## この記事でわかること - Microsoftが2025年に導入したOutlook.com宛の送信者要件・DMARC強化の内容 - Google・Yahooの要件との共通点と相違点 - Outlook.com宛にメールを送る企業の対応手順 ## Microsoftの「3つ目の波」が来た Gmail・Yahooが2024年に大量送信者ガイドラインを引き上げたのに続き、2025年にはMicrosoftが**Outlook.com・Hotmail.com・Live.com宛**の送信者に同等の要件を導入しました。3社が足並みを揃えたことで、「BtoBだから関係ない」と言える企業はほぼ無くなっています。 ![Google・Yahoo・Microsoft の送信者要件を比較した一覧表](/blog/microsoft-dmarc-mandatory-2025/three-vendor-comparison.svg) ### Microsoftの新要件の中身 Microsoftが公開した[Outlook.com向け新送信者要件](https://techcommunity.microsoft.com/blog/microsoft-defender-for-office-365-blog/strengthening-email-ecosystem-outlook%e2%80%99s-new-requirements-for-high%E2%80%90volume-senders/4399730)は、**1日5,000通以上**をOutlook.com・Hotmail.com・Live.com宛に送る送信者に次の3点を求めています。 - **SPFがpassすること**(送信元IPが正規であることをDNSで宣言する) - **DKIMがpassすること**(送信メールに正しい電子署名が付与されている) - **DMARCがp=none以上に設定され、SPFまたはDKIMとアラインメントしていること**(From列のドメインと認証ドメインが一致) ポイントはSPF・DKIM・DMARCの「3点セット」が揃っていることと、**アラインメント**(From列とSPF/DKIMドメインの一致)が満たされていることの2点です。DMARCの最低水準は`p=none`でよく、`reject`まで強める必要はありません。 Microsoftは段階的な適用ロードマップを公表しており、当初は「要件未達は迷惑メールフォルダ行き」として運用を開始した上で、その後の段階で `550; 5.7.515 Access denied` 相当の拒否応答へ移行することが予告されています。現在どの段階で運用されているかは Microsoft の公式ブログで最新情報をご確認ください。 ## Google・Yahooとの共通点と相違点 ### 共通点 - 1日5,000通という閾値 - SPF+DKIM両方の認証passを必須化 - DMARC `p=none` 以上を要求 - From列とSPF/DKIMのアラインメントを要求 ### 相違点 - **Google**は5,000通未満の送信者にもSPFまたはDKIMを必須化 - **Yahoo**はGoogleと同等の要件を同時期に導入し、運用は現時点でGoogleがやや先行 - **Microsoft**は2025年5月に運用開始、違反時の扱いは段階的に「迷惑メール行き」から拒否応答へ強化していく方針 5,000通の数え方は[1日5,000通の該当判定](/blog/dmarc-5000-mails-check)で整理しています。 ### Microsoft 365利用との混同に注意 混同されやすいのが、「自社がMicrosoft 365で社員メールを運用している」ケースとの線引きです。 - **Microsoft 365 ユーザー側**: 自社ドメインをMicrosoft 365で運用し、SPF・DKIM・DMARCを設定する話。詳細は[Microsoft 365 のメール認証設定](/blog/microsoft-365-email-auth) - **Outlook.com 宛に送る側**: 受信者が `someone@outlook.com` や `someone@hotmail.com` のとき、送信側が新要件を満たす必要がある話 両者は別レイヤーです。Microsoft 365を運用していても、SPF・DKIMの漏れやアラインメントずれがあれば、自社の正規メールでもOutlook.com宛にだけ届かないケースが出ます。 ![Outlook.com宛配信フロー](/blog/microsoft-dmarc-mandatory-2025/outlook-delivery-flow.svg) ## 影響を受けやすい企業像 問題が起きやすいのは次のケースです。 - **EC・予約・SaaSのトランザクションメール**: 注文確認・パスワード再発行などの自動メールがOutlook.com宛だけ届かなくなる事象が報告されています。ユーザーから「メールが来ない」と問い合わせが来た時点で既に手遅れに近い状態です - **ニュースレター・キャンペーンメール**: 外部配信サービスから自社ドメイン名で送っている場合、SPF・DKIM設定が未完了だと到達率が下がります - **IT管理担当者がいない中小企業**: DNSが取得時のままで、SPF・DKIM・DMARCが何も設定されていないケース ## 取るべき対応の手順 ### 1. 現状を把握する [無料のドメイン診断](/diagnose)で自社ドメインのSPF・DKIM・DMARCの状態を確認します。`Permerror`や`p=none未設定`の警告が出ていれば、既にOutlook.com宛要件を満たしていない可能性が高いです。 ### 2. SPFの`include`数をチェック SPFレコードは合計10個までしか参照できません。複数サービス併用で上限を超えると、SPF全体が`Permerror`で無効化されます。詳細は[DMARC義務化対応の落とし穴](/blog/dmarc-mandatory)を参照してください。 ### 3. DKIMセレクタを確認 DKIMはサービスごとにセレクタ名が異なります。Google Workspaceは `google`、Microsoft 365 は `selector1`/`selector2`、Resend は `resend`。**推測で設定するとほぼ動きません**。各サービスの管理画面で指定されたセレクタを使ってください。 ### 4. DMARCを `p=none` で設定し、レポートを観察 最初から `p=reject` にすると、漏れのある正規メールまで拒否されて業務が止まります。`p=none` で1〜2か月レポートを溜めてから段階強化するのが定石です。詳しくは[DMARCポリシーの段階強化](/blog/dmarc-policy-tightening)を参照してください。 ### 5. アラインメントを確認 DMARCがpassするには、From列のドメインとSPFまたはDKIMの認証ドメインの一致が必要です。外部送信サービス利用時に詰まりやすい工程です。 ### つまずきやすいポイント - **「Microsoft 365 を使っているから大丈夫」と誤解する**: メールサーバーがMicrosoft 365でも、Outlook.com宛要件は別レイヤーです - **外部配信サービス側のDKIM設定漏れ**: Mailchimp等で「サービス側がやってくれているはず」と思い込み、DNS側の公開鍵追加を抜かしているケース - **古いSPFと新しいSPFが共存**: 1ドメインに2つのSPFレコードが存在するとRFC違反でSPF全体が無効化されます ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。