メール認証とは？図解でわかる入門

この記事でわかること

• 「メール認証」が必要になった背景と、放置した場合に起きること
• SPF・DKIM・DMARC の3つを「送信者リスト」「封蝋」「指示書」で理解する考え方
• Web 担当者がまず手をつけるべき優先順位（いきなり厳しい設定にしない）

「自社になりすましたメール」が顧客に届く時代

ある日、取引先から「御社からの請求書に従って振込を完了しました」と連絡が入る。心当たりはなく、調べてみると、自社の社名・ロゴ・担当者名を装った請求書メールが顧客に届いていた。そんな相談が増えています。

これは特殊な大企業の事例ではありません。中小企業の社名や請求書フォーマットを精巧にコピーしたなりすましメール（ビジネスメール詐欺、BEC）は、ここ数年で日常的に起きています。被害は受け取った相手側ですが、社名を悪用された自社にも次のような連鎖が及びます。

• 取引先からの信用低下、契約の見直し
• 「御社のメールは怪しいので開かないことにした」と顧客に判断される
• 大手プロバイダ（Gmail、Yahoo!メール）が自社ドメインを「危険」と判定し、本物のメールも受信トレイに届かなくなる

「メール認証」とは、こうした事態を防ぐために、自社のドメインから送られたメールが本物であることを、受信側が機械的に検証できる仕組みのことです。技術的には「送信ドメイン認証」とも呼ばれ、SPF・DKIM・DMARC の 3 つを組み合わせて実現します。

仕組みは「送信元」ではなく「ドメイン」を守る

メール認証は、メールアドレスそのものを暗号化するものではありません。守る対象は @ の右側、つまりドメイン名 です。

たとえば [email protected] というメールアドレスのうち、example.co.jp がドメインです。メール認証を整えると、世界中の受信サーバーが「このメールは本当に example.co.jp の管理者から送られたものか？」を自動で検証できるようになります。検証に通らなければ、迷惑メールに振り分ける・配送を拒否する、といった判断が可能になります。

逆に言えば、メール認証を整えていないドメインは「誰でも名乗れる無防備な看板」になっており、なりすまし側からすると都合の良い標的です。

SPF・DKIM・DMARC の3つを比喩で覚える

メール認証は、3つの技術を組み合わせて成立します。それぞれを実生活の比喩で押さえると、役割の違いが頭に残ります。

SPF（エスピーエフ）＝送信者の名簿

SPF（Sender Policy Framework）は、「このドメインからメールを送ってよいサーバーの一覧」をDNSに公開する仕組みです。受付名簿に名前のある人だけが入場できるイメージです。

受信サーバーは、メールが届いた瞬間に「このIPアドレスは、example.co.jp の名簿に載っているか？」を確認します。載っていなければ、なりすましの疑いが高いと判断します。

DKIM（ディーキム）＝手紙の封蝋（ふうろう）

DKIM（DomainKeys Identified Mail）は、送信時にメール本文へ電子署名を貼り付け、受信側が本物であることを確認できる仕組みです。中世ヨーロッパの手紙に押された蝋（ろう）の封印に近い考え方です。

封蝋（DKIM署名）が壊れていれば、配送途中で誰かが中身を書き換えたか、本物の差出人ではないと判断できます。封蝋自体の真贋は、ドメインが公開している鍵（DNSのDKIMレコード）で照合します。

DMARC（ディーマーク）＝受信側への指示書

SPFとDKIMだけでは「失敗したメールをどう扱うか」が決まりません。DMARC（Domain-based Message Authentication, Reporting and Conformance）は、SPF/DKIMに失敗したメールを受信側にどう扱ってほしいか、ドメイン所有者が指示する仕組みです。

「うちのドメインを名乗っていてSPFもDKIMも失敗したメールは、迷惑メールに入れてください（quarantine）」「いっそ拒否してください（reject）」

こうした指示をDNSに公開しておくと、世界中の受信サーバーがその指示に従って処理します。さらに、なりすましの試行回数や失敗状況を毎日XMLレポートで返してもらえる、という見える化機能も持っています。

3つの技術の細かい違いについては、SPF・DKIM・DMARCの違いと使い分けで詳しく整理しています。

設定するときの優先順位（いきなり強くしない）

3つを同時に設定すれば最強、と考えたくなりますが、運用上は順番が大事です。間違えると、本物の自社メールまで届かなくなり、業務が止まります。中小企業に推奨される順序は次のとおりです。

1. SPF を整える：自社が利用している送信元サーバー（Microsoft 365 / Google Workspace / メルマガ配信サービスなど）をすべて洗い出し、SPFレコードに反映する
2. DKIM を有効化する：各メールサービスの管理画面でDKIM署名を有効にし、案内されたDNSレコードを公開する
3. DMARC は p=none から始める：まずは「監視のみ・配送には影響しない」モードで、毎日のレポートを見ながら抜け漏れを潰す
4. 数週間〜数か月かけて quarantine → reject に段階的に強化する：レポートで自社の正規メールがすべて成功していることを確認してから

特に最後の段階を急ぐと、注文確認メール・取引先宛の見積書・社内通知などが大量に弾かれる事故につながります。SPFの設定詳細はSPF設定方法を徹底解説、DMARCの強化手順はDMARCポリシーの段階的な強化方法を参照してください。

まとめ

• メール認証は、自社の @example.co.jp 部分を「本物」と保証し、なりすましから顧客と信用を守る仕組み
• SPFは送信者の名簿、DKIMは封蝋、DMARCは受信側への指示書、と覚えると役割を取り違えない
• 設定は SPF → DKIM → DMARC（none → quarantine → reject）の順で。いきなり厳しくすると本物のメールが止まる

メール認証は「やるかやらないか」ではなく、Gmailの送信者ガイドラインなどで事実上の必須要件になりつつあります。難しく見えますが、最初の一歩は意外に小さなDNS設定から始められます。

送信ドメイン認証を体系的に学ぶ：トピック別ガイド

ここまでが全体像です。次に読むべき記事を目的別にまとめました。気になるところから読み進めてください。

仕組みをもう一歩深く理解する

• SPF・DKIM・DMARC の違いと使い分け：3 つの役割の違いを表で整理
• DMARC とは？仕組みと SPF/DKIM との違い：DMARC を 5 分で
• SPF の基礎（中小企業向け）：送信者の名簿を正しく書く
• Authentication-Results ヘッダの読み方：認証結果を自分で確認する

実際に設定する

• SPF 設定方法を徹底解説
• DMARC 設定ガイド｜段階強化の手順
• Microsoft 365 のメール認証設定／Google Workspace の DKIM 設定
• SPF / DMARC / CAA レコード生成ツール：入力するだけで下書きを作る

運用・強化する

• DMARC ポリシーを none から段階的に強化する
• DMARC レポートの読み方：毎日のレポートから抜け漏れを潰す

義務化・背景を知る

• 送信ドメイン認証 義務化｜中小企業の対応
• Gmail の 5,000 通送信者ガイドラインとは

届かない・エラーを直す

• Gmail にメールが届かない原因と対処
• Outlook 550 エラーのケース別の原因と対処
• SMTP リプライコード一覧（対処記事への索引）

費用を把握する

• メール認証にかかる費用（中小企業向け）

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。