SPF・DKIM・DMARCの設定方法を完全解説|BtoBメール到達率を高める認証設定手順
メール配信の到達率が思うように上がらない、あるいは正常に送信しているはずのメールが受信先の迷惑メールフォルダに振り分けられてしまう——こうした問題を抱えるBtoB企業は少なくありません。その背景には、送信ドメイン認証の設定が不十分であるケースが多く見られます。Googleが2024年2月に大規模送信者向けのメール認証要件を強化したことを機に、SPF・DKIM・DMARCの設定はもはや任意の対応ではなく、メール配信インフラの基本要件として位置づけられています。
SPF(Sender Policy Framework)・DKIM(DomainKeys Identified Mail)・DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、いずれも「送信元ドメインの正当性」を受信サーバーに証明するための仕組みです。それぞれが異なる役割を持っており、3つを組み合わせて設定することで、なりすましや改ざんへの対策と到達率の向上を同時に実現できます。ただし、設定の手順や各レコードの記述方法を誤ると、むしろ正規のメールが拒否される原因になることもあるため、正確な理解が求められます。
本記事では、SPF・DKIM・DMARCそれぞれの仕組みと役割の整理から始め、DNSレコードへの具体的な設定手順、複数の送信サービスを利用している環境での注意点、そしてDMARCポリシーの段階的な適用方法までを順を追って解説します。設定の全体像を把握したうえで、自社ドメインへの適用を検討している担当者の方に向けた内容です。
メール到達率の改善をSPF・DKIM・DMARC設定からMA活用まで包括的に解説した記事もあわせてご覧ください。
あわせて読みたいBtoBメール到達率を改善する方法|SPF・DKIM・DMARC設定からMA活用までなぜ今、メール認証設定が急務になっているのか
Googleの送信者ガイドライン強化で何が変わったか
2024年2月、GoogleとYahoo!(米国)はメール送信者向けのガイドラインを大幅に強化しました。この変更により、1日あたり5,000件以上のメールを送信するドメインに対して、SPF・DKIM・DMARCの三つの認証設定が必須となっています。
要件を満たさないドメインから送信されたメールは、迷惑メールフォルダへの振り分け、または受信そのものの拒否という扱いを受けるケースが増えています。以前は「設定しておくと望ましい」とされていた認証設定が、今や「設定していなければ届かない」実態へと変化しました。
具体的には、以下の三点が新たな要件として明示されています。
- 送信ドメインにSPF(Sender Policy Framework)またはDKIM(DomainKeys Identified Mail)を設定すること
- 送信ドメインにDMARC(Domain-based Message Authentication, Reporting and Conformance)レコードを設定すること
- メールのスパム率をGoogle Postmaster Toolsで0.10%未満に維持すること
BtoBの営業・マーケメールが迷惑メール扱いになる背景
複数ツール運用時の到達率低下を自動解決MAツール・一括配信サービス混在時の認証設定ミスを防ぎ、メール到達率を一元管理。詳しく見るBtoBの現場では、営業担当者が個別に送る商談メール、MAツール(マーケティングオートメーション)経由のリード育成メール、展示会後のフォローアップメールなど、複数の配信経路が混在していることが少なくありません。
この複合的な運用環境が、認証設定の抜け漏れを生みやすい構造となっています。たとえば、MAツールや外部の一括配信サービスを導入した際に、そのツール専用の送信サーバーがSPFレコードに追加されていないケースがあります。また、新たにサブドメインを切ってメール配信を行う場合、サブドメイン側のDMARCレコードが未設定のままになっているケースも見受けられます。
こうした設定漏れは、メール到達率の低下という形で営業・マーケティング活動の成果に直結します。送信しても届いていないメールは、開封率や返信率の統計にすら現れないため、問題が表面化しにくいことも課題です。
本記事で解説する内容の全体像
本記事では、SPF・DKIM・DMARCそれぞれの役割と相互関係の整理から始め、DNSへの具体的な設定手順、BtoB特有の複数ツール・サブドメイン運用での落とし穴、設定後の確認・監視フローまでを順を追って解説します。
認証設定はメール到達率を高めるための技術的な基盤であり、一度正しく整備すれば営業・マーケティング活動全体の信頼性向上につながります。自社ドメインへの適用を検討している担当者が、設定の優先順位と実施手順を判断できる状態を目指して構成しています。
なぜ今、メール認証設定が急務になっているのか
Googleの送信者ガイドライン強化で何が変わったか
2024年2月、GoogleとYahoo!(米国)は相次いでメール送信者向けのガイドラインを強化しました。この変更により、1日あたり5,000件以上のメールを送信する送信者に対して、SPF・DKIM・DMARCの設定が必須要件として明確に位置づけられました。
設定が不十分なドメインから送信されたメールは、Gmailや米Yahoo!の受信ボックスに届かず、迷惑メールフォルダへの振り分けや受信拒否の対象となります。これはガイドラインという名目ながら、実態としては技術的な受信制御として機能しています。
見逃せないのは、5,000件という閾値です。BtoB企業がMAツール(マーケティングオートメーションツール)でリード育成メールを送ったり、営業チームが一斉配信ツールを使ったりするケースでは、この件数に到達するケースが少なくありません。
BtoBの営業・マーケメールが迷惑メール扱いになる背景
BtoBのメール配信では、送信ドメインの管理が複雑になりやすい構造があります。たとえば、MAツール・メール配信サービス・社内の業務システムなど、複数の経路からメールを送信している企業では、それぞれの送信元に対してSPFレコードの設定が揃っていないことがあります。
こうした設定の不備は、受信側のメールサーバーから「なりすましの可能性がある送信元」と判断される原因になります。DMARCレコードが設定されていない場合、送信元ドメインの正当性を受信側が確認できず、メール到達率の低下につながります。
実際に問題が顕在化しやすいのは、次のような場面です。
- 商談後のフォローアップメールが相手の迷惑メールフォルダに入り、返信が来ない
- MAツールで配信した育成メールの開封率が突然低下する
- 新規開拓の一斉送信メールが配信エラーとして返ってくる
これらは「メッセージの内容が悪い」のではなく、送信ドメインの認証設定に起因する到達率の問題である可能性が高いです。
本記事で解説する内容の全体像
本記事では、SPF・DKIM・DMARCそれぞれの役割と相互関係の整理から始め、DNSへの具体的な設定手順、BtoB特有の運用リスクへの対処法、設定後の確認・監視フローまでを順を追って解説します。認証設定に不安を感じているマーケティング担当者や情報システム担当者が、自社ドメインへの適用を判断・実行できる粒度を意識しています。
SPF・DKIM・DMARCの役割と関係性 — 設定前に押さえておく基礎
SPF・DKIM・DMARCはそれぞれ異なる役割を持つメール認証技術です。3つをセットで設定することで初めてなりすましや改ざんへの対策が機能しますが、まずは各技術が何を担保しているのかを整理しておきましょう。
SPF(Sender Policy Framework)— 送信元サーバーの正当性を証明する仕組み
SPFは「このドメインから送信できるサーバーのIPアドレスはどれか」をDNSに登録し、受信サーバーが送信元IPと照合する仕組みです。たとえば、自社ドメインを装った第三者のサーバーからメールが送られた場合、SPFの照合で不正を検出できます。
ただし、SPFには重要な限界があります。SPFが検証するのは「エンベロープFrom(送信経路上の差出人情報)」であり、メーラーに表示される「ヘッダーFrom」ではありません。そのため、SPFだけでは巧妙ななりすましを完全には防げないケースが少なくありません。
DKIM(DomainKeys Identified Mail)— 電子署名でメール内容の改ざんを防ぐ仕組み
DKIMは送信時にメールへ電子署名を付与し、受信サーバーがDNSに登録された公開鍵で署名を検証する仕組みです。送信後にメール本文やヘッダーが改ざんされた場合、署名の検証が失敗するため改ざんを検知できます。
SPFが「送信元サーバーの正当性」を問うのに対し、DKIMは「メールそのものの完全性」を担保するものです。両者はアプローチが異なるため、どちらか一方だけでは認証の網羅性に欠けます。
DMARC(Domain-based Message Authentication, Reporting & Conformance)— SPF・DKIMの結果を束ねてポリシーを定義する仕組み
DMARCはSPFとDKIMの認証結果を統合し、認証失敗時の処理方針(ポリシー)をドメイン所有者が定義できる仕組みです。ポリシーは「none(監視のみ)」「quarantine(隔離)」「reject(拒否)」の3段階から選べます。
さらにDMARCには、認証の失敗状況をレポートとして受け取れる機能があります。このレポートを活用することで、不正な送信元の把握や設定漏れの早期発見が可能になります。
3つの認証が連携する流れ — 受信サーバー側での処理順序
受信サーバーは以下の順序でメール認証を処理します。
- 送信元IPアドレスとDNSのSPFレコードを照合し、SPF認証の合否を判定する
- メールに付与されたDKIM署名をDNSの公開鍵で検証し、改ざんの有無を確認する
- DMARCレコードを参照し、SPF・DKIMの結果とヘッダーFromのドメインが一致しているかを確認したうえで、ポリシーに従って処理を決定する
DMARCの判定では、SPFまたはDKIMのどちらか一方でも「認証成功かつヘッダーFromとのドメイン一致(アライメント)」が確認できれば、DMARCをパスします。つまり、SPF・DKIM・DMARCの3つが正しく設定されていることが、受信サーバーに正当な送信者として認識されるための前提条件となります。
SPF・DKIM・DMARCの役割と関係性 — 設定前に押さえておく基礎
SPF・DKIM・DMARCの設定方法を正しく理解するには、まず3つがそれぞれ「何を守っているのか」を区別しておく必要があります。役割が異なる3つの技術が連携して初めて、メール認証は機能します。
SPF(Sender Policy Framework)— 送信元サーバーの正当性を証明する仕組み
SPFは、「このドメインからメールを送信してよいIPアドレスはどれか」をDNSに登録しておく仕組みです。受信サーバーはメール受信時にDNSのSPFレコードを参照し、送信元のIPアドレスが許可リストに含まれているかを確認します。
ただし、SPFが検証するのはあくまでも「送信サーバーのIPアドレス」です。メール本文や件名の内容が途中で改ざんされても、SPFは検知できません。また、メールが転送された場合、送信元IPが変わるためSPF認証が失敗するケースも少なくありません。SPFだけでは不十分な理由は、ここにあります。
DKIM(DomainKeys Identified Mail)— 電子署名でメール内容の改ざんを防ぐ仕組み
DKIMは、送信時にメールのヘッダーや本文に電子署名を付与し、受信側がその署名を検証することで「送信後に内容が改ざんされていないか」を確認する仕組みです。署名の検証には、DNSに公開されている公開鍵を使用します。
DKIMは転送経由のメールでも署名が保持されるため、SPFが苦手とする転送シナリオを補完できます。ただし、DKIMは「なりすましメールを拒否する」ポリシーを持ちません。あくまでも改ざんの有無を検知する役割にとどまります。
DMARC(Domain-based Message Authentication, Reporting & Conformance)— SPF・DKIMの結果を束ねてポリシーを定義する仕組み
DMARCは、SPFとDKIMの認証結果を受け取り、「どちらかが失敗した場合に受信サーバーがどう処理するか」をポリシーとして定義する仕組みです。ポリシーはnone(監視のみ)・quarantine(隔離)・reject(拒否)の3段階で設定できます。
さらにDMARCは、認証失敗の詳細をレポートとして受け取る機能も持っています。どのIPからなりすましが試みられているかを把握できるため、継続的な監視にも活用できます。
3つの認証が連携する流れ — 受信サーバー側での処理順序
受信サーバーは、メールを受け取ると次の順序で認証を処理します。
- SPFチェック:送信元IPアドレスがDNSのSPFレコードに含まれているかを検証する
- DKIMチェック:メールに付与された電子署名をDNSの公開鍵で検証し、改ざんがないかを確認する
- DMARCチェック:SPF・DKIMの結果とDMARCポリシーを照合し、メールを通過・隔離・拒否のいずれかに振り分ける
SPFとDKIMのどちらか一方が通過していても、DMARCポリシーがrejectに設定されていれば、もう一方が失敗した際にメールを拒否できます。3つをセットで設定する必然性は、この連携の仕組みにあります。SPFだけ、あるいはDKIMだけの設定では、ポリシー制御とレポーティングの機能が欠落し、なりすましへの対応が不完全なまま残ってしまいます。
SPFレコードの設定方法 — DNSへの追加手順と書き方
SPFレコードの基本構文と各フィールドの意味
SPF(Sender Policy Framework)レコードは、DNS(Domain Name System)にTXTレコードとして登録します。基本的な構文は以下のとおりです。
v=spf1 include:_spf.example.com ip4:203.0.113.1 ~all
各フィールドの意味は次のとおりです。
- v=spf1:SPFバージョンの宣言。必ず先頭に記述します。
- include::指定したドメインのSPFレコードを参照します。外部の配信サービスを使う場合に記述します。
- ip4: / ip6::送信を許可するIPアドレスを直接指定します。自社メールサーバーのIPが固定されている場合に有効です。
- ~all:上記に一致しない送信元はソフトフェイル(疑わしいが拒否はしない)として扱います。より厳格にする場合は -all(ハードフェイル)を使います。
TXTレコードの「名前(ホスト名)」欄には、認証したいドメイン自体(例:@ または example.com)を指定します。TTLは3600(1時間)が一般的です。
Google Workspace・Microsoft 365を使っている場合の記述例
代表的なメールサービスを利用している場合の記述例を示します。
- Google Workspaceのみ使用する場合
v=spf1 include:_spf.google.com ~all - Microsoft 365のみ使用する場合
v=spf1 include:spf.protection.outlook.com ~all - 両方を併用する場合
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all
DNSの管理画面(例:AWS Route 53、お名前.com、CloudFlareなど)でTXTレコードを新規追加し、上記の値を貼り付けるだけで設定が完了します。既存のSPFレコードがある場合は、新しいレコードを追加するのではなく、既存のレコードを編集してinclude句を追記してください。1つのドメインに対してSPFレコードは1件のみ有効です。
複数の配信サービスを使う場合の注意点 — DNSルックアップ上限の罠
BtoBマーケティングではGoogle WorkspaceやMicrosoft 365に加え、MAツール(Marketo、HubSpot、Salesforce Marketing Cloudなど)や独自の一斉配信ツールを組み合わせているケースが少なくありません。この場合、includeの数が増えるにつれてDNSルックアップ回数が増加します。
SPFの仕様(RFC 7208)では、DNSルックアップの上限は10回と定められています。includeを1つ追加するたびにルックアップが発生し、参照先のSPFレコードがさらに別のincludeを持っていれば、そこでも加算されます。10回を超えた場合、受信サーバーはSPFの評価を「permerror(永続的エラー)」として処理し、認証が失敗します。
上限を超えないための対策として、以下が有効です。
- 不要なincludeを削除する:使っていない古いサービスのinclude指定が残っているケースがあります。棚卸しを定期的に行いましょう。
- IPアドレスをip4/ip6で直書きする:自社管理のメールサーバーはIPを直接指定することでルックアップを節約できます。
- SPFフラット化ツールを利用する:includeチェーンを解決して単一のIPリストに変換する「SPFフラット化」サービスを使うと、ルックアップ数を抑制できます。
設定後の確認方法 — dig・nslookupコマンドとオンラインツール
設定が反映されたかどうかは、以下の方法で確認できます。
コマンドラインで確認する場合(Linux / macOS)
dig TXT example.com +short
出力結果の中に “v=spf1 …” の文字列が含まれていれば、SPFレコードが正しく登録されています。Windowsではnslookup -type=TXT example.comで同様の確認が可能です。
オンラインツールで確認する場合
- MXToolbox(mxtoolbox.com):SPFレコードの構文チェックとルックアップ回数のカウントが可能です。
- Google Admin Toolbox(toolbox.googleapps.com):Google Workspaceを使っている場合、UIが直感的で扱いやすいです。
DNSの変更はTTLの設定によって反映に数分〜数時間かかる場合があります。設定直後に確認できない場合は、TTLの時間が経過してから再度確認してください。
SPFレコードの設定方法 — DNSへの追加手順と書き方
SPFレコードの基本構文と各フィールドの意味
SPF(Sender Policy Framework)レコードは、DNS(Domain Name System)にTXTレコードとして追加します。基本的な構文は以下のとおりです。
v=spf1 include:example.com ip4:203.0.113.0/24 ~all
各フィールドの意味は次のとおりです。
- v=spf1:SPFのバージョンを示す宣言。必ず先頭に記述します。
- include:example.com:外部サービスのSPFレコードを参照する指定。メール配信サービスが公開しているドメインを指定します。
- ip4:203.0.113.0/24:送信を許可するIPアドレスを直接指定する場合に使います。自社のメールサーバーIPが固定されている場合に有効です。
- ~all:リストに含まれない送信元を「ソフトフェイル」として扱う指定。より厳格にする場合は -all(ハードフェイル)を使いますが、正規メールの誤検知リスクを考慮して段階的に適用することをお勧めします。
Google Workspace・Microsoft 365を使っている場合の記述例
BtoB企業でよく使われるメール基盤のSPF設定例を示します。
- Google Workspace のみ利用する場合:
v=spf1 include:_spf.google.com ~all - Microsoft 365(Exchange Online)のみ利用する場合:
v=spf1 include:spf.protection.outlook.com ~all - 両方を併用する場合:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all
DNSの管理画面(お名前.com・AWS Route 53・Cloudflareなど)でTXTレコードを新規追加し、ホスト名を @ または空欄(ルートドメインを意味します)に設定したうえで、上記の値を貼り付けます。TTL(Time To Live)は3600秒(1時間)程度が一般的です。
複数の配信サービスを使う場合の注意点 — DNSルックアップ上限の罠
MAツール・CRMのメール機能・自社メールサーバーなど、複数のサービスからメールを送信している場合は、include: の指定が増えていきます。ここで注意が必要なのが、DNSルックアップの上限(10回)というRFC上の制限です。
include: を指定するたびに、受信サーバーは参照先のSPFレコードをさらに再帰的に参照します。この参照回数の合計が10回を超えると、SPF認証は自動的に「permerror(永続的エラー)」となり、認証失敗と同等の扱いになります。
例えば、以下のような構成はルックアップ数が膨らみやすいため注意が必要です。
- Google Workspace
- Microsoft 365
- HubSpot(またはSalesforce Marketing Cloud)
- SendGrid
- 自社オンプレサーバー(ip4指定)
この場合、SPFレコードのフラット化(Flattening)という手法が有効です。各サービスのinclude:先を実際のIPアドレスに展開し、ip4:指定に置き換えることでルックアップ数を削減できます。ただし、配信サービス側がIPを変更した場合に追従が必要になるため、定期的な見直しが求められます。
設定後の確認方法 — dig・nslookupコマンドとオンラインツール
SPFレコードを追加したら、設定が正しく反映されているかを確認します。TTLの時間が経過してからチェックするのが確実です。
コマンドラインで確認する場合は以下を使います。
- dig コマンド(Linux / Mac):
dig TXT yourdomain.com +short - nslookup コマンド(Windows):
nslookup -type=TXT yourdomain.com
出力結果に v=spf1 から始まるレコードが表示されれば、DNS上への登録は完了しています。
オンラインツールを使う場合は、MXToolbox(mxtoolbox.com) や Google Admin Toolbox(toolbox.googleapps.com) が確認に適しています。これらのツールでは、ルックアップ回数の超過や構文エラーも自動で検出してくれるため、複数サービスを併用している環境での検証に特に役立ちます。
DKIMレコードの設定方法 — 鍵の生成からDNS登録まで
DKIMの設定は、大きく「鍵ペアの生成」「送信サービスへの秘密鍵の登録」「DNSへの公開鍵レコードの追加」という3つのステップで完結します。Google WorkspaceやMAツールなど多くのサービスは鍵の自動生成機能を備えているため、自前で鍵を生成するケースは少なくなっています。ここでは各ステップを順に説明します。
DKIMレコードの基本構文 — セレクターと公開鍵の役割
DKIMのDNSレコードはTXTレコードとして登録します。レコード名の形式は以下のとおりです。
セレクター名._domainkey.example.com
「セレクター(s=)」とは、同一ドメインで複数のDKIM鍵を使い分けるための識別子です。たとえばGoogle WorkspaceとMAツールを並行して使う場合、それぞれ異なるセレクター名を割り当てることで、受信サーバーがどの公開鍵で署名を検証すればよいかを正確に判断できます。セレクターが重複すると鍵の特定に失敗し、認証が通らなくなるため、サービスごとに一意の名前を設定することが重要です。
レコードの値には、鍵のタイプや公開鍵本体などを含むタグ形式の文字列を記述します。
- v=DKIM1:DKIMのバージョンを示す固定値
- k=rsa:鍵のアルゴリズム(RSAが一般的)
- p=(公開鍵の文字列):Base64エンコードされた公開鍵の本体
Google Workspaceの場合 — 管理コンソールからの設定手順
Google Workspaceは管理コンソール上でDKIM鍵を自動生成できます。手順は以下のとおりです。
- Google管理コンソール(admin.google.com)にログインします。
- 「アプリ」→「Google Workspace」→「Gmail」→「メールの認証」を開きます。
- 対象ドメインを選択し、「新しいレコードを生成」をクリックします。鍵のビット数は2048ビットを推奨します。
- 表示されたTXTレコード名(例:google._domainkey.example.com)と値を、ドメインのDNS管理画面に登録します。
- DNS反映後(通常数時間〜最大48時間)、管理コンソールに戻り「認証を開始」をクリックして有効化します。
DNSへの登録はドメインレジストラまたは利用しているDNSサービスの管理画面から行います。レコードタイプは「TXT」を選択してください。
MAツール・外部配信サービスを使う場合の設定手順
HubSpotやSalesforce Marketing Cloud、Marketo、SendGridなどのMAツールや外部配信サービスも、Google Workspaceと同様に管理画面上でDKIM鍵を自動生成する仕組みを持っています。基本的な流れは共通しています。
- 各サービスの管理画面で「ドメイン認証」または「送信ドメイン設定」に相当するメニューを開きます。
- 自社の送信ドメインを入力すると、サービス側が専用のセレクター名と公開鍵を含むTXTレコードを発行します。
- 発行されたTXTレコード名と値を、DNSに登録します。
- サービス管理画面で「確認」または「認証」ボタンを押し、DNS反映を検証します。
複数のサービスを同一ドメインで使用する場合、それぞれが異なるセレクター名を持つため、DNSには複数のTXTレコードが並ぶことになります。これは仕様上の問題ではなく、むしろ正常な状態です。
設定後の確認方法 — DKIMが正しく署名されているかを検証する
DKIM設定後は、実際に署名が機能しているかを確認することが不可欠です。確認には以下の方法が有効です。
- MXToolbox(mxtoolbox.com):セレクター名とドメインを入力するだけでDNSに登録されたDKIMレコードの内容を確認できます。
- Google管理者ツールボックス(toolbox.googleapps.com):Checkメールヘッダーツールを使い、実際に送受信したメールのヘッダーからDKIM署名の検証結果(pass/fail)を確認できます。
- Gmailの受信メールヘッダー:Gmailで受信したメールの「メッセージのソースを表示」からAuthentication-Resultsヘッダーを確認し、dkim=passと表示されているかを確認します。
dkim=passが確認できれば、鍵の生成からDNS登録・有効化までの設定が正しく完了しています。dkim=failが出る場合は、DNSのTXTレコードの値に改行や余分なスペースが混入していないかを再確認してください。
DKIMレコードの設定方法 — 鍵の生成からDNS登録まで
DKIMの設定は、大きく「鍵ペアの生成」「送信サービスへの秘密鍵の登録」「DNSへの公開鍵レコードの追加」の3ステップで完了します。利用するメール送信サービスによって手順は異なりますが、基本的な流れは共通しています。
DKIMレコードの基本構文 — セレクターと公開鍵の役割
DKIMレコードはDNSのTXTレコードとして登録します。レコード名の形式は以下のとおりです。
セレクター._domainkey.ドメイン名
たとえば、セレクターが「google」でドメインが「example.com」の場合、レコード名は google._domainkey.example.com となります。
セレクター(s=)とは、同一ドメインに複数のDKIM公開鍵を共存させるための識別子です。Google WorkspaceとMAツールをどちらも使っている場合、それぞれ異なるセレクターを割り当てることで、複数の鍵を同時に運用できます。送信サービスごとにセレクターを使い分けることで、鍵の管理や失効対応も個別に行えるようになります。
レコードの値には、少なくとも以下の要素が含まれます。
- v=DKIM1:バージョンを示す固定値
- k=rsa:暗号化方式(RSAが標準)
- p=(公開鍵文字列):Base64形式でエンコードされた公開鍵
Google Workspaceの場合 — 管理コンソールからの設定手順
Google Workspaceでは、秘密鍵・公開鍵のペア生成から公開鍵の表示まで、管理コンソール上で完結します。
- Google管理コンソール(admin.google.com)にログインする
- 「アプリ」→「Google Workspace」→「Gmail」→「メールの認証」を開く
- 対象ドメインを選択し、「新しいレコードを生成」をクリックする
- セレクター名(初期値は「google」)と鍵のビット長を確認し、「生成」を実行する
- 表示されたTXTレコード名と値を、ドメインのDNS管理画面に登録する
- DNS反映後(通常数分〜数時間)、管理コンソールの「DKIMの開始」ボタンをクリックして署名を有効化する
DNS登録の前にDKIMを有効化しようとしてもエラーになります。必ずDNS反映を確認してから有効化してください。
MAツール・外部配信サービスを使う場合の設定手順
Salesforce Marketing CloudやHubSpot、SendGridなどの外部配信サービスでも、設定の流れは基本的に同じです。
- 各サービスの管理画面でDKIM設定メニューを開く
- サービスが自動生成したセレクター名とTXTレコードの値を確認する
- 自社ドメインのDNS管理画面(例:お名前.com、Route 53など)にTXTレコードを追加する
- サービス管理画面に戻り、「確認」または「検証」ボタンでDNS登録を確認させる
複数のサービスを併用している場合は、サービスごとに異なるセレクターが割り当てられているかを確認してください。同じセレクターが重複すると、認証が正しく機能しない可能性があります。
設定後の確認方法 — DKIMが正しく署名されているかを検証する
設定後は、実際にメールが署名されているかを以下の方法で確認できます。
- Gmailのメールヘッダー確認:Gmailで受信したメールを開き「元のメールを表示」からヘッダーを確認する。「dkim=pass」の表示があれば署名が有効です。
- MXToolbox(mxtoolbox.com):「DKIM Lookup」にセレクターとドメインを入力することで、公開鍵レコードが正しく登録されているかを検索できます。
- Mail Tester(mail-tester.com):テスト用アドレスにメールを送信すると、DKIM・SPF・DMARCの認証状況をスコア形式でまとめて確認できます。
「dkim=fail」と表示される場合は、DNSレコードの値に誤りがあるか、送信サービス側で署名が有効化されていない可能性があります。各サービスの管理画面に戻り、署名の有効化状態を再確認してください。
DMARCレコードの設定方法 — ポリシーの段階的な適用手順
DMARCは、SPFとDKIMの認証結果を踏まえて「認証に失敗したメールをどう扱うか」をメール受信サーバーに指示する仕組みです。BtoB環境でのDMARC設定では、いきなり厳格なポリシーを適用すると正規のメールが届かなくなるリスクがあります。段階的に適用することが鉄則です。
DMARCレコードの基本構文と各タグの意味
DMARCレコードは、送信ドメインのDNSに TXTレコードとして登録します。ホスト名は _dmarc.yourdomain.com の形式で設定します。
基本的な構文の例は以下のとおりです。
- v=DMARC1:DMARCバージョンの宣言。必須タグです。
- p=none:ポリシーの指定。none / quarantine / reject の3種類があります。
- rua=mailto:dmarc-report@yourdomain.com:集計レポート(Aggregate Report)の送付先メールアドレスを指定します。
- pct=100:ポリシーを適用するメールの割合(%)。段階移行時に活用します。
- sp=none:サブドメインへのポリシー適用を個別に指定したい場合に使用します。
最小構成の例として、まず v=DMARC1; p=none; rua=mailto:dmarc-report@yourdomain.com のように登録するとよいでしょう。
ポリシー(none / quarantine / reject)の違いと選び方
3つのポリシーはそれぞれ受信サーバーへの指示内容が異なります。
- p=none:認証失敗のメールに対して何もしない。レポートの収集のみを目的とした観察モードです。設定初期に必ず使います。
- p=quarantine:認証失敗のメールを迷惑メールフォルダに振り分けるよう指示します。移行過程で使う中間ポリシーです。
- p=reject:認証失敗のメールを受信サーバーが完全に拒否します。なりすましメール対策として最も効果的な設定ですが、SPFとDKIMの設定が固まっていない状態で適用すると、正規メールが届かなくなります。
BtoB環境では、複数の営業支援ツール・MAツール・社内メールサーバーがメール送信に関わっているケースが少なくありません。すべての送信元がSPF・DKIMに対応しているかを確認してから、ポリシーを段階的に引き上げることが重要です。
段階的な適用ロードマップ — noneから始めてrejectに移行する手順
以下の順序で進めることで、業務メールへの影響を最小限に抑えながらDMARCを強化できます。
- Step 1(1〜4週間):p=none で監視開始
DMARCレコードを登録し、ruaタグでレポートを受信します。正規の送信元がSPF・DKIMを通過しているかを確認します。 - Step 2(2〜4週間):p=quarantine かつ pct=10〜25 で部分適用
pctタグで適用割合を絞りながら動作を確認します。迷惑メールフォルダへの誤振り分けがないかを監視します。 - Step 3:pct=100 に拡大してから p=reject に移行
quarantineで問題がなければ、まずpctを100にして全量に適用します。その後、p=rejectに切り替えます。
移行期間中は、新たな送信ツールを追加した際に必ずSPF・DKIMの対応状況を確認する運用ルールを設けておくとよいでしょう。
DMARCレポートの受信設定と主要な読み取りポイント
ruaタグに指定したアドレスには、受信サーバーから集計レポート(XMLファイル)が毎日送られてきます。レポートには以下の情報が含まれています。
- 送信元IPアドレス:メールを送信したサーバーのIPが一覧化されます。想定外のIPがあれば、不正利用や設定漏れを疑います。
- SPF・DKIM認証の結果(pass / fail):各送信元ごとに認証が通過しているかを確認できます。
- ポリシー適用結果:現在のポリシー設定に基づいて、受信サーバーがどう処理したかが記録されています。
XMLファイルは可読性が低いため、DMARC Analyzer や Postmark の DMARC Digests などの無償・有償ツールを使って可視化するのが現実的です。認証失敗率が高い送信元が見つかった場合は、そのIPに対応するツールのSPF・DKIM設定を見直す必要があります。
DMARCレコードの設定方法 — ポリシーの段階的な適用手順
DMARCは、SPFとDKIMの認証結果をもとに「なりすましメールをどう処理するか」をドメイン所有者が明示的に指定する仕組みです。DNS(ドメインネームシステム)にTXTレコードとして登録し、受信側のメールサーバーに対してポリシーを伝えます。BtoB環境でのメール認証設定を完結させるうえで、DMARCレコードの正しい設定と段階的な適用が最終ステップになります。
DMARCレコードの基本構文と各タグの意味
DMARCレコードは、_dmarc.example.com(自社ドメインの前に_dmarcを付けたホスト名)に対してTXTレコードとして登録します。基本的な構文は以下のとおりです。
v=DMARC1; p=none; rua=mailto:dmarc-report@example.com
各タグの意味は次のとおりです。
- v=DMARC1:DMARCバージョンを示す必須タグ。必ず先頭に記載します。
- p=:ポリシーの指定。none・quarantine・rejectの3種類から選びます(詳細は次の項目で解説)。
- rua=:集計レポートの送信先メールアドレスを指定します。認証結果の統計データが定期的に届きます。
- pct=:ポリシーを適用するメールの割合(%)を指定します。段階適用時に有効で、省略時は100%が適用されます。
- sp=:サブドメインに適用するポリシーを個別に設定できます。省略時は親ドメインのポリシーが引き継がれます。
ポリシー(none / quarantine / reject)の違いと選び方
DMARCのポリシーは、認証に失敗したメールをどう処理するかを決定します。3つのポリシーの違いは以下のとおりです。
- p=none:認証失敗のメールに対して何も処置しません。受信側の挙動は変わりませんが、レポートは収集できます。現状把握のためのモニタリングフェーズで使います。
- p=quarantine:認証失敗のメールを迷惑メールフォルダに振り分けるよう受信サーバーに指示します。完全にブロックはしないため、誤設定による影響が限定的です。
- p=reject:認証失敗のメールを受信サーバーレベルで拒否します。最も厳格なポリシーで、なりすまし対策として最大の効果を発揮します。ただし、SPF・DKIMの設定が不完全な状態で適用すると、正規のメールが届かなくなるリスクがあります。
BtoB環境では取引先へのメール到達が業務に直結するため、最初からrejectを適用するのは避けるべきです。
段階的な適用ロードマップ — noneから始めてrejectに移行する手順
推奨する移行手順は以下の3ステップです。
- ステップ1:p=noneでモニタリングを開始する
まずrua=を設定してレポート収集を始めます。自社ドメインから送信されているすべてのメールの送信元IPや認証通過率を把握します。営業メール・請求書・MAツール・SaaS連携など、予想外の送信元が見つかるケースが少なくありません。2〜4週間程度、レポートを確認しながらSPFとDKIMの設定漏れを修正します。 - ステップ2:p=quarantineに移行し、pct=で段階適用する
SPFとDKIMの認証通過率が90%以上に安定したら、p=quarantine; pct=10のように低い割合から適用を始めます。問題がなければpct=50→100と引き上げます。正規メールが迷惑メールフォルダに入っていないかを取引先に確認しながら進めることが重要です。 - ステップ3:p=rejectに移行して完成
quarantineの状態で認証失敗がほぼゼロになったことを確認できたら、p=rejectに変更します。Google・Yahoo!の送信者ガイドラインでも、大量送信者にはrejectポリシーへの移行が求められており、BtoBメールの信頼性向上につながります。
DMARCレポートの受信設定と主要な読み取りポイント
rua=で指定したアドレスには、受信サーバーからXML形式の集計レポートが日次で届きます。主に以下の情報を確認します。
- source_ip:メールを送信したサーバーのIPアドレス。把握していない送信元が含まれていないかを確認します。
- spf / dkim の pass・fail:それぞれの認証が通過しているかどうかの結果です。失敗している送信元があれば、SPF・DKIMの設定修正が必要です。
- disposition:実際に適用されたポリシー(none・quarantine・reject)が記録されています。意図したポリシーが正しく動いているかを確認します。
XMLの生データはそのままでは読みにくいため、dmarcianやPostmark DMARCなどの無料ツールを使うと、グラフや表で視覚的に確認できます。情報システム担当者が毎週レポートをチェックする運用フローを整備しておくと、設定ミスや不正利用の早期発見につながります。
認証設定と並行して、リード育成のステップメール設計を見直したい方はこちらの記事が参考になります。
あわせて読みたいBtoB向けステップメール設計の完全手順|シナリオ・タイミング・自動化BtoB特有の落とし穴 — 複数ツール・サブドメイン運用での設定ミスと対処法
BtoB企業のメール環境は、一社でMAツール・CRM・メーラー・社内システムが並走しているケースが少なくありません。送信元ドメインが同じでも、実際にメールを送り出すサーバーが複数に分散しているため、SPF・DKIM・DMARCの設定が想定外の箇所で崩れやすい構造になっています。以下では、現場でとくに問題になりやすい4つの論点を整理します。
複数の配信ツールが混在する場合のSPF管理 — include地獄を避ける設計思想
SPFレコードは、1つのドメインにつき参照できる仕組み(lookupと呼ばれるDNS問い合わせ)が最大10回に制限されています。MAツール・CRMの一括配信・社内メールサーバーとそれぞれにinclude:を追記していくと、この上限をあっさり超えてしまいます。上限超過はSPF「permerror(恒久的エラー)」と判定され、認証が失敗扱いになります。
対処の方向性は2つあります。
- 送信元ごとにサブドメインを分ける:たとえばMAツールからの配信は
mail.example.com、CRMからはcrm.example.comと分割し、それぞれに独立したSPFレコードを設定します。ルートドメインのlookup数を圧迫せずに済むため、管理も明確になります。 - IPアドレスを直接記述する(ip4:/ip6:):外部ツールが固定IPを提供している場合は
include:を使わずip4:203.0.113.0/24のように直書きする方法がlookup数の節約になります。ただしIPが変更された際に追従できないリスクがあるため、ツールベンダーのIP変更通知の受け取り体制を整えておくことが前提です。
MAツール経由のメールにDKIMを適用するための委任設定(CNAME方式)
MAツールから送信するメールにDKIMを設定する場合、ツール側が提供するCNAMEレコードを自社のDNSに登録する「CNAME方式(ドメイン委任)」が主流です。この方式では、秘密鍵の管理はツールベンダー側が行い、自社はDNSへのCNAMEレコード追加だけで設定が完了します。
注意すべき点は、CNAMEレコードの登録先ドメインと、MAツールの管理画面で設定した送信元ドメインが一致していることです。たとえばMAツールでmail.example.comを送信元に指定したにもかかわらず、DNSにはルートドメインexample.comにCNAMEを追加してしまうミスが起きやすくなっています。設定後は必ずMAツールの管理画面で「DKIM認証済み」のステータスが表示されていることを確認してください。
サブドメイン送信とDMARCのsp=タグ — 本番ドメインと分けて運用する際の注意
DMARCレコードにはsp=(サブドメインポリシー)タグが存在します。ルートドメインに設定したDMARCのp=rejectは、デフォルトではすべてのサブドメインにも適用されます。MAツール用やテスト用として新設したサブドメインで認証設定が未完のままp=rejectの傘下に入ると、そのサブドメインからのメールが即座に拒否されるリスクがあります。
対処としては、サブドメインに対してより緩やかなポリシーを適用したい場合にsp=noneまたはsp=quarantineを明示的に指定します。
- 例:
v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@example.com
ただしsp=タグはルートドメインのDMARCレコードにのみ記述できます。各サブドメインに個別のDMARCレコードを設定した場合は、そちらのp=が優先されます。サブドメインの数が増えてきた段階では、サブドメインごとに独立したDMARCレコードを設置して管理する方がポリシーの意図を明確に保てます。
社内メール転送・メーリングリストでSPFが崩れるケースと回避策
社内の転送設定やメーリングリストは、SPF認証を静かに破壊する要因として見落とされがちです。メールが転送されると、送信元IPアドレスが転送サーバーのIPに書き換わります。受信側は転送サーバーのIPを元のドメインのSPFレコードで照合しますが、当然そのIPは登録されていないため、SPF認証が失敗します。
この問題への対処法として有効なのが、SRS(Sender Rewriting Scheme)の導入です。SRSは転送時にエンベロープFrom(差出人情報)を転送サーバーのドメインに書き換える仕組みで、転送後もSPF認証が通りやすくなります。主要なメールサーバーソフトウェア(Postfixなど)やGoogle Workspaceの一部設定でもSRSに対応しています。
また、DMARCではSPFではなくDKIMでアライメント(ドメインの一致確認)を取る方法も有効です。DKIMの署名はメール本文に付与されるため、転送によって署名が壊れない限り認証が維持されます。転送経路が多い環境では、DKIMアライメントを主軸に据えたDMARC設定を検討する価値があります。
BtoB特有の落とし穴 — 複数ツール・サブドメイン運用での設定ミスと対処法
BtoB企業のメール送信環境は、一般的なBtoC企業と比べて複雑になりがちです。MAツール、CRM、メーラー、社内の基幹システムが混在し、それぞれが異なるサーバーやIPアドレスからメールを送信しているケースが少なくありません。この環境のまま認証設定を進めると、想定外の落とし穴にはまる可能性があります。
複数の配信ツールが混在する場合のSPF管理 — include地獄を避ける設計思想
SPFレコードは、1つのドメインに対して1レコードしか設定できません。複数のツールを使っている場合、各ツールのSPFレコードをinclude:で連結していくことになります。しかしDNSの参照回数(ルックアップ)には上限があり、10回を超えるとSPFが「permerror(永続的なエラー)」として評価され、認証が失敗します。
この状況を「include地獄」と呼ぶことがあります。回避するための設計思想として有効なのが、送信ドメインを用途別に分割するアプローチです。たとえば、マーケティングメールはmail.example.com、トランザクションメール(受注確認など)はnotify.example.comというようにサブドメインを分け、それぞれに独立したSPFレコードを設定します。これにより、1つのレコードにincludeが積み重なる構造を避けられます。
また、複数のIPアドレスをまとめて管理したい場合は、ip4:(またはip6:)で直接IPを指定する方法が参照回数を節約できます。ツールベンダーのincludeを使うと内部で複数のルックアップが発生することがあるため、送信元IPが固定されているツールについてはIPアドレスを直接記述する設計が望ましいです。
MAツール経由のメールにDKIMを適用するための委任設定(CNAME方式)
MAツールやメール配信サービスを経由して送信するメールにDKIMを適用する場合、多くのツールはCNAME方式の委任設定を採用しています。これは、ツールベンダーが管理するDKIM鍵に対して、自社DNSからCNAMEレコードで参照を向ける仕組みです。
具体的な手順は次のとおりです。
- MAツールの管理画面で「送信ドメインの認証」または「DKIM設定」を開き、発行されるCNAMEレコードの内容を確認する
- 自社のDNS管理画面で、指定されたホスト名(例:
em1234._domainkey.example.com)に対してCNAMEレコードを追加する - ツール側の管理画面で「検証」または「Verify」を実行し、認証が通ることを確認する
注意が必要なのは、ツールのサポートページに記載されているレコード内容は更新されることがある点です。ベンダー側の鍵ローテーションに伴いCNAMEの向け先が変わるケースがあるため、定期的に設定の最新性を確認する運用が必要です。外部委託先(広告代理店やデジタルマーケティング会社)が送信ドメインを使ってメールを配信している場合も、同様にCNAME委任の設定を求めるのが適切な対処法です。
サブドメイン送信とDMARCのsp=タグ — 本番ドメインと分けて運用する際の注意
DMARCレコードにはsp=タグがあります。これは、サブドメインに対して個別のDMARCレコードが設定されていない場合に、親ドメインのポリシーをどのように継承させるかを指定するオプションです。
たとえば親ドメインのDMARCにp=reject; sp=noneと設定すると、親ドメイン宛のメールには厳格なrejectポリシーを適用しつつ、サブドメイン(mail.example.comなど)からの送信にはnone(監視のみ)を適用できます。
BtoB企業でよくある失敗が、親ドメインにp=rejectを設定した後、sp=タグを指定しないまま運用を続けるケースです。sp=の指定がない場合、サブドメインは親ドメインのポリシー(reject)をそのまま継承します。MAツール向けに新たに設定したサブドメインのDKIMやSPFが未整備のまま配信を始めると、そのメールはすべて受信拒否される可能性があります。
本番ドメインとサブドメインを分けて段階的に認証を強化する場合は、サブドメインに個別のDMARCレコードを設定するか、sp=noneで明示的に継承ポリシーを緩和したうえで、レポートを確認しながら移行するアプローチが安全です。
社内メール転送・メーリングリストでSPFが崩れるケースと回避策
SPF認証は「送信元IPアドレスが、差出人ドメインのSPFレコードに記載されているか」を検証します。このため、メールが転送された場合には問題が生じやすいです。
具体的に起きることは次のとおりです。送信者A(a@example.com)がメールを送り、受信者Bの会社がそれを社内の別アドレスに自動転送した場合、転送サーバーのIPアドレスはexample.comのSPFレコードに含まれていません。結果としてSPFが失敗し、DMARCの評価でもSPF経由の整合性(Alignment)が取れなくなります。
この問題の根本的な解決策はDKIMによる認証の維持です。DKIMは電子署名ベースのため、転送によってヘッダーが改変されない限り署名が有効なまま維持されます。SPFが崩れてもDKIMが通っていれば、DMARCの認証としては合格とみなされます。
一方で、メーリングリストはDKIMも崩れることがあります。MLソフトウェアがメール本文や件名に文字を付加(例:「[ML名]」の追記)すると、署名対象のコンテンツが変わって署名検証が失敗するためです。メーリングリスト経由の配信がDMARCレポートで頻繁にエラーとして記録される場合は、MLサーバー自身がDKIM署名を行う設定を検討するか、メーリングリスト用のサブドメインを切り出してポリシーを分離する対処が有効です。
設定完了後の確認・監視フロー — 認証通過率を継続的に把握する
SPF・DKIM・DMARCの設定を終えた後、「設定したから終わり」と判断するのは早計です。DNSの反映状況の確認、実際の認証通過率の計測、そして運用変化に合わせた定期的な見直しまでを一連のフローとして整備することで、はじめてメール到達率の改善が持続します。
設定直後に行う検証チェックリスト
設定完了後にまず行うべきは、外部ツールを使った設定値の確認です。代表的な無料ツールとして、以下の2つが実務でよく使われています。
- MXToolbox(mxtoolbox.com):SPFレコード・DMARCレコードの構文エラーや値の正引きをその場で確認できます。「SPF Record Lookup」や「DMARC Lookup」のメニューから自社ドメインを入力するだけで、設定の妥当性を診断できます。
- mail-tester.com:専用の宛先アドレスにテストメールを送信することで、SPF・DKIM・DMARCの認証通過状況をスコア形式で確認できます。実際の送信経路を通じた検証ができるため、DNS設定だけでは気づけない問題を発見しやすいです。
この2つのツールでエラーがないことを確認した上で、本番配信に移行することをお勧めします。
DMARCレポート分析ツールの選び方と主要サービス比較
DMARCを設定すると、受信側のメールサーバーから集計レポート(RUAレポート)がXML形式で届きます。ただし、このXMLをそのまま読み解くのは現実的ではないため、可視化ツールを活用することが一般的です。
- Postmark DMARC(無料):週次でレポートをメール通知してくれるシンプルなサービスです。小規模配信の初期確認に向いています。
- Dmarcian(有料・無料プランあり):ドメインごとの認証通過率をダッシュボードで確認でき、不審な送信元の特定にも役立ちます。複数ドメインを管理するBtoB企業に適しています。
- Valimail(有料):大規模な配信環境向けで、認証失敗の原因を自動分析する機能を持ちます。グローバル展開している企業での採用例が多いです。
まずは無料ツールで運用を始め、配信規模やドメイン数が増えた段階で有料ツールへの移行を検討するのが現実的な進め方です。
定期見直しが必要なタイミングと見直しポイント
メール認証の設定は、一度行えば半永久的に有効というわけではありません。以下のタイミングでは、設定の棚卸しを行うことが必要です。
- 配信ツールを変更・追加したとき:新しいMAツールや一括配信サービスを導入した場合、そのサービスのIPアドレスをSPFレコードに追加する必要があります。追加を忘れると認証が失敗します。
- サブドメインを新設したとき:サブドメインで配信を始める場合、そのドメインに個別のSPF・DKIM・DMARC設定が必要です。親ドメインの設定は自動的には引き継がれません。
- DMARCポリシーを変更したとき:「none」から「quarantine」「reject」へ段階的に引き上げる際は、DMARCレポートで認証通過率が十分に高いことを確認してから変更します。
メール到達率の計測をMAツールで継続把握する考え方
DMARCレポートはドメイン単位の認証状況を把握するのに適していますが、キャンペーンごとの到達率や開封率との相関を見るには、MAツール側の計測データと組み合わせることが重要です。
CLANEが提供するAI optimizeには、メール配信の到達率を継続的に計測する機能が備わっており、認証設定の変更前後での数値の変化を把握しやすい設計になっています。設定の改善が実際の配信成果にどう影響しているかを確認する手段として、MAツール側のデータを活用する視点を持つことが、継続的な運用改善につながります。
設定完了後の確認・監視フロー — 認証通過率を継続的に把握する
SPF・DKIM・DMARCの設定が完了しても、それだけで運用が終わるわけではありません。設定値が正しく反映されているかを確認し、継続的に認証通過率を把握する仕組みを整えることが、メール到達率を安定させるうえで不可欠です。
設定直後に行う検証チェックリスト
設定完了後は、まず外部ツールで記録の内容を確認します。DNSへの反映には最大72時間かかるケースもあるため、反映を確認してから検証に進むことをお勧めします。
- MXToolbox(mxtoolbox.com):SPF・DKIM・DMARCの各レコードが正しい形式で公開されているかを確認できます。「SPF Record Lookup」や「DMARC Lookup」のメニューから自社ドメインを入力するだけで即時チェックできます。
- mail-tester.com:実際にテストアドレスへメールを送信することで、SPF・DKIM・DMARCの認証結果をスコア形式で確認できます。送信元IPやヘッダー情報も合わせて確認できるため、設定漏れの発見に役立ちます。
- Google Postmaster Tools:Googleのメールサービスに対する配信評価を確認できます。ドメイン評価・スパム率・認証通過率が視覚的に把握できるため、設定後の定点観測に適しています。
DMARCレポート分析ツールの選び方と主要サービス比較
DMARCを有効化すると、受信側サーバーから集計レポート(RUAレポート)が定期的に届きます。このレポートはXML形式のため、そのまま読み解くには専門知識が必要です。分析ツールを活用することで、認証通過率の推移や不正送信元の特定が容易になります。
- dmarcian(無料プランあり):XMLレポートをダッシュボード形式で可視化します。認証失敗の送信元IPを地図上に表示する機能があり、なりすまし送信元の把握に向いています。
- DMARC Analyzer(有料):エンタープライズ向けに特化した分析機能を持ちます。複数ドメインの一元管理やアラート設定が可能で、複数ブランドを持つBtoB企業に適しています。
- Postmark(無料):シンプルなUIでレポートを確認できます。小規模運用や導入初期の確認用として使いやすい選択肢です。
まずは無料ツールで運用を始め、送信量やドメイン数が増えた段階で有料ツールへ移行するというステップが、コスト面でも現実的です。
定期見直しが必要なタイミングと見直しポイント
メール認証の設定は、一度完了すれば永続的に有効というわけではありません。以下のタイミングでは、設定の見直しを行うことをお勧めします。
- MAツールや配信ツールを追加・変更したとき:新しいツールの送信IPがSPFのinclude対象に含まれているかを確認します。含まれていない場合、認証失敗が発生します。
- 新しいサブドメインを作成したとき:サブドメインにも個別のSPF・DKIM・DMARCの設定が必要です。設定なしで送信すると、なりすまし扱いになるリスクがあります。
- DMARCポリシーを段階的に引き上げるとき:「none」から「quarantine」、そして「reject」へとポリシーを強化するタイミングでは、DMARCレポートで認証通過率が十分に高いことを確認してから変更します。
- 送信量が大幅に増加したとき:Googleなどのプロバイダーが定める送信者ガイドラインの基準が変わることもあるため、最新情報を定期的に確認します。
メール到達率の計測をMAツールで継続把握する考え方
認証設定を整えたうえで、実際の配信結果をデータとして蓄積・分析することが、到達率の継続改善につながります。単発の確認で終わらせず、送信ごとの到達率・開封率・バウンス率を追跡する体制が理想的です。
CLANEが提供するAI optimizeには、メール配信の到達率を計測・可視化する機能が備わっています。認証設定の状態と配信結果を紐づけて把握できるため、設定変更が到達率に与えた影響を定量的に確認するうえで参照しやすい仕組みになっています。
ツールの選定にかかわらず、重要なのは「設定して終わり」にしないことです。DMARCレポートと配信データを定期的に照合し、異常があれば早期に原因を特定できる運用フローを整えておくことが、BtoBメールの信頼性を長期的に維持するための基本的な考え方です。
まとめ — SPF・DKIM・DMARCの設定を確実に進めるためのポイント整理
SPF・DKIM・DMARCの設定は、BtoBメールの到達率を安定させるうえで欠かせない基盤です。設定の全体像を振り返り、次のアクションに向けたポイントを整理しておきます。
- 設定の順序はSPF → DKIM → DMARCが基本です。SPFで送信元IPを認証し、DKIMで本文の改ざん検知を担保してから、DMARCでポリシーを適用する流れが、トラブルを最小化します。
- DMARCポリシーは「none」から段階的に引き上げます。いきなり「reject」に設定すると、正規メールが拒否されるリスクがあります。まず「none」でレポートを収集し、認証通過率を確認してから「quarantine」→「reject」へ移行します。
- 複数のメール送信ツールを使っている場合は、SPFレコードのinclude漏れに注意が必要です。SFAやMAツール、外部配信サービスを追加するたびにSPFの再確認が求められます。また、ルックアップ数が10件を超えるとSPFが無効になるため、定期的な棚卸しが重要です。
- サブドメインにも個別の認証設定が必要です。送信元として使用するサブドメインごとにSPF・DKIMを設定し、DMARCの「sp=」タグでサブドメインポリシーを明示的に指定します。
- 設定後は継続的なモニタリングが不可欠です。DMARCの集計レポート(RUA)を定期的に確認し、認証失敗が増加した際にはすぐに原因を特定できる体制を整えておくことが求められます。Google Postmaster ToolsなどのツールをあわせてDomainレピュテーションの推移も把握しておくと、より確実です。
メール認証の設定は一度完了すれば終わりではなく、ツール追加やドメイン変更のたびに見直しが必要になります。設定内容を社内ドキュメントとして記録し、変更があった際に確認できる運用フローを整備しておくと、担当者が変わっても設定品質を維持しやすくなります。
まとめ — SPF・DKIM・DMARCの設定を確実に進めるためのポイント整理
SPF・DKIM・DMARCのメール認証設定は、正しい順序と段階的なアプローチで進めることが、設定ミスを防ぐうえで最も重要なポイントです。ここまでの内容を、次のアクションに移りやすい形で整理します。
- 設定の順序はSPF→DKIM→DMARCの順を守る
SPFとDKIMが正しく機能している状態を確認してから、DMARCを設定します。土台となる2つの認証が不完全なままDMARCを導入すると、正規メールが拒否されるリスクがあります。 - DMARCのポリシーは「none」から段階的に引き上げる
最初はp=none(監視のみ)で運用し、レポートデータで認証通過率が安定していることを確認したうえで、quarantine→rejectの順に移行します。急いで強いポリシーを設定すると、自社の正規メールが届かなくなるケースがあります。 - 複数の送信ツールを使う環境では「送信元ドメインの棚卸し」が先決
MA(マーケティングオートメーション)ツール、CRM、メール配信サービスなど、送信に関わるツールをすべて洗い出してから設定に入ります。SPFレコードのincludeや、DKIMの署名設定の漏れが、認証エラーの主な原因になります。 - 設定完了後も継続的なモニタリングが必要
DMARCのアグリゲートレポート(RUA)を定期的に確認し、認証失敗のパターンや未設定の送信元がないかをチェックします。設定は一度行えば終わりではなく、ツールの追加・変更のたびに見直しが必要です。 - サブドメインを利用している場合は個別に設定を確認する
メインドメインの設定が正しくても、サブドメインから送信するメールは別途SPFおよびDKIMの設定が必要です。DMARCのサブドメインポリシー(spタグ)もあわせて確認してください。
メール認証の設定は技術的な作業を伴いますが、設定の優先順位と確認フローを正しく理解していれば、意思決定者として担当者への指示や進捗管理を的確に行うことができます。到達率の改善は、設定の正確さと継続的な監視の両輪で実現するものです。
この記事の後によく読まれている記事
同じ人が書いた記事
-
AIコンサルティング2026.06.30ChatGPTでWeb制作のコードを生成する方法|HTML・CSS・JS実例と品質チェックの注意点 -
未分類2026.06.30macOS向けFTPクライアントおすすめ比較——選び方と統合ワークスペースという選択肢 -
AIコンサルティング2026.06.30AI議事録ツール比較7選【2025年版】Circlebackを軸に機能・価格・連携を徹底比較 -
コーポレートサイト制作2026.06.30Web制作の受け入れテスト(UAT)チェックリスト|納品前に確認すべき項目と進め方 -
システム開発2026.06.30フォームテストの証跡をスクリーンショットで管理する方法と自動化の実践 -
システム開発2026.06.30Basic認証環境でWebフォームをテストする方法と自動化の手順
