ドメイン番人
メール認証DMARCWeb 担当者ニュース解説

送信ドメイン認証 義務化|中小企業・スタートアップ・制作会社の対応

ドメイン番人6 分で読めます
目次

この記事でわかること

  • 「送信ドメイン認証」が指す3つの仕組み(SPF・DKIM・DMARC)の役割と関係
  • 国内行政(経産省・総務省・警察庁・NISC)と海外プラットフォーム(Google・Yahoo・Microsoft)の二重の義務化圧力
  • サイト運営者が「うちは関係ない」と言えない理由と、今やるべき5つの対応手順

「送信ドメイン認証」とは何を指すのか

「送信ドメイン認証 義務化」という言葉を初めて目にした担当者の方からは、「結局、何を設定すればいいのか」という相談を多くいただきます。

送信ドメイン認証は、メールの差出人アドレスのドメインが本物かどうかを受信側が検証できるようにする仕組みの総称です。具体的には以下の3つを指します。

送信ドメイン認証の3要素(SPF・DKIM・DMARC)の関係

  • SPF(エスピーエフ): 「このドメインのメールは、これらのサーバーから送られます」とDNSで宣言する仕組み(RFC 7208
  • DKIM(ディーキム): メール本文に電子署名を付け、改ざんがないことと送信ドメインを保証する仕組み(RFC 6376
  • DMARC(ディーマーク): SPFかDKIMが失敗したときに「迷惑メールに入れる/受信拒否する」と差出人ドメイン側が宣言する仕組み(RFC 7489

3つは独立した技術ですが、そろえて初めて「なりすまし対策」として機能します。SPFだけ、DKIMだけでは差出人ドメインの保護に穴が残るため、行政・大手プラットフォーム双方とも「3点セット」を求めるようになっています。各仕組みの違いと組み合わせ方はSPF・DKIM・DMARCの違い|メール認証3つの役割で詳しく解説しています。

「義務化」はどこから来ているのか

送信ドメイン認証の「義務化」は、ひとつの法律で一気に決まったものではありません。国内行政からの要請海外メールプラットフォームからの事実上の強制 という2つの流れが並行して進んでいます。

国内規制と海外プラットフォームの二重圧力

国内:行政・業界団体からの要請

民間の中小企業に対する直接の法的義務はまだありませんが、取引先(特に金融機関・大手企業)の調達基準に「DMARC運用」が組み込まれる流れが広がっています。

海外:大手メールプラットフォームの強制

国内行政の要請が「努力義務」レベルにとどまるのに対し、海外プラットフォームの要件は設定がなければメールが届かなくなるという直接的な強制力を持ちます。

  • 2024年2月: Google(Gmail)とYahoo(米Yahoo Inc.)が送信者要件を発効。1日5,000通超の送信者にSPF・DKIM・DMARCの3点セットとアラインメントを要求
  • 2025年5月: MicrosoftがOutlookの新要件を発効。Outlook.com宛て1日5,000通超の送信者にDMARC(最低p=none)を必須化

海外プラットフォーム側のタイムラインの全体像は送信者要件まとめ|2024〜2026タイムライン、DMARC義務化を中心とした対応の流れはDMARC義務化はいつから?対応手順をWeb 担当者向けに解説に詳細をまとめています。

中小企業が「関係ない」と言えない理由

「うちは1日5,000通も送らないから関係ない」という声は今もよく聞きます。この理解は半分正解、半分誤解です。

1. 5,000通閾値はあくまで「最低ライン」

Google・Microsoftともに、5,000通超の送信者には3点セットが必須ですが、それ未満の送信者にもSPFまたはDKIMのいずれかは必須になっています。これすら満たさないメールは、配送経路の早い段階で迷惑メール扱いになります。閾値判定の詳細はGmail送信者要件の閾値判定(1日5000通)で解説しています。

2. 5,000通の集計は「思っているより簡単に超える」

トランザクションメール(注文確認・パスワード再設定・通知)、社内自動配信(アラート・日報)、マーケメルマガを合算すると、従業員50名規模の会社でも1日5,000通を超えることが珍しくありません。

3. 設定がないと「なりすまされ放題」になる

DMARCを設定していないドメインは、第三者が差出人を詐称してフィッシングメールを送り放題の状態です。受信側は「正規メールか詐称メールか」を判別できないため、自社ドメインの信頼性ごと損なわれる結果になります。実害が出てから設定するのでは、ブランド毀損や顧客トラブルが先行します。

4. 取引先・顧客側の調達基準が変わってきている

金融機関や上場企業がDMARC運用を取引条件に含める動きが広がっています。日経225企業のDMARC導入率は2024年11月時点で9割超に達したというTwoFive社の調査もあり、サプライチェーン上の中小企業にも順次波及していきます。

Web 担当者が今やるべき5つの対応

実際に着手するときの順序を整理します。SPF・DKIMの設定状況を点検し、DMARCを段階的に強化していくのが基本ルートです。

中小企業が取るべき5ステップ

ステップ1: 自社ドメインの現状を確認する

まずは自社ドメインに何が設定されているかを点検します。digコマンドが使える方は手元で、そうでない方は無料のドメイン診断ツールで数十秒で確認できます。SPF・DKIM・DMARCの3項目について「設定あり/なし」「ポリシー」「アラインメント」が一覧で出ます。

ステップ2: SPFレコードを整える

メール送信に使っているサービス(Microsoft 365、Google Workspace、各種配信ツール、レンタルサーバー、CRMなど)を全て洗い出し、SPFレコードにinclude:で含めます。SPFのDNSルックアップ上限は10回RFC 7208)。超過するとPermerrorで認証失敗するため、不要なincludeを整理する作業も必要です。

ステップ3: DKIM署名を有効化する

Microsoft 365の場合は管理センターから手動で有効化が必要です。Google Workspaceは初期状態でDKIMが機能していますが、独自ドメインで送る場合は鍵生成と公開鍵のDNS登録が別途必要になります。配信ツール(SendGrid・Mailchimp等)を使う場合は、各サービスの管理画面でDKIM鍵を発行してDNSに登録します。

ステップ4: DMARCレコードをp=noneで開始する

いきなりp=reject(受信拒否)を設定すると、自社の正規メールまで止まる事故が起きます。最初はp=none(観察モード)で開始し、レポート受信用のメールアドレス(ruaタグ)を指定して2〜4週間ほど集計レポートを観察します。

ステップ5: ポリシーを段階的に強化する

レポートで自社の正規メールが全て認証通過していることを確認したら、p=quarantine(迷惑メール隔離)→p=reject(受信拒否)と段階的に上げていきます。手順とつまずきやすい点はDMARCのp=quarantine強化|段階的移行の手順を参照してください。

まとめ

  • 「送信ドメイン認証」はSPF・DKIM・DMARCの3点セット。3つそろえて初めてなりすまし対策として機能する
  • 国内行政(経産省・総務省・警察庁・NISC・フィッシング対策協議会)と海外プラットフォーム(Google・Yahoo・Microsoft)の双方から義務化の圧力がかかっている
  • 中小企業も5,000通閾値以下でもSPF/DKIMは必須、取引先の調達基準にも組み込まれつつある。今から段階的に対応するのが現実解

メール認証の設定は、いったん事故が起きてから対応するのでは遅く、ブランド毀損や顧客トラブルが先行します。「義務化されたから慌てて設定」ではなく、自社の信用を守る投資として位置付けてください。

まずは現状を把握しましょう

自社ドメインのSPF・DKIM・DMARCがどう設定されているか、無料のドメイン診断で数十秒でチェックできます。 判断に迷う方や、設定の優先順位を一緒に整理したい方は、お問い合わせからご相談ください。専門家が現状を確認し、優先度の高い対応から手順をご案内します。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから