SPF / DKIM / DMARC は,現代のメール運用で署名なし即スパム判定を回避する3点セット.本記事では最短で設定する方法を整理する.
この記事では,個人開発者・スモールチーム・学生エンジニアの方を主な読み手として書いています.10分で読み終わって,明日から動ける具体的な行動が1つ見つかる状態を目指しています.
なぜメール認証3点セットが必須なのか
2024年以降,Google・Yahoo は送信認証なしのメールをスパム判定する方針に.SPF / DKIM / DMARC が揃っていないと,主要メーラーに届かない.
個人開発者にも他人事ではない.問い合わせ返信・パスワードリセット・自動送信メールが軒並み迷惑メール扱いになると,事業の動脈硬化が起きる.
戦略1:SPF で「送信元IPの正当性」を宣言
SPF は「このドメインの正規送信元はこのIPだけ」を宣言する TXT レコード.例: v=spf1 include:_spf.google.com ~all なら Google経由のみ正規.
~all(ソフトフェイル)から始める.運用が安定したら-all(ハードフェイル)へ.include は最大10回までの制限あり.
戦略2:DKIM で「内容の改ざんがない」を証明
DKIM は送信側で電子署名→受信側で検証する仕組み.送信サービス(Google Workspace / Postfix / SendGrid)で公開鍵TXTを発行してDNSに登録.
セレクタ名(google._domainkey等)に公開鍵を入れる.SPFと違い送信メールの本文ヘッダに署名が乗るため,途中で書き換えがあれば検証失敗する.
戦略3:DMARC で「失敗時の処理」を指示
DMARC は SPF / DKIM 失敗時の受信側の動作を指定する._dmarc.example.com に TXT で v=DMARC1; p=none; rua=mailto:dmarc@example.com を登録.
最初は p=none(報告のみ)で運用,レポートを見てp=quarantine(隔離) → p=reject(拒否)と段階を上げる.rua の集計メールで現実が見える.
戦略4:DMARC レポートを集計する
DMARCのrua レポートは1日数通の XML が届く.生では読めない.無料の DMARC Aggregator(Postmark / dmarcian の無料枠)で可視化.
「自社ドメインを語る不正送信」が可視化される.意外と第三者がスパム送信に使っている事実が判明することがある.
戦略5:BIMI で「ロゴ表示」まで進める(発展)
3点セット運用が安定したら BIMI(Brand Indicators for Message Identification).DMARC強制+SVG ロゴで,Gmailの受信欄に会社ロゴが表示される.
個人サイトには不要.ただしブランド事業を持っているなら視認率が上がる.VMC(認証マーク証明書)に費用がかかるのが難点.
補論:認証は「ドメイン資産」を守るインフラ
SPF / DKIM / DMARC は,あなたのドメインが「乗っ取り送信」されないための盾.設定していないドメインは,スパム業者が好き勝手にスプーフィングできる無防備な状態です.
これからドメインを取るなら,取り扱い400種類以上のドメイン取得サービス─ムームードメイン─
ならTXTレコードをGUIで簡単に追加できる.Google Workspace との組み合わせで5分で3点セットが完成する.
レンタルサーバー側のSMTPからメールを送るなら,ロリポップ!の管理画面にSPFサンプルが表示される.初心者がコピペで導入しやすい.
よくある質問
Q1:3つ全部要る?SPFだけで十分?
2024年以降は3つ揃えるのが標準.SPFだけだと Gmail 大量送信時にスパム判定される.
Q2:設定確認はどうやる?
mail-tester.comに1通送るだけ.スコアと一緒に3点セットの状態が出る.
Q3:複数のメール送信サービスを併用するときは?
SPFのincludeに全部入れる.DKIMはセレクタを分けて別々に登録.
まとめ ― 認証は「30分の初期投資」で数年効く
大事なのは,「正解を完璧に押さえる」ことではなく「動き始める」ことです.今日,自分のドメインをmail-tester.comに送って,SPF/DKIM/DMARC のスコアを測りましょう.
※ 本記事中の「ムームードメイン」「ロリポップ!」へのリンク/バナーはアフィリエイトプログラムによる広告を含みます.