用語辞典
SPF / DKIM / DMARC とは — 自分のドメインを“なりすましメール”から守る3点セット
SPF・DKIM・DMARC は、あなたのドメインから送られたメールが“本物か”を受信側が検証できるようにする3つのDNS設定です。これが無いと、あなたの名を騙るフィッシングメールを止められません。それぞれの役割の図解と、安全に設定する手順(DMARCはp=noneから始める)を、やさしく解説します。
「自分のドメインの名前で、知らないフィッシングメールが送られる」——これを止めるのが SPF / DKIM / DMARC です。3つの役割と、安全な設定手順をやさしく解説します。
3つの役割
| 設定 | 役割(ひとことで) |
|---|---|
| SPF | 「このドメインのメールを送ってよいサーバーはこれ」とDNSで宣言 |
| DKIM | メールに電子署名を付け、「途中で改ざんされていない・正規の送信元」を証明 |
| DMARC | SPF/DKIMが失敗したらどう扱うかの方針を宣言し、レポートも受け取る(3つを束ねる要) |
どう検証されるのか(仕組み)
受信側(Gmail等)は、届いたメールに対して SPF と DKIM をチェックし、その結果を DMARCの方針 に照らして「通す/隔離する/拒否する」を決めます。
つまり **SPFとDKIMだけでは“判定はするが何もしない”**ことがあり、DMARCの方針があって初めて「なりすましを止める」効力が出ます。
安全な設定手順
SPF を1本だけ正しく
送信に使う正規サーバー(自社・メール配信サービス等)を漏れなく許可。SPFレコードはドメインに1本にまとめる(複数あると無効になりやすい)。
DKIM 署名を有効化
利用しているメール送信基盤でDKIMを有効にし、公開鍵をDNSに登録。正規メールに署名が付く状態にする。
DMARC は p=none から始める
いきなり拒否にしない。まず p=none(監視のみ)+レポート受信で、正規メールが落ちないかを確認する。
段階的に強める
レポートで正規配信の漏れを潰したら、p=quarantine → p=reject へ。最終的に「なりすましは拒否」を達成する。
ITDの視点:守るのは“あなたの利用者”でもある
SPF/DKIM/DMARC は自分のメールが届くためだけでなく、あなたのドメインを騙るフィッシングから“あなたの利用者”を守る仕組みでもあります。フィッシングは結局、認証情報や鍵を盗む入口。多くのドメインがSPF/DKIMだけで止まり、DMARCを強制(reject)まで上げていないのが実情です。p=none で満足せず、レポートを見て段階的に reject まで上げ切ってこそ効果が出ます。
次に読む
よくある質問
QSPF / DKIM / DMARC は何のため?
あなたのドメインから送られたメールが“本物か”を受信側(Gmail等)が検証できるようにするためです。これが無いと、第三者があなたの名を騙るなりすましメール(フィッシング)を送っても止められず、ドメインの信頼も傷つきます。
Q3つの違いは?
SPFは『このドメインのメールを送ってよいサーバー』を宣言、DKIMは『改ざんされていない証拠の電子署名』、DMARCは『SPF/DKIMが失敗したらどう扱うかの方針+レポート受信』です。DMARCがSPF/DKIMを束ねて効力を持たせます。
Q設定で気をつけることは?
正規の配信(メール配信サービス等)を漏らさず許可してから強めること。とくにDMARCは、いきなり拒否(p=reject)にすると正規メールも弾く恐れがあるため、まず p=none(監視のみ)でレポートを見て、p=quarantine→p=reject と段階的に上げます。