![DMARC設定は3ステップで段階的に進める](/blog/dmarc-setup-guide/hero.avif) ## この記事でわかること - DMARCの設定に必要な3つのステップ - SPF・DKIM・DMARCの関係と、それぞれの役割 - 設定後の確認方法と、段階的なポリシー強化の進め方 ## 「メールが届かない」が増えている理由 2024年2月、GoogleはGmail宛てに1日5,000通以上を送る一括送信者に対して**DMARC(ディーマーク)の設定を義務化**しました。それ以外の送信者にもSPFまたはDKIMの設定は必須となり、DMARCは「設定することが強く推奨される」扱いになっています。続いて2025年5月には、Microsoft Outlookでも同じ5,000通/日の閾値で同様の基準が適用されています。DMARC を含むメール認証(送信ドメイン認証)の全体像は、[メール認証とは?図解でわかる入門](/blog/email-auth-basics)で整理しています。 この影響で、DMARC未設定の企業では以下のような問題が発生しています。 - 取引先に送った請求書メールが届かない - 営業メールが迷惑メールフォルダに振り分けられる - 顧客からの返信メールが「送信できない」と戻ってくる 「うちは小さい会社だから関係ない」と思われるかもしれませんが、**GmailやOutlookを使っている相手にメールを送る以上、迷惑メール判定を避けるためにDMARC対応は事実上必須**です。 ## DMARCとは?SPF・DKIMとの関係 DMARCは、メールの「なりすまし」を防ぐための仕組みです。ただし、DMARC単独では機能しません。**SPF**と**DKIM**という2つの技術と組み合わせて使います。 ![メール認証の仕組み(SPF・DKIM・DMARC)](/blog/dmarc-setup-guide/email-auth-flow.svg) それぞれの役割を簡単にまとめると: - **SPF**(エスピーエフ): 「このサーバーから送られたメールは正規のものです」と宣言する - **DKIM**(ディーキム): メールに電子署名を付けて、途中で改ざんされていないことを証明する - **DMARC**(ディーマーク): SPFとDKIMの結果をもとに、認証に失敗したメールをどう処理するか指定する つまり、DMARCを設定するには**SPFとDKIMが先に設定されている必要があります**。 ## DMARC設定の3ステップ ### ステップ1: SPFレコードを設定する SPFレコードは、「どのサーバーがこのドメインからメールを送信してよいか」をDNSに登録するものです。 DNSの管理画面(お名前.com、Xserver、Cloudflareなど)にログインし、**TXTレコード**を追加します。 設定例: ``` ホスト名: @(空欄の場合もあり) 種別: TXT 値: v=spf1 include:_spf.google.com ~all ``` ここで `include:` の後に入る値は、利用しているメールサービスによって異なります。 - **Google Workspace**: `include:_spf.google.com` - **Microsoft 365**: `include:spf.protection.outlook.com` - **さくらインターネット**: `include:spf.sakura.ne.jp` 複数のサービスを使っている場合は、1つのSPFレコードにまとめます。**SPFレコードはドメインに1つだけ**という決まりがあるため、2行に分けてはいけません。 ただし、SPFレコード全体で参照できるDNSルックアップは**合計10個まで**という制限があります(RFC 7208)。多数のサービスを統合してこの上限を超えると **PermError** となり、かえってメールが届かなくなるため、4つ以上のサービスを併用する場合は SPF flattening サービスの利用も検討してください。 ### ステップ2: DKIMを設定する DKIMは、メールサービス側で設定が必要です。多くのメールサービスでは、管理画面からDKIMを有効化し、表示されるDNSレコード(CNAMEまたはTXT)をDNSに登録する流れです。 設定の手順はサービスごとに異なりますが、基本的には以下の流れです。 1. メールサービスの管理画面で「DKIM設定」を探す 2. 表示されるDNSレコードをコピー 3. DNS管理画面で該当のレコードを追加 4. メールサービス側で「検証」ボタンを押す ### ステップ3: DMARCレコードを設定する SPFとDKIMが設定できたら、最後にDMARCレコードを追加します。 ![DNSに設定するレコードの構成](/blog/dmarc-setup-guide/dns-record-structure.svg) DMARCの設定は、以下のTXTレコードをDNSに追加するだけです。 ``` ホスト名: _dmarc 種別: TXT 値: v=DMARC1; p=none; rua=mailto:dmarc-reports@あなたのドメイン.co.jp ``` 各パラメータの意味: | パラメータ | 値 | 意味 | |---|---|---| | v | DMARC1 | DMARCのバージョン(固定) | | p | none | 認証失敗時の処理(まずは「何もしない」で監視) | | rua | mailto:... | 認証結果レポートの送信先メールアドレス | **最初は必ず `p=none` から始めてください**。いきなり `p=reject`(拒否)にすると、正規のメールまで届かなくなるリスクがあります。 フォーム入力からこのレコードの下書きを作りたい場合は、[SPF / DMARC レコード生成ツール](/tools/dns-record-generator)が便利です。ポリシーを選ぶと段階強化の注意点もあわせて表示します。 ## 設定後の確認方法 DMARCを設定したら、正しく反映されているか確認しましょう。以下のコマンドで確認できます。 ``` nslookup -type=txt _dmarc.あなたのドメイン.co.jp ``` 結果に `v=DMARC1; p=none; ...` と表示されれば、設定は完了です。 DNS設定の変更は反映に最大48時間かかることがありますが、通常は数分〜数時間で反映されます。 ## DMARCポリシーの段階的な強化 DMARCを設定したら終わりではありません。監視モード(`p=none`)でしばらく運用し、問題がなければ段階的にポリシーを強化していきます。 ![DMARCポリシーの段階的な強化](/blog/dmarc-setup-guide/dmarc-policy-progression.svg) 各ステップで2〜4週間ほど運用し、DMARCレポートを確認して正規のメールが誤判定されていないことを確認してから次のステップに進みます。 最終的に `p=reject` まで強化できれば、御社のドメインを詐称したなりすましメールの**多くをブロック**できる状態になります(※ DMARCを評価する主要な受信側に限ります。サブドメインも保護する場合は `sp=reject` の併記が必要です。また、似たドメイン名を使ったフィッシング(例: `exarnple.co.jp`)はDMARCの保護対象外のため、別途ブランド監視などの対策が必要です)。 なお、Gmail・Outlookによる義務化がいつから始まり、1日5,000通未満の企業も含めてどのような対応ステップを踏むべきかは、[DMARC義務化はいつから?対応手順をWeb 担当者向けに解説](/blog/dmarc-mandatory)にまとめています。 ## まとめ - DMARCの設定は「SPF → DKIM → DMARC」の3ステップ - 最初は `p=none`(監視モード)で始め、段階的に強化する - GmailやOutlookの送信者要件強化により、**中小企業でもDMARC対応は配信性確保のため事実上必須** 各社の要件は [Google 送信者ガイドライン 2024 への対応手順](/blog/google-sender-requirements-2024) と [Microsoft DMARC 必須化 2025](/blog/microsoft-dmarc-mandatory-2025) に詳細をまとめています。 ## 設定に不安がある方へ 「自分でDNSを触るのは怖い」「設定を間違えたらメールが止まるのでは」——そんな不安をお持ちの方は、専門家にお任せください。 現状の設定状況は、ドメイン番人の[無料診断](/diagnose)で確認できます。診断結果をふまえた改善のご相談は[お問い合わせ](/contact)から承ります。すべての作業は事前にご確認いただいてから実施しますので、安心してお任せいただけます。