ドメイン番人
DMARCメール認証SPFDKIM

DMARC アライメントとは?一致判定を図解

ドメイン番人4 分で読めます
目次

この記事でわかること

  • DMARC の「アライメント(整合性)」が何を意味するか
  • SPF アライメントと DKIM アライメントの違い
  • relaxed と strict の動作差と、どちらを選ぶべきか

DMARC アライメントとは何か

DMARC(RFC 7489)は、SPF か DKIM のどちらかが「送信元ドメインと一致した状態で」検証に成功することを要求します。この「一致」のことを アライメント(alignment) と呼びます。

メールには認証の観点で重要な 3 つのドメインがあります。

  • Header From(差出人): 受信者のメーラーに表示されるアドレス、例: [email protected]
  • Envelope From(Return-Path): 配送経路で使われる送信元、SPF が検証する対象
  • DKIM Signature の d= ドメイン: DKIM 署名が紐付くドメイン

SPF や DKIM の検証だけが pass しても、Header From のドメインと一致していなければ DMARC としては fail 扱いになります。これがアライメントの核心です。

DMARC アライメントの考え方

SPF アライメントと DKIM アライメント

DMARC は 2 種類のアライメントを並列で見て、どちらか一方が成功すれば pass とします。

SPF アライメント

Envelope From のドメインと Header From のドメインが一致するかを見ます。メーリングリストや一部のメール配信サービスでは、配送経路で Envelope From が書き換えられ、SPF アライメントが取れないケースがよくあります。

DKIM アライメント

DKIM-Signature ヘッダーの d= パラメータと Header From のドメインが一致するかを見ます。メール内容そのものに署名するため、転送やリレーでも一般的に維持されやすいのが特徴です。

DMARC を確実に通したいなら、DKIM 署名を必ず Header From のドメインで行うのが鉄則です。SPF と DKIM の役割の違いはSPF / DKIM / DMARC の違いもあわせて参照してください。

relaxed と strict の違い

DMARC レコードでは、それぞれのアライメント判定モードを指定できます。

  • adkim=r(relaxed、デフォルト) / adkim=s(strict)
  • aspf=r(relaxed、デフォルト) / aspf=s(strict)

relaxed(緩い一致)

組織ドメイン(Organizational Domain)レベルで一致すれば OK。

  • Header From: [email protected]
  • DKIM d=: mail.example.co.jp
  • → 組織ドメイン(example.co.jp)が一致 → pass

strict(厳密な一致)

完全一致が必要。サブドメインを使った瞬間に fail します。

  • Header From: [email protected]
  • DKIM d=: mail.example.co.jp
  • → 完全一致しない → fail

relaxed と strict の判定例

どちらを選ぶべきか

中小企業や制作会社の運用では、relaxed(デフォルト)で運用で十分です。サブドメインからの送信(例: noreply.example.co.jp を使う配信ツール)を許容できる柔軟性があります。

strict が必要になるのは、

  • ブランド保護として、サブドメイン経由のなりすましも完全に排除したい
  • 大企業で、子会社ドメインと組織ドメインを意図的に分離したい

といった特殊ケースに限られます。本格的な DMARC 導入手順はDMARC 設定ガイドで解説しています。

アライメント失敗の典型パターン

実務でよく見る失敗を 3 つ紹介します。

パターン 1: メール配信ツールが独自ドメインで署名

たとえば SendGrid や Mailchimp の初期設定では、DKIM 署名が sendgrid.net ドメインで行われます。Header From は自社の example.co.jp のため、DKIM アライメント fail です。配信ツール側で「カスタムドメイン認証」「ドメイン認証設定」を有効にし、自社ドメインで署名するよう切り替える必要があります。

パターン 2: メーリングリストの転送で Envelope From が書き換え

メーリングリスト経由で転送されるとき、Envelope From がリスト管理サーバーのドメインに書き換えられ、SPF アライメントが取れなくなります。これは仕様上避けられないため、DKIM アライメントが取れるように配信元の DKIM を整備しておくのが鉄則です。

パターン 3: DMARC レコードの adkim/aspf を strict に勘違い設定

「strict のほうが安全に見える」と直感で adkim=s; aspf=s を指定し、サブドメインからの送信が全 fail に。ポリシーが p=reject だと自社の正規メールも届かなくなります。まず DMARC レポートを 2〜4 週間収集してから、strict 化を検討してください。

まとめ

  • DMARC アライメントは「Header From と SPF/DKIM のドメインが一致しているか」の判定
  • relaxed が現実的なデフォルト。strict は特殊ケースのみ
  • 配信ツール導入時はアライメント取得が最大の落とし穴

DMARC 状態を診断

無料のドメイン診断で、DMARC レコード・アライメント状況・推奨ポリシーを 3 分でチェックできます。アライメントが取れない原因の特定までサポートします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから