GmailやOutlook.comでは、1日5,000通以上を送信する「大量送信者」を中心にDMARC対応が実質的に必須となりました。この変更を受け、DMARCへの対応は多くの企業にとって避けて通れないテーマとなっています。しかし一方で、設定にはメール送信経路やDNS管理の把握が必要となるため、「どこから手を付けるべきか」「自社だけで進めて問題ないのか」と判断に迷うケースも多いようです。
本記事では、DMARCが求められる背景から、SPF・DKIMを含めた設定の全体像、具体的な進め方、そして自社対応と外部サービス活用の判断ポイントまでを、初心者にも分かりやすく解説します。
DMARC(Domain-based Message Authentication, Reporting and Conformance)とは、メール送信ドメインの認証技術です。自社ドメインを悪用したなりすましメールに対し、受信側がどう処理すべきかを指示できます。
主要メールサービスでの対応の必須化により、企業にとって避けて通れない課題となっています。
※DMARCの詳細な仕組みについては、以下の記事で詳しく解説しています。
DMARCとは?仕組み・導入メリット・設定ポイントまでやさしく解説
なりすましメールによる詐欺被害は年々深刻化しており、主要メールサービスは送信側への対策を求めるようになりました。
なりすましメールによる被害は、企業に深刻な影響をもたらします。取引先や顧客が詐欺メールの被害に遭うことで自社への信頼が損なわれ、一度失った信頼を回復するには長い時間とコストがかかります。
また、請求書詐欺や送金指示メールなどのビジネスメール詐欺(BEC)では、1件あたり数百万円から数千万円の被害が発生することもあります。さらに、自社ドメインを悪用されることで正規メールまで迷惑メール扱いされ、見積書や契約書などの重要なメールが取引先に届かなくなる恐れがあります。
Googleは2024年2月から、Gmail宛に1日5,000通以上送信する送信者に対し、SPF・DKIM・DMARCの設定を必須化しました。Outlook含めほかのメールサービスも同様にDMARCを推奨する動きを見せています。
要件を満たさない場合、メールが迷惑メールフォルダに振り分けられるか、配信が拒否される可能性があります。
参考:
Google|メール送信者のガイドライン(参照2025年11月26日)
Microsoft Community Hub|電子メールエコシステムの強化: Outlook の大量送信者向け新要件(参照2025年11月26日)
DMARCを設定することで、企業は以下のようなメリットが得られます。
企業はDMARCを設定することで、自社ドメインを装ったなりすましメールに対し、受信側で拒否または隔離を指示できます。
たとえば、フィッシングサイトへの誘導や、マルウェアを添付した不正なメールが自社ドメインになりすまして送信された場合でも、DMARCがあれば非正規メールとして識別され、受信側でブロックされます。これによって、安全性の高いメールを送信する企業として、ブランドイメージの維持、信頼性の向上につながります。
DMARCの設定により、正規のメールが適切に認証され、迷惑メールとして扱われにくくなります。
特にGmailやOutlookなどの主要メールサービスでは、SPF・DKIM・DMARCを含む送信ドメイン認証の有無が、配信成功率に大きく影響します。
SPF・DKIM・DMARCについては2章で説明しています。
DMARCは認証結果をレポート形式で送信者に返します。たとえば、海外の不審なIPアドレスから大量のメールが送信されている、特定の地域から認証失敗メールが頻発しているといった異常を検知できます。
不正利用の兆候を早期に把握し、情報漏えいや不正アクセスの調査・対処につなげることで、被害の拡大を防ぐことが可能です。
DMARC設定を行うには、まず全体像を理解することが重要です。ここでは必要な技術と進め方を紹介します。
DMARC設定は、SPF、DKIM、DMARCという3つの認証技術が連携して機能します。
| 技術名 | 確認内容 | 認証方法 | DMARC との関係 |
|---|---|---|---|
| SPF | 送信元サーバーが正規か | DNSに登録されたIPアドレスと照合 | DMARC判定の要素のひとつ |
| DKIM | メールが改ざんされていないか | 電子署名で内容の真正性を検証 | DMARC判定の要素のひとつ |
| DMARC | SPF/DKIMの認証結果が適切か | 認証結果を確認しポリシーを適用 | SPF/DKIMの結果に基づいて指示内容を判断 |
DMARCはSPFまたはDKIMのいずれかが認証に成功することを前提としています。
【認証の流れ】
この仕組みにより、正規のメールサーバーから送信されたメールのみが認証され、なりすましメールは拒否されます。
DMARCの設定・運用は以下の5ステップで進めます。
自社のメール送信経路とDNS管理状況を把握します。どこからメールを送信しているか(社内サーバー、Google Workspace、メール配信サービスなど)をリストアップし、DNS管理の権限があるかを確認します。
この段階で送信経路の全体像を正確に把握することが、後のトラブルを防ぐために重要です。
すべての送信元に対して、SPFレコード(送信元IPアドレスの登録)とDKIMレコード(電子署名の設定)を完了させます。設定後は必ずテストメールを送信し、認証が正常に機能しているかを確認しましょう。
DMARCレコード(v=DMARC1; p=none; rua=...)を作成し、DNSのTXTレコード(ドメイン設定情報)として登録します。
この段階では必ずp=none(監視モード)から開始し、レポート受信用のメールアドレスを指定します。p=noneは認証失敗でも配信を妨げず、レポートのみを送信する設定です。
p=noneでおおよそ2〜4週間運用し、DMARCレポートを収集・分析します。この期間中はすべてのメールが通常どおり配信されますが、認証結果がレポートとして送られてきます。レポートから認証成功率、不審な送信元の有無、正規メールの配信状況を確認し、問題があれば設定を見直します。
テスト運用で問題がないことを確認したら、p=quarantine(隔離)またはp=reject(拒否)へ段階的に移行します。たとえば認証成功率が95%以上といった自社で決めた基準を一定期間維持し、正規メールに影響がないことを確認してから、次の段階へ進むことが重要です。
各ステップを丁寧に進めることで、正規メールを遮断するリスクを最小限に抑えられます。
DMARCには3つのポリシーレベルがあります。
いきなり厳格なポリシーを設定すると、設定ミスや認証漏れがあった場合に正規メールまで拒否されてしまいます。まずはp=noneで開始し、レポートを分析して問題がないことを確認してから段階的に強化していきましょう。
ここまで説明してきたDMARC設定は、DNS管理の権限、メール送信経路の正確な把握、レポート分析のスキルなど、専門的な知識と体制が求められる作業です。
次の章では、自社で対応する場合の確認事項と、外部サービスを活用する選択肢について説明します。
DMARC設定は自社で対応することも、外部の専門サービスを活用することも可能です。自社の状況に適した選択肢を検討しましょう。
自社でDMARC設定を進める場合、以下の点を事前に確認する必要があります。
シャドーIT(企業が把握・許可していないデバイスや外部サービス)が存在する場合、管理者が把握していないメール配信サービスが社内で使用されている可能性があるため、注意が必要です。
これらに不安がある場合は、外部サポートの活用を検討することをおすすめします。特に、メール送信経路が複雑な企業や、大量のメールを送信する企業では、専門家のサポートを受けることでスムーズな導入が可能になります。
DMARC設定や運用をサポートするサービスには、以下のようなものがあります。
初期設定を専門家に依頼できます。複雑なメール送信経路を持つ企業や、初めてDMARC設定に取り組む企業に適しています。
DMARCレポート分析(可視化)サービスは、受信側から届くDMARC集計レポート(XML)をサービス側で代行受信し、自動で集計・可視化するSaaSです。どの送信元が認証に失敗しているか、不審な送信が混ざっていないかをダッシュボードやアラートで把握でき、段階的なポリシー強化(none→quarantine→reject)を進めやすくなります。
選定時は、以下のポイントを確認しましょう。
無料トライアルやデモを提供しているサービスも多いので、実際に試してから判断することをおすすめします。
DMARC設定でよく見られる失敗パターンと、具体的な回避策を紹介します。
いきなりp=quarantine(隔離)やp=reject(拒否)を設定することで発生する、最も深刻な失敗パターンです。重要なビジネスメールが届かなくなり、取引機会の損失や顧客対応の遅延につながります。
対策として、必ずp=none(監視モード)から開始し、十分なテスト期間(最低2〜4週間)を設けましょう。すべての送信経路を確認してから、段階的にポリシーを強化するのがおすすめです。
レポートを受信しても放置してしまい、不正利用や設定ミスを見逃すケースです。DMARCレポートはXML形式のため、そのまま読むのが難しく、分析が後回しになりがちです。
これには、定期的な確認体制を構築し、月に1回は必ずレポートを分析するのが有効です。DMARCレポート分析(可視化)サービスを活用すれば、自動分析で負担を軽減できます。
p=none(監視モード)のまま運用を続けてしまい、DMARCの本来の効果(なりすましメールの拒否)を得られないケースです。テスト運用の目的を見失い、ポリシー強化を先延ばしにしてしまうことが原因です。
対策として、テスト運用開始時に、明確なスケジュールと移行基準を設定するのがおすすめです。たとえば「認証成功率が自社で決めた基準(例:95%)以上を2週間維持したらp=quarantine(隔離)へ移行」というように、具体的な判断基準を事前に決めておきます。また、メール送信経路を変更した際は、必ずDMARC設定を見直しましょう。
DMARC設定は「設定して終わり」ではありません。継続的なレポート分析とポリシー改善が重要です。
DMARCレポートでは、以下の3つの指標を定期的に確認することが大切です。
全送信メールのうち、SPFまたはDKIM認証に成功した割合を確認します。
たとえば「95%以上」といった自社基準を設けて運用し、その基準を安定して上回っていればポリシー強化を検討できます。基準に届かない場合は、どの送信元で失敗しているかを特定し、SPF/DKIM設定を見直す必要があります。
レポートには送信元のIPアドレスが記載されており、不審な送信元を見つける手がかりになります。以下のような兆候がないかをチェックしましょう。
不正利用の疑いがある場合は、すぐにセキュリティチームに報告し、調査を行いましょう。
自社の正規サービスから送信されるメールが、正しく認証されているかを確認します。
メール配信ツールやマーケティングオートメーション(MA)ツール、CRMなどのクラウドサービスは、設定変更により送信元IPアドレスが変わることがあります。そのため、これらのツールからの通知メールについては、定期的に認証状況を確認しておくことが重要です。
まずはp=none(監視モード)で2〜4週間ほど運用し、認証成功率が自社で定めた基準を安定して上回っていることを確認します。確認が取れたら、p=quarantine(隔離)へ移行します。
さらに2〜4週間、p=quarantine(隔離)での運用を継続し、問題がないことを確認した上で、p=reject(拒否)へ強化します。
以下のようなシステム変更や運用変更があった場合は、必ずSPF/DKIMの再設定を行いましょう。
また、四半期に一度はDMARCの設定全体を見直すことをおすすめします。
DMARC設定は、なりすましメール被害から自社ドメインを守り、メール配信の信頼性を高めるための重要な対策です。2024年以降、GmailやOutlookでの必須化により、多くの企業にとって避けて通れない課題となっています。
重要なのは、段階的に進めることと、継続的にレポートを分析することです。いきなり厳格なポリシーを設定せず、p=none(監視モード)から始めて着実にステップアップすることで、正規メールを守りながら安全にDMARC運用を実現できます。
三菱HCキャピタルITパートナーズ株式会社では、PCLCM(PCライフサイクルマネジメント)サービスだけでなく、DMARC運用も含めた企業のエンドポイントセキュリティ対策についてもサポートしています。
セキュリティ対策を含むIT運用全般にお悩みの場合は、ぜひご相談ください。
