T
email-authentication spf dkim dmarc security dns

メール認証完全ガイド:SPF、DKIM、DMARC の仕組みと設定

SPF、DKIM、DMARC に関する完全ガイドで、メール認証技术をマスターしましょう。なりすまし防止、到达率の向上、送信者レピュテーションの構築方法を解説します。

2026-04-12

メール認証完全ガイド:SPF、DKIM、DMARC の仕組みと設定

メール認証は、現代のメールセキュリティの要です。認証が設定されていないと、メールはなりすまし(スプーフィング)の危険にさらされ、送信者のレピュテーション(信頼性)が低下し、正当なメッセージが迷惑メールとして処理される原因になります。本ガイドでは、メール認証の 3 つの柱である SPF、DKIM、DMARC について詳しく解説します。

メール認証とは?

メール認証とは、メールメッセージが実際に自称する送信者から送られたものであることを確認するための技術的枠組みです。インターネットの初期に登場した簡易メール転送プロトコル (SMTP) には検証機能が組み込まれていなかったため、誰でも他人のふりをしてメールを送ることが容易でした。

現在、この問題を解決するために主に 3 つのプロトコルが使用されています。

  • SPF (Sender Policy Framework): 送信を許可された IP アドレスとドメインのリスト。
  • DKIM (DomainKeys Identified Mail): メッセージが改ざんされていないことを保証する電子署名。
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPF または DKIM が失敗した場合に受信サーバーがどのように対処すべきかを指定するポリシー。

仕組みと連携

1. SPF (Sender Policy Framework)

SPF は、ドメインに代わってメールを送信することを許可されたすべての IP アドレスとドメインをリストした DNS レコードです。

仕組み:

  1. 送信者がメールを送信します。
  2. 受信サーバーは、送信元ドメインの DNS で SPF レコードを照会します。
  3. 送信者の IP アドレスが SPF レコードに含まれていれば、検証は成功(パス)します。

SPF 構文例: v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all

  • v=spf1: バージョン識別子。
  • ip4:192.168.0.1: 特定の IP を許可。
  • include:_spf.google.com: Google のメールサーバーを許可。
  • ~all: 「ソフトフェイル」(未許可の場合、迷惑メールとしてマーク)。-all は「ハードフェイル」(拒否)。

2. DKIM (DomainKeys Identified Mail)

DKIM はメールヘッダーに暗号化署名を追加し、DNS に保存された公開鍵を使用して受信者が検証します。

仕組み:

  1. 送信サーバーが秘密鍵でメールに署名します。
  2. 受信サーバーは DNS TXT レコード経由で公開鍵を取得します。
  3. サーバーが署名を検証します。一致すれば、メールは本物であり、改ざんされていないことが証明されます。

3. DMARC (Domain-based Message Authentication)

DMARC は SPF と DKIM を統合します。認証に失敗したメールに対して、ポリシー(none、quarantine、または reject)を指定できます。

DMARC ポリシー例: v=DMARC1; p=quarantine; rua=mailto:[email protected]

  • p=quarantine: 失敗したメールを迷惑メールフォルダに移動。
  • p=reject: 失敗したメールを完全にブロック。
  • rua: 集計レポートの送信先。

実際の活用シーン

レコードの設定

多くの組織では、DNS 用の正しい構文を作成するために DKIM レコード生成器SPF レコード生成器 を使用する必要があります。

SaaS 企業の例: Google Workspace と SendGrid を使用している場合、SPF レコードは以下のようになります。 v=spf1 include:_spf.google.com include:sendgrid.net ~all

検証とチェック

設定後、DKIM 検証器DMARC アナライザー を使用して、レコードが正しく伝播し機能していることを確認します。メールサーバーの設定を確認するために MX レコード検索 も不可欠です。

技術比較:SPF vs. DKIM vs. DMARC

特徴 SPF DKIM DMARC
主な目的 送信元 IP の検証 メッセージ完全性の検証 ポリシー設定とレポート
DNS レコード TXT TXT (セレクタベース) TXT (_dmarc)
主な長所 設定が簡単 転送時の問題に強い 可視化と制御を提供
弱点 メール転送で失敗しやすい 送信者IDを単独で検証不可 SPF/DKIM 両方の活用がベスト

よくある質問 FAQ:エラーと解決策

Q: 「SPF syntax error」が出るのはなぜですか?

A: 通常、1 つのドメインに複数の SPF レコードが存在する場合に発生します。ドメインごとに 1 つだけ SPF レコードを持つ必要があります。複数のサービスを許可する必要がある場合は、include: メカニズムを使用して 1 つのレコードに統合してください。

Q: 「DKIM validation failed」となった原因は何ですか?

A: 主な原因は以下の通りです。

  1. DNS キャッシュ: 反映まで最大 24 時間かかる場合があります。
  2. セレクタの誤り: DNS レコードのセレクタが、メールサービスの設定と一致しているか確認してください。
  3. コピペミス: DKIM キーは長いため、スペースや文字の欠落がないか確認してください。

Q: DMARC ポリシービルダーを効果的に使うには?

A: まずは p=none から開始し、DMARC アナライザー でレポートを監視します。すべての正当なメール送信源が認証されていることを確認できたら、p=quarantine、最終的に p=reject へ移行します。

関連ツール

  • SPF レコード生成器: SPF TXT レコードを簡単に作成。
  • DKIM 検証器: DKIM 署名が有効かどうかを確認。
  • DMARC アナライザー: メール認証ステータスを監視(近日公開予定!)。
  • MX レコード検索: ドメインのメール交換設定を確認。
ブログに戻る