## この記事でわかること - 「送信ドメイン認証」が指す3つの仕組み(SPF・DKIM・DMARC)の役割と関係 - 国内行政(経産省・総務省・警察庁・NISC)と海外プラットフォーム(Google・Yahoo・Microsoft)の二重の義務化圧力 - サイト運営者が「うちは関係ない」と言えない理由と、今やるべき5つの対応手順 ## 「送信ドメイン認証」とは何を指すのか 「送信ドメイン認証 義務化」という言葉を初めて目にした担当者の方からは、「結局、何を設定すればいいのか」という相談を多くいただきます。 送信ドメイン認証は、**メールの差出人アドレスのドメインが本物かどうかを受信側が検証できるようにする仕組み**の総称です。具体的には以下の3つを指します。 ![送信ドメイン認証の3要素(SPF・DKIM・DMARC)の関係](/blog/sender-domain-auth-mandate/auth-overview.svg) - **SPF(エスピーエフ)**: 「このドメインのメールは、これらのサーバーから送られます」とDNSで宣言する仕組み([RFC 7208](https://datatracker.ietf.org/doc/html/rfc7208)) - **DKIM(ディーキム)**: メール本文に電子署名を付け、改ざんがないことと送信ドメインを保証する仕組み([RFC 6376](https://datatracker.ietf.org/doc/html/rfc6376)) - **DMARC(ディーマーク)**: SPFかDKIMが失敗したときに「迷惑メールに入れる/受信拒否する」と差出人ドメイン側が宣言する仕組み([RFC 7489](https://datatracker.ietf.org/doc/html/rfc7489)) 3つは独立した技術ですが、**そろえて初めて「なりすまし対策」として機能します**。SPFだけ、DKIMだけでは差出人ドメインの保護に穴が残るため、行政・大手プラットフォーム双方とも「3点セット」を求めるようになっています。各仕組みの違いと組み合わせ方は[SPF・DKIM・DMARCの違い|メール認証3つの役割](/blog/spf-dkim-dmarc-difference)で詳しく解説しています。 ## 「義務化」はどこから来ているのか 送信ドメイン認証の「義務化」は、ひとつの法律で一気に決まったものではありません。**国内行政からの要請** と **海外メールプラットフォームからの事実上の強制** という2つの流れが並行して進んでいます。 ![国内規制と海外プラットフォームの二重圧力](/blog/sender-domain-auth-mandate/regulation-pressure.svg) ### 国内:行政・業界団体からの要請 - **2023年2月**: 経済産業省・総務省・警察庁が連名で、クレジットカード会社等に対して[フィッシング対策の強化を要請](https://www.meti.go.jp/press/2022/02/20230201001/20230201001.html)。利用者向けに公開しているすべてのドメイン名についてDMARCを導入し、なりすましメールに対して**受信拒否ポリシー**で運用するよう求めています - **2023年7月**: NISC(内閣サイバーセキュリティセンター)が[政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年度版)](https://www.nisc.go.jp/policy/group/general/kijun2023.html)を決定。基本対策事項としてDMARC対応が明記され、政府機関と独立行政法人ではDMARC運用が事実上の必須に - **2025年1月**: フィッシング対策協議会が[「DMARCの導入状況と必要性について」](https://www.antiphishing.jp/report/wg/cert_explaindoc_20250130.html)を公開。導入の遅れを指摘し、業界全体に底上げを呼びかけ 民間の中小企業に対する直接の法的義務はまだありませんが、**取引先(特に金融機関・大手企業)の調達基準に「DMARC運用」が組み込まれる流れ**が広がっています。 ### 海外:大手メールプラットフォームの強制 国内行政の要請が「努力義務」レベルにとどまるのに対し、海外プラットフォームの要件は**設定がなければメールが届かなくなる**という直接的な強制力を持ちます。 - **2024年2月**: Google(Gmail)とYahoo(米Yahoo Inc.)が[送信者要件](https://support.google.com/mail/answer/81126)を発効。1日5,000通超の送信者にSPF・DKIM・DMARCの3点セットとアラインメントを要求 - **2025年5月**: Microsoftが[Outlookの新要件](https://techcommunity.microsoft.com/blog/microsoft-defender-for-office-365-blog/strengthening-email-ecosystem-outlook%e2%80%99s-new-requirements-for-high%E2%80%90volume-senders/4399730)を発効。Outlook.com宛て1日5,000通超の送信者にDMARC(最低`p=none`)を必須化 海外プラットフォーム側のタイムラインの全体像は[送信者要件まとめ|2024〜2026タイムライン](/blog/sender-requirements-2026-summary)、DMARC義務化を中心とした対応の流れは[DMARC義務化はいつから?対応手順をWeb 担当者向けに解説](/blog/dmarc-mandatory)に詳細をまとめています。 ## 中小企業が「関係ない」と言えない理由 「うちは1日5,000通も送らないから関係ない」という声は今もよく聞きます。**この理解は半分正解、半分誤解**です。 ### 1. 5,000通閾値はあくまで「最低ライン」 Google・Microsoftともに、5,000通超の送信者には3点セットが**必須**ですが、それ未満の送信者にも**SPFまたはDKIMのいずれかは必須**になっています。これすら満たさないメールは、配送経路の早い段階で迷惑メール扱いになります。閾値判定の詳細は[Gmail送信者要件の閾値判定(1日5000通)](/blog/dmarc-5000-mails-check)で解説しています。 ### 2. 5,000通の集計は「思っているより簡単に超える」 トランザクションメール(注文確認・パスワード再設定・通知)、社内自動配信(アラート・日報)、マーケメルマガを合算すると、従業員50名規模の会社でも1日5,000通を超えることが珍しくありません。 ### 3. 設定がないと「なりすまされ放題」になる DMARCを設定していないドメインは、第三者が差出人を詐称してフィッシングメールを送り放題の状態です。受信側は「正規メールか詐称メールか」を判別できないため、**自社ドメインの信頼性ごと損なわれる**結果になります。実害が出てから設定するのでは、ブランド毀損や顧客トラブルが先行します。 ### 4. 取引先・顧客側の調達基準が変わってきている 金融機関や上場企業がDMARC運用を取引条件に含める動きが広がっています。日経225企業のDMARC導入率は2024年11月時点で[9割超に達した](https://note.com/twofive/n/nbcc8d5453f6c)というTwoFive社の調査もあり、サプライチェーン上の中小企業にも順次波及していきます。 ## Web 担当者が今やるべき5つの対応 実際に着手するときの順序を整理します。**SPF・DKIMの設定状況を点検し、DMARCを段階的に強化していく**のが基本ルートです。 ![中小企業が取るべき5ステップ](/blog/sender-domain-auth-mandate/action-steps.svg) ### ステップ1: 自社ドメインの現状を確認する まずは自社ドメインに何が設定されているかを点検します。`dig`コマンドが使える方は手元で、そうでない方は無料の[ドメイン診断ツール](/diagnose)で数十秒で確認できます。SPF・DKIM・DMARCの3項目について「設定あり/なし」「ポリシー」「アラインメント」が一覧で出ます。 ### ステップ2: SPFレコードを整える メール送信に使っているサービス(Microsoft 365、Google Workspace、各種配信ツール、レンタルサーバー、CRMなど)を全て洗い出し、SPFレコードに`include:`で含めます。**SPFのDNSルックアップ上限は10回**([RFC 7208](https://datatracker.ietf.org/doc/html/rfc7208))。超過するとPermerrorで認証失敗するため、不要な`include`を整理する作業も必要です。 ### ステップ3: DKIM署名を有効化する Microsoft 365の場合は管理センターから手動で有効化が必要です。Google Workspaceは初期状態でDKIMが機能していますが、独自ドメインで送る場合は鍵生成と公開鍵のDNS登録が別途必要になります。配信ツール(SendGrid・Mailchimp等)を使う場合は、各サービスの管理画面でDKIM鍵を発行してDNSに登録します。 ### ステップ4: DMARCレコードを`p=none`で開始する いきなり`p=reject`(受信拒否)を設定すると、自社の正規メールまで止まる事故が起きます。最初は**`p=none`(観察モード)**で開始し、レポート受信用のメールアドレス(`rua`タグ)を指定して2〜4週間ほど集計レポートを観察します。 ### ステップ5: ポリシーを段階的に強化する レポートで自社の正規メールが全て認証通過していることを確認したら、`p=quarantine`(迷惑メール隔離)→`p=reject`(受信拒否)と段階的に上げていきます。手順とつまずきやすい点は[DMARCのp=quarantine強化|段階的移行の手順](/blog/dmarc-policy-tightening)を参照してください。 ## まとめ - 「送信ドメイン認証」はSPF・DKIM・DMARCの3点セット。3つそろえて初めてなりすまし対策として機能する - 国内行政(経産省・総務省・警察庁・NISC・フィッシング対策協議会)と海外プラットフォーム(Google・Yahoo・Microsoft)の双方から義務化の圧力がかかっている - 中小企業も5,000通閾値以下でもSPF/DKIMは必須、取引先の調達基準にも組み込まれつつある。**今から段階的に対応する**のが現実解 メール認証の設定は、いったん事故が起きてから対応するのでは遅く、ブランド毀損や顧客トラブルが先行します。「義務化されたから慌てて設定」ではなく、**自社の信用を守る投資**として位置付けてください。 ## まずは現状を把握しましょう 自社ドメインのSPF・DKIM・DMARCがどう設定されているか、無料の[ドメイン診断](/diagnose)で数十秒でチェックできます。 判断に迷う方や、設定の優先順位を一緒に整理したい方は、[お問い合わせ](/contact)からご相談ください。専門家が現状を確認し、優先度の高い対応から手順をご案内します。