![DMARC未設定だとメールは届かない](/blog/what-is-dmarc/hero.avif) > **結論:** SPF と DKIM が「送信元を証明する部品」、DMARC は「その2つが失敗したときの指示と可視化」の役割です。SPF か DKIM のどちらかが認証を通り、かつドメインの整合(アラインメント)が取れていれば合格で、両方が失敗したときだけ DMARC ポリシー(none / quarantine / reject)が適用されます(RFC 7489)。Gmail / Yahoo / Outlook の送信者要件で対応が事実上の必須になりました。 ## Gmailにメールが届かない?その原因はDMARCかもしれません 「取引先から"メールが届かない"と言われた」「請求書を送ったのに"見ていない"と言われた」——こんな経験はありませんか? 2024年2月、GoogleはGmail宛てに1日5,000通以上を送る一括送信者に対して、**DMARC(ディーマーク)の設定を義務化**しました。それ以外の送信者にもSPFまたはDKIMの設定は必須となり、DMARCは配信性を確保するため強く推奨される扱いになっています。2025年5月には、Microsoft Outlookでも同じ5,000通/日の閾値で同様の基準が適用されています。 つまり、DMARCを設定していない企業のメールは、**迷惑メールに振り分けられたり、そもそも届かなくなる**リスクがあるのです。メール認証(送信ドメイン認証)の全体像は[メール認証とは?図解でわかる入門](/blog/email-auth-basics)で整理しています。 ## DMARCとは何か DMARCは「Domain-based Message Authentication, Reporting and Conformance」の略で、メールのなりすましを防ぐための仕組みです。仕様は [RFC 7489](https://datatracker.ietf.org/doc/html/rfc7489) で標準化されています。 簡単に言うと、**「このドメインから送られるメールは本物ですよ」と受信側に証明する技術**です。 ![DMARC未設定と設定済みの違い](/blog/what-is-dmarc/dmarc-on-off.svg) DMARCは単独で動くものではなく、SPFとDKIMという2つの技術と組み合わせて使います。 | 技術 | 役割 | 例え | |------|------|------| | SPF | 送信元サーバーの確認 | 「この郵便局から出した手紙は本物です」 | | DKIM | メール内容の改ざん検知 | 「封印が破られていなければ本物です」 | | DMARC | SPFとDKIMの結果に基づくポリシー | 「偽物だった場合はこう処理してください」 | ## なぜ中小企業こそDMARCが必要なのか 「うちは大企業じゃないから関係ない」と思われるかもしれません。しかし実は、**中小企業こそDMARC対応が急務**です。 ![DMARC未設定の中小企業が抱える3つのリスク](/blog/what-is-dmarc/smb-risks.svg) ### 1. メールが届かなくなるリスク GmailやOutlookは世界で最も利用されているメールサービスです。DMARC未設定のまま放置すると、これらのサービスを使っている取引先や顧客にメールが届かなくなります。実際に配信が止まるケースと対処方法は、[Gmailにメールが届かない原因と対処法](/blog/gmail-not-receiving)で詳しく解説しています。 ### 2. なりすましメールの被害 御社のドメインを使った「なりすましメール」が送られる可能性があります。取引先に偽の請求書が届いたら、信頼関係は一瞬で崩れます。 ### 3. 設定は想像より簡単 DMARC のレコード自体は、DNS に TXT レコードを 1 行追加するだけです。最小構成は次のとおりです。 ``` _dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com" ``` ただし、SPF や DKIM が正しく設定されていることが前提になるため、**現状の設定を正確に把握すること**が最初のステップです。 ## DMARC の 3 段階ポリシー(none / quarantine / reject) DMARC の `p=` には 3 つの値があり、受信側に「なりすまし疑いのメールをどう扱ってほしいか」を指示します。 | ポリシー | 受信側の動作 | 推奨フェーズ | |---|---|---| | `p=none` | 何もしない(レポートだけ送る) | 監視モード。最初はここから | | `p=quarantine` | 迷惑メールフォルダに振り分け | 1〜2 ヶ月レポート観察後 | | `p=reject` | 受信を拒否 | 安定後の最終形 | 最初から `p=reject` にすると、設定漏れのある正規メールまで一斉に拒否されて業務が止まります。**`p=none` で最低 1 ヶ月のレポート観察を挟む**のが定石です。段階強化の詳しい進め方は [DMARC ポリシーを p=quarantine に強化する手順](/blog/dmarc-policy-tightening) に整理しています。 万が一 `p=reject` で社内メールが止まった場合の即時ロールバック手順は [DMARC reject から戻す方法](/blog/dmarc-reject-rollback) を参照してください。 ### DMARC レポート(rua / ruf)の活用 DMARC のもう一つの価値は、**受信側からのレポート**です。`rua=` で指定したメールアドレスに、毎日「どのメールが認証通った/通らなかった」の集計が XML 形式で届きます。 - **`rua`**(aggregate report): 認証結果の日次集計。配信状況の可視化に必須 - **`ruf`**(forensic report): 認証失敗時の個別メールサンプル。プライバシー上、最近は対応する受信側が少なくなった このレポートを活用すれば「自社が認識していない送信元(マーケティングツール、CRM、決済通知など)」が浮かび上がります。XML の読み方は [DMARC レポート 見方ガイド](/blog/dmarc-report-reading) で詳しく解説しています。レポートが届かない場合のチェックは [DMARC レポート 届かない原因](/blog/dmarc-rua-not-receiving) を確認してください。 ## Gmail / Yahoo / Microsoft の送信者要件まとめ 主要 3 社の最新動向は次のとおりです。 - **Google(Gmail)**: 2024 年 2 月から運用開始。1 日 5,000 通以上の一括送信者に SPF + DKIM + DMARC + アラインメントを必須化。詳細は [Google 送信者ガイドライン 2024 への対応手順](/blog/google-sender-requirements-2024) - **Yahoo Mail**: Google と共同発表。日本国内の `yahoo.co.jp`(LINEヤフー運営)も DMARC を強化。詳細は [Yahoo メール 送信者要件と DMARC 必須化](/blog/yahoo-sender-requirements) - **Microsoft(Outlook.com / Hotmail.com)**: 2025 年 5 月に運用開始、段階的に拒否応答へ強化中。詳細は [Microsoft DMARC 必須化 2025](/blog/microsoft-dmarc-mandatory-2025) 「自社は 1 日 5,000 通も送らない」と思っても、**マーケメール + トランザクション + 社内通知の合計**で意外と該当することがあります。判定方法は [DMARC 1 日 5000 通の対象判定](/blog/dmarc-5000-mails-check) で確認できます。1 日 5,000 通該当の場合は DMARC に加えてワンクリック配信停止の対応も必要で、手順は [RFC8058 One-Click Unsubscribe 設定](/blog/one-click-unsubscribe-setup) にまとめています。 ## よくある質問 ### DMARC だけ設定すればメール認証は十分ですか? いいえ。DMARC は SPF と DKIM の認証結果を前提に動く仕組みのため、先に SPF・DKIM が正しく設定されている必要があります(RFC 7489)。DMARC レコードだけを追加しても、SPF か DKIM のどちらかがドメインの整合(アラインメント)を満たして通らなければ認証は成立しません。まず SPF / DKIM を整え、その上で DMARC を `p=none` から始めるのが正しい順序です。 ### SPF と DKIM の両方が失敗するとメールはどうなりますか? その場合だけ DMARC のポリシー(`p=` の値)が適用されます。`p=none` ならレポート送信のみで配信はされ、`p=quarantine` なら迷惑メールフォルダ行き、`p=reject` なら受信拒否です。逆に SPF か DKIM のどちらか一方でも整合して通れば、メールは認証合格として扱われます。 ### DMARC を設定すると今のメールが届かなくなりませんか? 最初に `p=none`(監視モード)で設定すれば、配信への影響はありません。レポートで自社の送信元をすべて把握してから `p=quarantine`、`p=reject` へ段階的に強化します。いきなり `p=reject` にすると設定漏れの正規メールまで拒否されるため、[DMARC ポリシーを p=quarantine に強化する手順](/blog/dmarc-policy-tightening)の順序を踏んでください。 ### 1 日 5,000 通も送らない小規模事業者も対応が必要ですか? DMARC ポリシーの義務化対象は 1 日 5,000 通以上の一括送信者ですが、それ未満でも SPF または DKIM は必須であり、DMARC も配信性確保のため強く推奨されます。なりすまし対策の観点でも、規模を問わず設定しておく価値があります。 ## まずは現状を把握しましょう 自社のドメインが DMARC に対応しているかどうかは、無料の[ドメイン診断](/diagnose)で SPF・DKIM・DMARC・SSL の状態が数十秒でレポートされます。 設定状況がわからない、どこから手をつけていいかわからない方は、[お問い合わせ](/contact)からお気軽にご相談ください。現状の診断から改善提案まで、専門家がわかりやすくサポートいたします。 設定後に届く DMARC レポートの読み解きには、可視化ツールを使うと運用が一気に楽になります。主要 7 製品の比較は [DMARC ツール おすすめ 7 選比較【無料 / 日本語対応】](/blog/dmarc-report-tool-comparison) を、現在の DMARC / SPF / DKIM レコードの中身を日本語で逐語解説してほしい場合は無料の [SPF / DKIM / DMARC 設定確認ツール](/tools/dns-auth-explainer) をご利用ください。SSL 証明書や Web セキュリティヘッダ、サブドメイン棚卸しの単発チェックも合わせて [無料ツール一覧](/tools) にまとめています。