ドメイン番人
DMARCメール認証中小企業Web 担当者

DMARC とは?仕組みと SPF/DKIM 違いを 5 分解説

最終更新: ドメイン番人7 分で読めます
目次

DMARC未設定だとメールは届かない

結論: SPF と DKIM が「送信元を証明する部品」、DMARC は「その2つが失敗したときの指示と可視化」の役割です。SPF か DKIM のどちらかが認証を通り、かつドメインの整合(アラインメント)が取れていれば合格で、両方が失敗したときだけ DMARC ポリシー(none / quarantine / reject)が適用されます(RFC 7489)。Gmail / Yahoo / Outlook の送信者要件で対応が事実上の必須になりました。

Gmailにメールが届かない?その原因はDMARCかもしれません

「取引先から"メールが届かない"と言われた」「請求書を送ったのに"見ていない"と言われた」——こんな経験はありませんか?

2024年2月、GoogleはGmail宛てに1日5,000通以上を送る一括送信者に対して、DMARC(ディーマーク)の設定を義務化しました。それ以外の送信者にもSPFまたはDKIMの設定は必須となり、DMARCは配信性を確保するため強く推奨される扱いになっています。2025年5月には、Microsoft Outlookでも同じ5,000通/日の閾値で同様の基準が適用されています。

つまり、DMARCを設定していない企業のメールは、迷惑メールに振り分けられたり、そもそも届かなくなるリスクがあるのです。メール認証(送信ドメイン認証)の全体像はメール認証とは?図解でわかる入門で整理しています。

DMARCとは何か

DMARCは「Domain-based Message Authentication, Reporting and Conformance」の略で、メールのなりすましを防ぐための仕組みです。仕様は RFC 7489 で標準化されています。

簡単に言うと、「このドメインから送られるメールは本物ですよ」と受信側に証明する技術です。

DMARC未設定と設定済みの違い

DMARCは単独で動くものではなく、SPFとDKIMという2つの技術と組み合わせて使います。

技術 役割 例え
SPF 送信元サーバーの確認 「この郵便局から出した手紙は本物です」
DKIM メール内容の改ざん検知 「封印が破られていなければ本物です」
DMARC SPFとDKIMの結果に基づくポリシー 「偽物だった場合はこう処理してください」

なぜ中小企業こそDMARCが必要なのか

「うちは大企業じゃないから関係ない」と思われるかもしれません。しかし実は、中小企業こそDMARC対応が急務です。

DMARC未設定の中小企業が抱える3つのリスク

1. メールが届かなくなるリスク

GmailやOutlookは世界で最も利用されているメールサービスです。DMARC未設定のまま放置すると、これらのサービスを使っている取引先や顧客にメールが届かなくなります。実際に配信が止まるケースと対処方法は、Gmailにメールが届かない原因と対処法で詳しく解説しています。

2. なりすましメールの被害

御社のドメインを使った「なりすましメール」が送られる可能性があります。取引先に偽の請求書が届いたら、信頼関係は一瞬で崩れます。

3. 設定は想像より簡単

DMARC のレコード自体は、DNS に TXT レコードを 1 行追加するだけです。最小構成は次のとおりです。

_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

ただし、SPF や DKIM が正しく設定されていることが前提になるため、現状の設定を正確に把握することが最初のステップです。

DMARC の 3 段階ポリシー(none / quarantine / reject)

DMARC の p= には 3 つの値があり、受信側に「なりすまし疑いのメールをどう扱ってほしいか」を指示します。

ポリシー 受信側の動作 推奨フェーズ
p=none 何もしない(レポートだけ送る) 監視モード。最初はここから
p=quarantine 迷惑メールフォルダに振り分け 1〜2 ヶ月レポート観察後
p=reject 受信を拒否 安定後の最終形

最初から p=reject にすると、設定漏れのある正規メールまで一斉に拒否されて業務が止まります。p=none で最低 1 ヶ月のレポート観察を挟むのが定石です。段階強化の詳しい進め方は DMARC ポリシーを p=quarantine に強化する手順 に整理しています。

万が一 p=reject で社内メールが止まった場合の即時ロールバック手順は DMARC reject から戻す方法 を参照してください。

DMARC レポート(rua / ruf)の活用

DMARC のもう一つの価値は、受信側からのレポートです。rua= で指定したメールアドレスに、毎日「どのメールが認証通った/通らなかった」の集計が XML 形式で届きます。

  • rua(aggregate report): 認証結果の日次集計。配信状況の可視化に必須
  • ruf(forensic report): 認証失敗時の個別メールサンプル。プライバシー上、最近は対応する受信側が少なくなった

このレポートを活用すれば「自社が認識していない送信元(マーケティングツール、CRM、決済通知など)」が浮かび上がります。XML の読み方は DMARC レポート 見方ガイド で詳しく解説しています。レポートが届かない場合のチェックは DMARC レポート 届かない原因 を確認してください。

Gmail / Yahoo / Microsoft の送信者要件まとめ

主要 3 社の最新動向は次のとおりです。

「自社は 1 日 5,000 通も送らない」と思っても、マーケメール + トランザクション + 社内通知の合計で意外と該当することがあります。判定方法は DMARC 1 日 5000 通の対象判定 で確認できます。1 日 5,000 通該当の場合は DMARC に加えてワンクリック配信停止の対応も必要で、手順は RFC8058 One-Click Unsubscribe 設定 にまとめています。

よくある質問

DMARC だけ設定すればメール認証は十分ですか?

いいえ。DMARC は SPF と DKIM の認証結果を前提に動く仕組みのため、先に SPF・DKIM が正しく設定されている必要があります(RFC 7489)。DMARC レコードだけを追加しても、SPF か DKIM のどちらかがドメインの整合(アラインメント)を満たして通らなければ認証は成立しません。まず SPF / DKIM を整え、その上で DMARC を p=none から始めるのが正しい順序です。

SPF と DKIM の両方が失敗するとメールはどうなりますか?

その場合だけ DMARC のポリシー(p= の値)が適用されます。p=none ならレポート送信のみで配信はされ、p=quarantine なら迷惑メールフォルダ行き、p=reject なら受信拒否です。逆に SPF か DKIM のどちらか一方でも整合して通れば、メールは認証合格として扱われます。

DMARC を設定すると今のメールが届かなくなりませんか?

最初に p=none(監視モード)で設定すれば、配信への影響はありません。レポートで自社の送信元をすべて把握してから p=quarantinep=reject へ段階的に強化します。いきなり p=reject にすると設定漏れの正規メールまで拒否されるため、DMARC ポリシーを p=quarantine に強化する手順の順序を踏んでください。

1 日 5,000 通も送らない小規模事業者も対応が必要ですか?

DMARC ポリシーの義務化対象は 1 日 5,000 通以上の一括送信者ですが、それ未満でも SPF または DKIM は必須であり、DMARC も配信性確保のため強く推奨されます。なりすまし対策の観点でも、規模を問わず設定しておく価値があります。

まずは現状を把握しましょう

自社のドメインが DMARC に対応しているかどうかは、無料のドメイン診断で SPF・DKIM・DMARC・SSL の状態が数十秒でレポートされます。

設定状況がわからない、どこから手をつけていいかわからない方は、お問い合わせからお気軽にご相談ください。現状の診断から改善提案まで、専門家がわかりやすくサポートいたします。

設定後に届く DMARC レポートの読み解きには、可視化ツールを使うと運用が一気に楽になります。主要 7 製品の比較は DMARC ツール おすすめ 7 選比較【無料 / 日本語対応】 を、現在の DMARC / SPF / DKIM レコードの中身を日本語で逐語解説してほしい場合は無料の SPF / DKIM / DMARC 設定確認ツール をご利用ください。SSL 証明書や Web セキュリティヘッダ、サブドメイン棚卸しの単発チェックも合わせて 無料ツール一覧 にまとめています。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから