「送ったメールが迷惑メールに入ってしまう」「自社ドメインを使った偽メールが届いたと報告された」──こうしたメールのトラブルの多くは、SPF・DKIM・DMARCという3つの認証設定が正しく行われていないことが原因です。
この記事では、これら3つの設定の役割と、レンタルサーバーでの設定方法を整理します。
なぜメール認証が必要か
メールは仕組み上、送信元のメールアドレスを偽装して送ることができます。たとえばinfo@example.co.jpから来たように見えても、実際には全く関係のないサーバーから送られている可能性があります。
メール認証設定(SPF・DKIM・DMARC)は、受け取ったメールが正規のサーバーから送られたものかどうかを確認する仕組みです。設定されていないドメインからのメールは、迷惑メールフィルタに引っかかりやすくなります。
SPF(Sender Policy Framework)とは
SPFは「このドメインのメールを送ってよいサーバーはどれか」を指定するDNSのTXTレコードです。
受信側のメールサーバーは、メールを受け取ったときに送信元ドメインのSPFレコードを確認し、「このサーバーから送ることは許可されているか」を検証します。許可されていないサーバーからのメールは迷惑メールとして扱われることがあります。
SPFレコードの書き方
SPFレコードはDNSのTXTレコードとして設定します。レンタルサーバーが提供するSPFレコードの値はサーバーのサポートページに掲載されています。基本的な形式は次のとおりです。
v=spf1 include:サーバーのSPFドメイン ~all
include:の後にレンタルサーバーが指定するドメインを入れます。Google Workspaceを使う場合はinclude:_spf.google.comを追加します。
~all(ソフトフェイル)は、SPFに一致しないメールを迷惑メールとしてマークする指定です。-all(ハードフェイル)はより厳格に拒否します。
DKIM(DomainKeys Identified Mail)とは
DKIMはメールに電子署名を付けて、送信後に改ざんされていないかを確認する仕組みです。
送信側がメールに秘密鍵で署名し、受信側がDNSに公開されている公開鍵で署名を検証します。署名が一致すれば、そのメールが正規のサーバーから送られ、途中で改ざんされていないことが確認できます。
DKIMの設定方法
DKIMの設定はサーバーによって異なります。
レンタルサーバー付属のメールを使う場合: 多くのサーバーは管理画面からDKIMを有効化できます。有効化するとDNSにTXTレコードが自動追加されます。
Google Workspaceを使う場合: Google Workspace管理コンソールの「アプリ → Google Workspace → Gmail → メール認証」からDKIMの鍵を生成し、表示されたTXTレコードをドメインのDNS設定に追加します。
DMARC(Domain-based Message Authentication, Reporting & Conformance)とは
DMARCはSPFとDKIMの認証結果に基づいて、認証に失敗したメールをどう扱うかを指定する仕組みです。またメール認証に関するレポートを受け取ることもできます。
DMARCはSPFとDKIMが設定されていることを前提とします。DMARCを設定することで、送信ドメイン詐称(ドメインのなりすまし)への対策が強化されます。
DMARCレコードの書き方
DMARCもDNSのTXTレコードとして設定します。ホスト名は_dmarc.ドメイン名です。
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.co.jp
p=はポリシーを指定します。
p=none:認証失敗しても何もしない(まずレポートだけ受け取りたい場合)p=quarantine:認証失敗したメールを迷惑メールに振り分けるp=reject:認証失敗したメールを拒否する
最初はp=noneでレポートを受け取り、正規メールが問題なく届いていることを確認してからquarantineやrejectに移行するのが安全です。
rua=はレポートの送付先メールアドレスです。省略することもできます。
設定の確認方法
設定後、認証が正しく機能しているかを確認します。
DNSのTXTレコードを確認する
設定したSPF・DKIM・DMARCのレコードが正しくDNSに反映されているかを確認します。digコマンドや、ブラウザ上で使えるDNS確認サービスを使って確認できます。
dig TXT example.co.jp # SPFレコードの確認
dig TXT _dmarc.example.co.jp # DMARCレコードの確認
メール認証チェックツールを使う
「Mail Tester(mail-tester.com)」などのサービスに向けてテストメールを送ると、SPF・DKIM・DMARCの設定状況と評点を確認できます。Gmailなどの受信トレイでも、メールの詳細情報からSPF・DKIMの認証結果を確認できます(受信メールの「詳細を表示」「元のメールを表示」から確認)。
よくある問題と対処
設定後に発生しやすいトラブルと、その確認・対処方法をまとめます。
設定したのに迷惑メールに分類される
SPFとDKIMを設定しても迷惑メールに分類される場合は、次の点を確認してください。
- SPFレコードに送信サーバーが含まれているか(外部の一括メール配信サービスを使っている場合はそのサービスのSPFドメインも追加する必要があります)
- DKIMの公開鍵がDNSに正しく反映されているか
- メールの内容にスパムと判定されやすいキーワードが含まれていないか
複数のSPFレコードが設定されている
1つのドメインに複数のSPFレコード(v=spf1が複数ある)が存在すると、正しく機能しません。複数の送信サーバーを許可したい場合は、1つのSPFレコードにinclude:を並べて記述します。
まとめ
SPF・DKIM・DMARCの3つのメール認証設定は、自社ドメインのメールが迷惑メールに分類されるリスクを下げ、なりすましメールの対策にもなります。
SPFはサーバーの許可リスト、DKIMは電子署名、DMARCはポリシーの定義という役割を担っています。レンタルサーバーやGoogle Workspaceのサポートページに具体的な設定値が掲載されているため、DNSに追加するだけで設定できます。設定後は認証チェックツールで動作を確認してください。