/4399730)として、Outlook.com・Hotmail.com・Live.com宛てに**1日5,000通以上を送る送信者**に次の対応を求めました。 - SPFがパスすること - DKIMがパスすること - DMARCが最低でも`p=none`以上、かつSPFまたはDKIMとアラインメントしていること Microsoft は段階的な適用ロードマップを公表しており、当初は「要件未達は迷惑メールフォルダ行き」として運用を開始した上で、その後の段階で `550; 5.7.515 Access denied` 相当の拒否応答へ移行することが予告されています。現在の適用状況と詳細は[Microsoft DMARC 必須化 2025](/blog/microsoft-dmarc-mandatory-2025)で解説しています。Gmail・Yahoo・Outlook の三大宛先で、認証が通らないメールは「届かない」時代に入ったと考えてください。 ## 5,000通/日未満なら「関係ない」は誤解 「うちは1日5,000通も送らないから大丈夫」という声をよく聞きます。これは半分正解、半分誤解です。 ![5000通閾値と対応レベルの関係](/blog/dmarc-mandatory/threshold-levels.svg) ### 5,000通未満でもSPF/DKIMは実質的に必須 Gmailの送信者ガイドラインは、**すべての送信者**に対してSPFまたはDKIMの設定を求めています。1日10通しか送らない会社でも、SPFもDKIMも未設定なら、Gmail側で認証失敗扱いになります。これは「5,000通未満だから免除」ではなく、「5,000通以上は追加でDMARC等も必要」という段階制限です。 ### DMARC未設定は「なりすまされ放題」を意味する 仮に自社が認証要件を満たしていなくても、第三者があなたのドメインを騙ってフィッシングメールを送ることは技術的に可能です。DMARC(ディーマーク)は「このドメインを騙った偽物をどう扱うか」を受信側に指示する仕組みで、**未設定だと偽メールを弾いてもらえません**。取引先に「御社を名乗る不審メールが届いた」と連絡された時点で、信用は大きく毀損します。 DMARCの基本的な役割は[DMARC とは?仕組みと中小企業が今すぐやるべき対応を 5 分でわかる入門](/blog/what-is-dmarc)で詳しく解説しています。 ### 将来的に閾値が下がる可能性は十分ある GoogleもMicrosoftも「5,000通」という数字を固定するとは明言していません。フィッシング被害の増加に合わせて、閾値引き下げや要件強化が段階的に行われると見るのが自然です。**義務化される前に準備しておくほうが、慌てて対応するよりはるかに安全で安価**です。なお Apple も iCloud 宛の送信に同様の認証を求めており、対応は[iCloud にメールが届かない原因と認証点検](/blog/icloud-mail-not-delivered-auth)で整理しています。 ## 取るべき対応ステップ IT担当者がいなくても進められるよう、実務的な順序で整理しました。 ![対応ステップのフロー](/blog/dmarc-mandatory/response-steps.svg) ### ステップ1: 現状を把握する まず自社ドメインの認証設定状況を確認します。[無料診断ツール](/diagnose)にドメインを入力すると、SPF・DKIM・DMARCの設定状況と問題点が一覧で表示されます。`dig`コマンドやオンラインのDNSチェッカーでも確認できますが、結果の読み方に専門知識が必要です。 ### ステップ2: SPFを設定する SPFは「このサーバーからの送信を正規と認める」宣言です。Google Workspace・Microsoft 365・Resendなどを使っている場合は、各サービスの公式ドキュメントに従ってTXTレコードを追加します。 重要な注意点が 1 つあります。**SPF の DNS lookup を要するメカニズム(include / a / mx / exists / redirect など)の合計は 10 個までしか許されません**(RFC 7208 §4.6.4)。複数のメール送信サービスを併用している会社は、既にこの上限を超えていることがあり、その場合は全体が `Permerror` で無効化されます。設定前に既存の SPF レコードを必ず確認してください。 ### ステップ3: DKIMを設定する DKIMは送信元サーバーがメールに電子署名を付け、受信側が「改ざんされていない本物」と判定するための仕組みです。メール送信サービスが発行する公開鍵のTXTレコードをDNSに追加するだけで有効化できます。 DKIMで特に注意すべきは、**セレクタ名はサービスごとに異なる**という点です。Google Workspaceは`google`、Microsoft 365は`selector1`/`selector2`、Resendは`resend`といった具合です。推測で設定せず、必ず各サービスの管理画面で指示されたセレクタを使ってください。 ### ステップ4: DMARCは`p=none`から始める DMARCは必ず`p=none`(監視モード)から始めます。いきなり`p=reject`にすると、設定漏れのあったメールがすべて拒否されて業務が止まります。最低限のレコード例は次のとおりです。 ``` _dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com" ``` `rua`で指定したアドレスに、認証結果の集計レポートが毎日送られてきます。これを1〜2か月眺めて、「正規のメールがすべてpassしているか」を確認するのが次のステップです。 ### ステップ5: レポートを見ながら段階的に強化する レポートで問題がないことを確認できたら、`p=quarantine`(迷惑メール扱い)→`p=reject`(拒否)と段階的に引き上げます。Googleもこの段階強化の進め方を[公式ガイド](https://support.google.com/a/answer/2466580)で推奨しています。 ## よくあるつまずきポイント 実際にご相談いただくケースで多いものを3つ紹介します。 ### SPFレコードを複数書いてしまう 1つのドメインに対してSPFレコードは1つだけしか許されません。既存のSPFがあるのに、新しい送信サービス用にもう1行追加してしまうと、RFC違反で両方とも無効化されます。必ず1行にマージしてください。 ### DKIMセレクタを推測する 「たぶん`default`だろう」と推測して設定すると、ほぼ確実に動きません。メール送信サービスの管理画面に必ずセレクタ名が書かれているので、それを使います。 ### いきなり`p=reject`にする DMARCを強いポリシーで設定しておけば安心、と考えて`p=reject`から始めると、社員の個人メールや請求書自動送信などが一括で拒否され、気付いたときには取引先からの連絡が途絶える事態になりえます。**`p=none`で最低1か月、できれば2〜3か月のレポート観察を挟む**のが定石です。 DMARCの設定手順は[DMARC設定方法を徹底解説](/blog/dmarc-setup-guide)に詳しくまとめています。 ## まずは自社ドメインの現状を把握する 要点を整理すると次のとおりです。 - Gmail宛ての認証要件は2024年2月1日、Outlook宛ては2025年5月5日から運用中 - 1日5,000通未満でも、SPF/DKIMは実質必須。DMARC未設定はなりすましリスクを残す - 対応は「現状把握→SPF→DKIM→DMARC `p=none`→段階強化」の順で進めるのが安全 - 特にSPFの10個上限、DKIMセレクタの取り違え、`p=reject`の性急な設定でつまずきやすい 「うちのドメインはどの段階にいるのか」がわからない状態で動くのは危険です。[無料のドメイン診断ツール](/diagnose)で、SPF・DKIM・DMARCの設定状況と優先すべき改善点を数秒で確認できます。DMARC を立ち上げた後の `rua` レポート解析にどのツールを使うかは[DMARC ツール おすすめ 7 選比較【無料 / 日本語対応】](/blog/dmarc-report-tool-comparison)で整理しています。設定の進め方に不安がある方は、[お問い合わせフォーム](/contact)から状況をお知らせください。業務が止まらないよう、手順を一緒に整理してお渡しします。 SSL 証明書や Web セキュリティヘッダ、サブドメイン棚卸しの単発チェックも合わせて [無料ツール一覧](/tools) にまとめています。