ドメイン番人
DMARCメール認証中小企業

DMARC義務化はいつから?対応手順を中小企業向けに解説

ドメイン番人7 分で読めます
目次

この記事でわかること

  • GoogleとMicrosoftによるDMARC義務化の開始時期と、それぞれの内容の違い
  • 1日5,000通未満の中小企業・制作会社・個人事業主にも対応が必要な理由
  • 今から始められる対応ステップと、つまずきやすいポイント

「DMARC義務化」はいつから始まったのか

「DMARC義務化っていつから?」「うちは関係ある?」という相談が、2024年以降、IT担当者のいない中小企業や制作会社、個人事業主から急激に増えています。

結論から言うと、Gmail宛ての一括送信者に対するDMARC要件は2024年2月1日から、Outlook宛ては2025年5月5日から運用されています。これは各社の公式ドキュメントで確認できる事実です。

Gmail・Outlookの送信者要件タイムライン

Google(Gmail)の要件(2024年2月1日〜)

GoogleはEmail sender guidelinesで、Gmail宛てに送るすべての送信者に次の基準を適用しました。

  • すべての送信者に対して、SPFまたはDKIMのいずれかによる認証を必須化
  • 1日5,000通以上をGmailに送る一括送信者には、SPF・DKIM・DMARCの3つすべてと、From列のドメインとSPF/DKIMドメインのアラインメント(一致)を要求
  • スパム率を低く保つこと(一括送信者のハードラインは0.30%未満)、ワンクリック退会リンクを設置することも追加

要件を満たさないメールは、迷惑メールに振り分けられるか、エラーコードで拒否されます。Google 側の要件を項目ごとに分解した対応チェックリストはGoogle 送信者ガイドライン 2024 への対応手順にまとめています。1 日 5,000 通という閾値が自社に該当するかの判定方法は1日5000通の対象判定、ワンクリック退会の実装手順はOne-Click Unsubscribe(RFC 8058)の設定を参照してください。

Yahoo の要件(Gmail と同時期、共同発表)

Yahoo Mail(米 Yahoo Inc.)は Google と同時期に共同で送信者要件を発表しました。要件はほぼ Google と同等ですが、宛先ドメインや日本国内の yahoo.co.jp(LINEヤフー運営)の扱いに差分があります。詳細はYahoo メール 送信者要件と DMARC 必須化で整理しています。

Microsoft(Outlook)の要件(2025年5月5日〜)

MicrosoftはHigh-volume sendersの新要件として、Outlook.com・Hotmail.com・Live.com宛てに1日5,000通以上を送る送信者に次の対応を求めました。

  • SPFがパスすること
  • DKIMがパスすること
  • DMARCが最低でもp=none以上、かつSPFまたはDKIMとアラインメントしていること

Microsoft は段階的な適用ロードマップを公表しており、当初は「要件未達は迷惑メールフォルダ行き」として運用を開始した上で、その後の段階で 550; 5.7.515 Access denied 相当の拒否応答へ移行することが予告されています。現在の適用状況と詳細はMicrosoft DMARC 必須化 2025で解説しています。Gmail・Yahoo・Outlook の三大宛先で、認証が通らないメールは「届かない」時代に入ったと考えてください。

5,000通/日未満なら「関係ない」は誤解

「うちは1日5,000通も送らないから大丈夫」という声をよく聞きます。これは半分正解、半分誤解です。

5000通閾値と対応レベルの関係

5,000通未満でもSPF/DKIMは実質的に必須

Gmailの送信者ガイドラインは、すべての送信者に対してSPFまたはDKIMの設定を求めています。1日10通しか送らない会社でも、SPFもDKIMも未設定なら、Gmail側で認証失敗扱いになります。これは「5,000通未満だから免除」ではなく、「5,000通以上は追加でDMARC等も必要」という段階制限です。

DMARC未設定は「なりすまされ放題」を意味する

仮に自社が認証要件を満たしていなくても、第三者があなたのドメインを騙ってフィッシングメールを送ることは技術的に可能です。DMARC(ディーマーク)は「このドメインを騙った偽物をどう扱うか」を受信側に指示する仕組みで、未設定だと偽メールを弾いてもらえません。取引先に「御社を名乗る不審メールが届いた」と連絡された時点で、信用は大きく毀損します。

DMARCの基本的な役割はDMARC とは?仕組みと中小企業が今すぐやるべき対応を 5 分でわかる入門で詳しく解説しています。

将来的に閾値が下がる可能性は十分ある

GoogleもMicrosoftも「5,000通」という数字を固定するとは明言していません。フィッシング被害の増加に合わせて、閾値引き下げや要件強化が段階的に行われると見るのが自然です。義務化される前に準備しておくほうが、慌てて対応するよりはるかに安全で安価です。なお Apple も iCloud 宛の送信に同様の認証を求めており、対応はiCloud にメールが届かない原因と認証点検で整理しています。

取るべき対応ステップ

IT担当者がいなくても進められるよう、実務的な順序で整理しました。

対応ステップのフロー

ステップ1: 現状を把握する

まず自社ドメインの認証設定状況を確認します。無料診断ツールにドメインを入力すると、SPF・DKIM・DMARCの設定状況と問題点が一覧で表示されます。digコマンドやオンラインのDNSチェッカーでも確認できますが、結果の読み方に専門知識が必要です。

ステップ2: SPFを設定する

SPFは「このサーバーからの送信を正規と認める」宣言です。Google Workspace・Microsoft 365・Resendなどを使っている場合は、各サービスの公式ドキュメントに従ってTXTレコードを追加します。

重要な注意点が 1 つあります。SPF の DNS lookup を要するメカニズム(include / a / mx / exists / redirect など)の合計は 10 個までしか許されません(RFC 7208 §4.6.4)。複数のメール送信サービスを併用している会社は、既にこの上限を超えていることがあり、その場合は全体が Permerror で無効化されます。設定前に既存の SPF レコードを必ず確認してください。

ステップ3: DKIMを設定する

DKIMは送信元サーバーがメールに電子署名を付け、受信側が「改ざんされていない本物」と判定するための仕組みです。メール送信サービスが発行する公開鍵のTXTレコードをDNSに追加するだけで有効化できます。

DKIMで特に注意すべきは、セレクタ名はサービスごとに異なるという点です。Google Workspaceはgoogle、Microsoft 365はselector1/selector2、Resendはresendといった具合です。推測で設定せず、必ず各サービスの管理画面で指示されたセレクタを使ってください。

ステップ4: DMARCはp=noneから始める

DMARCは必ずp=none(監視モード)から始めます。いきなりp=rejectにすると、設定漏れのあったメールがすべて拒否されて業務が止まります。最低限のレコード例は次のとおりです。

_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

ruaで指定したアドレスに、認証結果の集計レポートが毎日送られてきます。これを1〜2か月眺めて、「正規のメールがすべてpassしているか」を確認するのが次のステップです。

ステップ5: レポートを見ながら段階的に強化する

レポートで問題がないことを確認できたら、p=quarantine(迷惑メール扱い)→p=reject(拒否)と段階的に引き上げます。Googleもこの段階強化の進め方を公式ガイドで推奨しています。

よくあるつまずきポイント

実際にご相談いただくケースで多いものを3つ紹介します。

SPFレコードを複数書いてしまう

1つのドメインに対してSPFレコードは1つだけしか許されません。既存のSPFがあるのに、新しい送信サービス用にもう1行追加してしまうと、RFC違反で両方とも無効化されます。必ず1行にマージしてください。

DKIMセレクタを推測する

「たぶんdefaultだろう」と推測して設定すると、ほぼ確実に動きません。メール送信サービスの管理画面に必ずセレクタ名が書かれているので、それを使います。

いきなりp=rejectにする

DMARCを強いポリシーで設定しておけば安心、と考えてp=rejectから始めると、社員の個人メールや請求書自動送信などが一括で拒否され、気付いたときには取引先からの連絡が途絶える事態になりえます。p=noneで最低1か月、できれば2〜3か月のレポート観察を挟むのが定石です。

DMARCの設定手順はDMARC設定方法を徹底解説に詳しくまとめています。

まずは自社ドメインの現状を把握する

要点を整理すると次のとおりです。

  • Gmail宛ての認証要件は2024年2月1日、Outlook宛ては2025年5月5日から運用中
  • 1日5,000通未満でも、SPF/DKIMは実質必須。DMARC未設定はなりすましリスクを残す
  • 対応は「現状把握→SPF→DKIM→DMARC p=none→段階強化」の順で進めるのが安全
  • 特にSPFの10個上限、DKIMセレクタの取り違え、p=rejectの性急な設定でつまずきやすい

「うちのドメインはどの段階にいるのか」がわからない状態で動くのは危険です。無料のドメイン診断ツールで、SPF・DKIM・DMARCの設定状況と優先すべき改善点を数秒で確認できます。DMARC を立ち上げた後の rua レポート解析にどのツールを使うかはDMARC ツール おすすめ 7 選比較【無料 / 日本語対応】で整理しています。設定の進め方に不安がある方は、お問い合わせフォームから状況をお知らせください。業務が止まらないよう、手順を一緒に整理してお渡しします。

SSL 証明書や Web セキュリティヘッダ、サブドメイン棚卸しの単発チェックも合わせて 無料ツール一覧 にまとめています。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから