メールにおいて、信頼はすべてです。しかし、あなたのメッセージが誰かの受信トレイに届く前に、いくつかの目立たないセキュリティチェックを通過しなければなりません。SPF、DKIM、DMARCは、あなたのメールが正当なものに見えるか、それとも迷惑メールに振り分けられるかを判断します。
これらのレコードがどのように機能し、どのように正しく設定するかを理解することで、ドメインを保護し、メッセージが常に意図した場所に届くようにできます。
メールにおけるSPF、DKIM、DMARCとは何ですか?
送信ボタンを押してからメールが届くまでの間に、静かなチェックの連鎖が始まります。それぞれが同じ問いを投げかけます。これは本当にあなたからのものですか?
SPF、DKIM、DMARCは、送信者と受信者の間でフィードバックループを形成し、メッセージがドメインを離れる前、到着時、またはその両方であなたの身元を検証します。これらは一緒になって、あなたのメッセージと迷惑メールフォルダーの間に立ちはだかるものです。
SPF、DKIM、DMARCを簡単に説明すると:
SPF – メッセージを送信しているサーバーが、ドメインの承認済みリストに載っているかどうかを確認します。載っていればメールは通過し、そうでなければフラグが付きます。これはドメインのゲストリストのようなものだと考えてください。
DKIM – メッセージが受信トレイを離れる前にデジタルシールを追加します。相手側に届くと、受信サーバーがそのシールを開いて、転送中に何も変更されていないことを確認します。
DMARC – これら2つのチェックのいずれかに失敗した場合に何が起こるかを決定します。メッセージを配信するのか、迷惑メールに送るのか、完全にブロックするのかを受信サーバーに指示します。
この3つは連携して機能します。1つは送信者を検証し、1つはメッセージを保護し、もう1つはルールを適用します。
SPF、DKIM、DMARCがメールセキュリティにとって重要なのはなぜですか?
SPF、DKIM、DMARCは、今日のメールにおける2つの大きな脅威、すなわち迷惑メールとなりすましから保護します。攻撃者はしばしば、別人を装ってメッセージを送信します。たとえば、Support@yourbank.com から届いたメールで、口座情報の確認を求められる場面を想像してみてください。この3つのチェックにより、あなたの「銀行」が本当にあなたの銀行であることを確認できます。
フィッシング攻撃では、ハッカーは偽のメールを使って、人々をだましてパスワードやクレジットカード番号を共有させたり、悪意のあるリンクをクリックさせたりします。これらの保護がなければ、あなたのドメインがなりすましに使われ、顧客があなたから送られてきたように見える説得力のあるメッセージを受け取る可能性があります。SPF、DKIM、DMARCを導入していれば、そのような偽メッセージは通常、受信トレイに届く前に阻止されます。
SPFは、そのメールが承認されたサーバーから送信されたかどうかを確認します。
DKIMは、メールが転送中に改ざんされていないことを確認します。
これらのチェックのいずれかに失敗した場合、DMARCはそのメールが受信トレイに届く前に破棄されるようにします
同様に、フィッシング攻撃では、ハッカーは偽のメールを送って、人々をだましてパスワードを渡させたり、危険なリンクをクリックさせたりします。会社のドメインが保護されていなければ、彼らは従業員を装って顧客にメールを送り、詳細情報を求めることができます。SPF、DKIM、DMARCが設定されていれば、受信サーバーはそれらが本当にあなたからのものではないと判断できるため、こうした偽メッセージの大半は顧客の受信トレイに届きません。
これらが配信到達性にとっても重要な理由(セキュリティだけではない)
ニュースレター、請求書、またはマーケティングキャンペーンを送る場合、目標は単に送信することではなく、見てもらうことのはずです。しかし、世界的に迷惑メールが急増したことで、Gmail や Yahoo のような主要プロバイダーは受信トレイをクリーンに保つための新しいルールを導入しました。
2024年以降、これらのプロバイダーは送信者に対し、SPF、DKIM、DMARCでドメイン認証を行うことを求めています。これらがなければ、あなたのメールは受信トレイを離れる前に拒否される可能性があります。これらのチェックに継続的に合格することで送信者としての評価が高まり、メールが迷惑メールに振り分けられるのを防ぎます。評価が高いほど、配信は速くなり、迷惑メール判定は減り、信頼性は高まります。新しい送信ドメインでその評価を築くこと、あるいは傷ついたドメインで回復させることこそ、Warmy のような専用ウォームアッププラットフォームが設計されている目的です。送信量を管理された日次増分で徐々に増やし、主要メールボックスプロバイダーとのポジティブなエンゲージメントシグナルを生成することで、SPF、DKIM、DMARCで認証されたメールが、プロモーションや迷惑メールではなく、安定してメインの受信トレイに届くようにします。
SPF vs DKIM vs DMARC — 違いは何ですか?
飛行機に搭乗するたびに、あなたはSPF、DKIM、DMARCの仕組みとほぼ同じプロセスを通ります。奇妙に聞こえるかもしれませんが、この3つの用語は決して覚えやすいものではなく、もっと簡単な覚え方があると役立ちます。さらに、この3つが設定されていないと、あなたのメールは、フライトのチェックインに間に合わなかったときのあなたと同じような目に遭う可能性があります。締め出されてしまうのです。
SPF – メールの最初のセキュリティチェックポイント
搭乗の準備をしてカウンターに着くと、係員はあなたのチケットを搭乗者名簿と照合します。そこにあなたの名前があれば、搭乗が許可されます。なければ、搭乗券もなく、フライトにも乗れません。
SPFも同じように機能します。example.com のような各ドメインは、「搭乗者リスト」、つまりそのドメインを代表してメールを送信することを許可されたメールサーバーの記録を保持しています。あなたがメールを送信すると、受信サーバーは送信サーバーがそのリストに載っているかどうかを確認します。SPFレコードを設定することは、基本的にその名簿に自分の名前を追加し、メッセージが遅延なくセキュリティを通過できるようにすることです。
DKIM – 受信トレイのための本人確認
チケットの確認が済んだら、次は本人確認です。パスポート写真は、あなたが本当に本人であることを示し、簡単には偽造できない物理的な署名の役割を果たします。DKIMも同じことを、メールに対して行います。
DomainKeys Identified Mail(DKIM)は、送信される各メッセージにデジタル署名を追加します。この署名は、メールが転送中に変更または改ざんされていないことを証明し、メールが追跡されるのを防ぎます。送信するとき、サーバーは秘密鍵でメールに署名します。メールが到着すると、受信サーバーはその署名を検証し、メッセージが本物であり、手が加えられていないことを確認します。
DMARC – 問題が起きたときに何が起こるか
チケットやパスポートを持たずに空港に現れた場合、航空会社には次に何が起こるかについて明確な方針があります。SPFまたはDKIMのチェックに失敗したとき、DMARCも同じように機能します。
DMARCは、SPFまたはDKIMのチェックに失敗した場合に、そのメールをどう扱うかを受信サーバーに指示します。できることは次のとおりです。
何もしない
メッセージを隔離する(迷惑メールに送る)
メッセージを完全に拒否する
送信者として、どのルールを適用するかはあなたが決めます。これをDNSで設定し、メッセージが検査に合格しなかった場合に何が起こるかを定義します。
ドメインにSPF、DKIM、DMARCを設定する方法
SPF、DKIM、DMARCを設定するには、DNSへのアクセスが必要です。これはドメインのネームサーバーが向いている先、つまりレジストラまたはDNSホストです。
前述のとおり、SPFは搭乗者リストのように機能し、どのホストがあなたのドメインのメールを送信できるかを受信サーバーに伝えます。したがって、SPFを設定するには、その搭乗者リストにあなたのメールを載せる必要があります。そのためには、いくつかの手順があります。
1. すでにSPFがあるか確認する
まず、無料のDNS lookup toolを使って、ドメインにすでにSPFレコードがあるかどうかを確認します。ツールのTXTタブに v=spf1 で始まるレコードが表示されれば、そのドメインにはすでにSPFが設定されています。
そのようなレコードが表示されない場合は、新しいSPFレコードを最初から作成する必要があります。
2. DNSに新しいSPFレコードを追加する
新しいSPFレコードを追加するには、ドメインホストのDNS設定に移動します。これは、プロバイダーが誰かによって Spaceship、Google、Outlook などになります。既存レコードの一覧を見つけて Add Record を選択し、次にタイプメニューから TXT を選びます。
次に、以下のように各フィールドを入力してSPFエントリを作成します。
Spacemail の場合は次のようになります。Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic
保存して、反映されるまで数分待ちます。
3. レコードを確認する
この時点で、DNS lookup tool で再度確認できます。値が表示されれば問題ありません。また、ホストレコードの更新には最大24時間かかる場合があることも覚えておくことが重要です。すぐに表示されなくても慌てないでください。
ステップ2. DKIM設定を更新する
DKIMは、ドメインが送信するすべてのメールにデジタル署名を追加し、改ざんされていないことを証明します。
1: DKIMレコードを生成する
まずはメールプロバイダーの設定から始めます。
ドメイン認証またはメールセキュリティのセクションに移動します。
DKIM、DomainKeys、またはそれに類する名前のオプションを探します。
新しいDKIMキーを生成するボタンを選択します。
プロバイダーから、次の2つの重要な情報が提供されます。
セレクター(例: selector1._domainkey)
DKIMレコードそのもの — 暗号化された長い文字列
次のステップで必要になるため、両方を安全な場所にコピーしておくことをおすすめします。
2: DKIMレコードをDNSに追加する
次に、DNSプロバイダーにログインします。
DNSレコードを開き、新しいエントリを作成します。
レコードが短い場合は CNAME、長いキーの場合は TXT を選択します。
Host または Name フィールドに、DKIMセレクター(例: selector1._domainkey)を入力します。
Value フィールドに、メールプロバイダーから取得したDKIMレコードを貼り付けます。
変更を保存します。
DNSの変更が更新されるまで少し時間がかかることがあるため、数分待ってください。
Spacemail business email については、このガイドでDKIMレコードを設定できます。
ステップ3. DMARC設定を追加する
SPFとDKIMの設定が完了したら、最後のステップはDMARCです。ドメインのDNSにTXTレコードをもう1つ追加するだけです。このレコードは、ドメインからのメールが認証に失敗した場合に受信メールサーバーがどう対処すべきかを伝え、さらに誰があなたに代わってメールを送信しているかを可視化します。
DMARCレコードには、追加する前に理解しておくべきいくつかの重要な要素があります。
v=DMARC1 – これは、DMARCを使用していることをメールサーバーに伝えます。常に最初に記述されます。
p= – これは、認証されていないメッセージをどのように処理するかのポリシーを設定します。
rua=mailto: – これは、毎日のDMARCレポートの送信先をメールサーバーに伝えます。security@yourdomain.com や dmarc@yourdomain.com のようなアドレスを使用できます。これらのレポートは、どのIPがあなたのドメインを代表して送信しているかを示し、異常な点を見つけるのに役立ちます。
1: ドメイン用のDMARCレコードを生成する
DMARC Record Generator tool を開き(好みのDMARC生成ツールを使って構いません)、検索バーにドメイン名を入力します。完了したら、Check DMARC Record ボタンをクリックします。必要に応じてDMARC設定をカスタマイズし、生成されたレコードを取得します。
2: DMARCレコードをDNS設定に追加する
DNSプロバイダーに移動します。新しいレコードを作成し、ホストレコードタイプとして TXT を選択します。DMARCは、SPFと同様にTXTレコード形式を使用します。
host には _dmarc を使用し、value には先ほど生成したものを追加します
追加したら、変更を保存して、反映されるまで数分待ちます。MX Lookup Tool やその他の無料ツールを使って、DMARCレコードが正しく設定されているか確認できます。
このガイドを使って、Spacemail でドメインのDMARCレコードを設定できます。
メール設定を正しく行う
メッセージが迷惑メールに入り続けたり、途中で消えてしまったりする場合、認証が不足していることが原因かもしれません。SPF、DKIM、DMARCは、メールが安全に受信トレイへ届くために必要な認証情報を与えます。
SPF、DKIM、DMARCの説明を聞くと複雑に思えるかもしれませんが、良い点は、高価なツールや複雑な設定を必要としないことです。必要なのは、いくつかのDNSレコードと少しの忍耐だけです。これらは、メールシステムに追加できる最もシンプルなemail protocolsの一部であり、メッセージが本来届くべき場所に届くたびに効果を発揮します。
よくあるご質問
SPFは、メールが承認されたサーバーから送信されていることを確認します。DKIMメールセキュリティは、各メッセージにデジタルキーで署名することで機能し、受信者がメッセージが改ざんされていないことを確認できるようにします。DMARCはそれらを結び付け、何か問題があるように見えた場合にサーバーがどう対処すべきかを指示します。これらを組み合わせることで、メールの信頼性、検証性、安全性が保たれます。
DMARC vs SPF and DKIMで考えると、これらはチームとして機能するときに最も効果を発揮します。SPFとDKIMのメール認証がチェックを行い、DMARCはそれらのチェックに失敗した場合に何が起こるかを決定します。DMARCがなければ、メールが通過することはあっても、通過しなかった場合に何が起こるかを制御できません。3つすべてを一度設定すれば、セキュリティと到達率の両方において万全になります。
なりすましは、誰かがあなたを装ってメールを送信するときに起こります。SPFはメッセージの送信元を確認し、DKIMは改変されていないことを確認し、DMARCは不審なものをブロックします。
DMARCがなければ、メールサーバーが不審なメッセージをどう扱うかについて明確なルールがありません。つまり、偽メールがすり抜けたり、本物のメールが迷惑メールとして扱われたりする可能性があります。DMARCはルールを適用する部分であり、これがなければドメインは無防備なままです。
必ずしもそうではなく、単に役割が異なるだけです。SPFは誰がメールを送信しているかを確認し、DKIMはそれが変更されていないかを確認します。どちらも単独では完璧に機能しませんが、一緒に使うことで強力な第一防衛線になります。


あなたの考えを共有してください