ドメイン番人
DMARCメール認証Web 担当者運用

1日 5,000 通の DMARC 義務化に該当する?Web 担当者の判定法

ドメイン番人6 分で読めます
目次

この記事でわかること

  • Google・Yahoo・Microsoftの送信者要件で「1日5,000通」が共通閾値になった背景
  • 自社の送信量が5,000通に該当するかを概算する方法
  • どこまでが5,000通にカウントされるか(マーケ/トランザクション/内部メール)
  • 5,000通未満でもDMARCを設定したほうがよい理由

なぜ「1日5,000通」が共通閾値なのか

「1日5,000通以上」という数字は、Google・Yahoo・Microsoftの大量送信者ガイドラインに共通して登場します。3社が示し合わせて決めたわけではありませんが、結果的にほぼ同じラインになりました。

この数字には次のような背景があります。

  • 個人事業主や小規模 EC が日常的に送る量は数百通レベルに収まる
  • メルマガを定期配信している企業 がマーケと通知を合わせて越えやすいライン
  • 受信側が個別審査ではなく「機械的にチェック」できる規模感

つまり「ある程度の規模で大量にメールを送る送信者には、認証技術の整備を厳格に求める」という線引きが、結果的に5,000通に揃ったと理解しておけば十分です。Google・Yahooは2024年から、Microsoftは2025年5月から運用を開始しました。

5000通判定フロー

自社の送信量を概算する4つの方法

「うちは5,000通行ってる?」を確認するには、送信ログを見るのが一番確実です。利用しているサービスごとにアプローチが変わります。

Google Workspace を使っている場合

Google Workspace の 管理コンソール → レポート → メールログ検索 で、日別の送信通数を集計できます。Outlook.com宛のみ・Gmail宛のみといった受信ドメイン別の絞り込みも可能です。詳細手順は最新の公式ヘルプをご確認ください。

Microsoft 365 を使っている場合

Exchange admin center → Mail flow → Message trace から日別の送信履歴を抽出できます。送信元ドメイン・宛先ドメインで絞り込めば、Outlook.com宛が何通あるかも確認できます。

外部のメール配信サービスを使っている場合

Mailchimp・SendGrid・配配メール・Cuenote などのマーケツールは、管理画面の配信レポートに通数が出ます。自社の社員メールとは別カウントで出力されている点に注意してください。3社要件は「自社ドメインから送信された総量」で判定するため、ツール側の数字と社員メールの数字を合算する必要があります。

SMTP サーバーを自社運用している場合

/var/log/mail.log 等のSMTPログから日別の送信件数を grepawk で集計します。postfixならpflogsummで日次サマリが取れます。社内インフラ担当者と相談してください。

送信量カウントの実務ポイント

「これはカウントされる?」と迷うパターンを整理しておきます。

送信量カウントの内訳

マーケティングメールは原則すべてカウント

メルマガ・キャンペーン・お知らせ系のメールは、外部ツール経由でも自社サーバー直送でも、From列が自社ドメインなら自社の送信としてカウントされます。これが通数を押し上げる主因です。

トランザクションメールも除外されない

注文確認・パスワード再発行・予約通知などの自動送信メールも、受信者の同意有無にかかわらず通数に含まれます。EC事業者は特に見落としがちなので注意してください。

内部の社員メールは通常そこまで多くない

社員から取引先へ送る通常の業務メールは、規模にもよりますが日次5,000通には届かないのが一般的です。ただしメーリングリストの自動BCC配信全社一斉通知を多用している組織では予想より膨らんでいることがあります。

マーケツール側の独自送信ドメインは別カウント

Mailchimp などで mailchimpapp.net 等のサービス側ドメインを From にしている場合、自社ドメインの通数には含まれません。ただし自社のブランドが守られない設定でもあるため、通常はカスタムドメインで送る運用が推奨されます。

どの宛先ドメインに送ったかで対象判定が変わる

「1日5,000通」の閾値は、Gmail・Yahoo・Outlook.com 宛の合計通数で見るのが基本です。社内メールや、独自ドメインの取引先宛は対象外です。

たとえば1日合計8,000通送っていても、内訳が「自社グループ会社宛が大半で、Gmail宛は2,000通、Outlook.com宛は500通」であれば、3社の閾値には届きません。

ただしGoogleは5,000通未満の送信者にもSPFまたはDKIMを必須化しています。「閾値未満だから何もしなくていい」とはなりません。

5,000通未満でもDMARCを設定すべき理由

「うちは閾値に届かないから、SPF/DKIMだけで足りるのでは?」とよく相談されます。回答は「DMARCは設定すべき」です。理由は次の3つです。

第三者によるなりすましを防げない

DMARCを設定していないドメインは、フィッシングメールの踏み台にされやすい状態です。攻撃者があなたの会社のドメインを騙ってメールを送り、取引先がフィッシングに引っかかった場合、最終的な責任問題はあなたの会社に向きます。DMARCは「このドメインを騙る偽物をどう扱うか」を受信側に指示する仕組みで、未設定なら受信側はそれを判断できません。基本はDMARCとは何かを参照してください。

認証レポートで不正利用を可視化できる

DMARCには rua というレポート受信機能があり、自分のドメインを騙ってどこから何通送られているかの集計が毎日メールで届きます。これは未設定だと得られない情報です。詳細はDMARCレポートの読み方で解説しています。

将来の閾値引き下げに備えられる

3社が「5,000通」をいつまで維持するかは明言されていません。フィッシング被害の増加に応じて閾値が引き下げられた場合、慌てて設定するより事前に p=none で運用しておくほうが事故リスクが低くなります。設定後の段階強化はDMARCポリシーの段階強化を参考にしてください。

カウント時の注意点まとめ

最後に、送信量を概算するときに気をつけたいポイントを整理します。

  • 24時間平均ではなく「1日」のピークで見る(月初・キャンペーン日など特定日に偏ることがある)
  • 送信ドメインを統一しているか: サブドメインを分けている場合、合算するか別管理かを決めておく
  • 配信サービスの再送・バウンス処理が二重カウントになっていないか: 一部のレポート画面は配信試行と成功を別々に出す
  • 公式ドキュメントの最新版を確認する: 3社ともガイドラインを継続的に更新しています

該当する場合にすぐ使えるツール

「5000 通/日に該当しそう」と判明したら、レポート可視化ツールの導入を急ぐフェーズです。主要 7 製品の比較は DMARC レポート解析ツール おすすめ 7 選、まず現在の SPF / DKIM / DMARC レコードを日本語で逐語確認したい場合は無料の SPF / DKIM / DMARC 設定確認ツール をご利用ください。

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから