メインコンテンツへスキップ

SPF・DKIM・DMARC の仕組みと役割について(概要)

  • 更新

近年、企業をかたる「なりすましメール」や迷惑メールが増えており、
メールの安全性を高めるための仕組みとして SPF / DKIM / DMARC が広く利用されています。
これらは、簡単に言うと、

「このメールは本当にこの会社から送られた正しいメールです」
と受信側に証明するためのしくみ

です。

 

 

◆ SPF(エスピーエフ)とは

→ “このサーバから送るのは正規のメールです” と証明する仕組みです。

企業が「このサーバから送るメールは正規です」とDNSに登録しておくことで、
受信側は「正しい送信元かどうか」を判断できます。

【効果】

  • なりすましメールとして疑われるリスクを減らせます

  • 外部サービスからのメール送信を正しく許可できます

     

 

◆ DKIM(ディーキム)とは

→ “メールに会社の電子印鑑を押す仕組み” です。

メールを送る際に、送信側の配信サービスが秘密鍵(印鑑)で電子署名(捺印)を付け、
受信側は、DNSに登録された公開鍵(印鑑登録情報)を取得して、
「正しいハンコで捺印されているか」「改ざんされていないか」を確認します。

【効果】

  • 本当にそのドメインから送られたメールであることを証明できる

  • 途中で内容を改ざんされていないと確認できる

  • メールの信頼性が上がり、迷惑メール扱いになりにくくなる

     

 

◆ DMARC(ディーマーク)とは

→ “なりすましメールが来たときの取り扱いルールを決める仕組み” です。

ドメインの管理者が、
「もし SPF や DKIM に合格しない、怪しいメールが来たらどうしてほしいか」
(受信する・隔離する・拒否する)を受信側へ伝えます。

【効果】

  • 自社ドメインをかたる不正メールの対策が強化できます

  • どのメールが弾かれたかなど、レポートを受け取ることも可能です

  • SPF・DKIMと組み合わせることで、より強固なメール認証体制になります

     

 

◆3つをまとめると…

項目 一言で言うと 役割 設定するものを例えると
SPF 「このサーバからのメールは正規です」 送信元サーバの正当性を確認 郵便局の“差出許可リスト”
DKIM 「本物のメールで、改ざんなしです」 内容改ざんの検知
ドメインの正当性を示す		 印鑑+印鑑登録
DMARC 「怪しいメールはこう処理してください」 なりすまし対策
ポリシー指示		 郵便局に渡す取扱指示書

これら3つを揃えることで、
配信するメールの信頼性が高まり、迷惑メール判定リスクが減ります。

※ジェイシティメールで複数のドメインを利用し、ドメイン側ではDMARCも設定したい場合、
  SPFの整合性(アライメント)は必ず不合格になるため、
  DKIMの設定を行ってください。

設定後は一時的に到達率が下がる場合があります。

※Gmail宛に1日あたり5,000通以上のメールを送信する場合、「DMARC を設定する」ことがGmailのガイドライン上で求められています。
 5,000通/日未満の場合: SPF、DKIM、どちらかひとつの設定が必須
 5,000通/日以上の場合: SPF、DKIM、DMARC、すべての設定が必須

 

 【補足資料】DNS(ディーエヌエス)とは?

→ “インターネット上の住所録のようなもの” です。

  • 「example.com」や「〇〇.co.jp」といったドメイン名と、実際のサーバの場所(IPアドレスなど)を結びつけている仕組みです。

  • 人間は「〇〇.co.jp」という名前を覚え、コンピュータは DNS を使って「どのサーバにアクセスすればいいか」を理解します。

項目 一言で言うと 役割 設定するものを例えると
DNS ドメインに関する
「インターネット上の住所録 + 設定メモ」		 Web・メールサーバの場所と紐づけたり、
SPF / DKIM / DMARC などの認証情報を公開する		 家の住所や、郵便物の取り扱いルールが書かれた看板

 

 

◆ SPF・DKIM・DMARCとDNSの関係まとめ

SPF・DKIM・DMARC は、DNSの“メモ欄(TXTレコード)”に情報を書いておくことで機能する仕組みです。
 

ドメインの設定管理している方は、各社レンタルサーバ会社などのヘルプページを参照し、
配信サービスが指定する情報を書き込んでください。

  • SPF
    → DNSに「このサーバから送るメールは正規です」という送信元のリストを書きます。
    【チェック対象】 ①エンベロープFrom / ②DNS(SPFレコード
     

  • DKIM
    → DNS に公開鍵(印鑑登録情報)を登録し、 配信サービス側に秘密鍵(印鑑)を設定します。
    【チェック対象】 ①秘密鍵で署名した DKIM-Signature /  ②DNS(公開鍵

  • DMARC
    → DNSに「怪しいメールが来たときはどう扱ってほしいか(受信する・隔離する・拒否する)」という
    運用ルールを書いておきます。
    【チェック対象】 ①差出人アドレス のドメイン
               ②SPF または DKIM の“どちらか”が合格していて、
            そのドメインが差出人ドメインが一致している(SPFやDKIMのアライメントに合格している)

つまり、

DNS = ドメインの基本情報やルールを書いておく看板
SPF / DKIM / DMARC = その看板に書いた「メールの安全対策の設定」

というイメージです。

 

 

◆ 技術的な説明や具体的な設定方法について

より詳細な内容はご契約者によるDNSレコードの各種設定をご覧ください。

関連記事