この記事の続きは広告視聴後にご覧いただけます

サイバーセキュリティ
サイバーセキュリティセキュリティ

DMARC/SPF/DKIMとは?違い・仕組み・導入手順をまとめて解説

この記事は約6分で読めます。
記事内に広告が含まれています。

メールの差出人(From)は見た目だけなら偽装できます。これを悪用すると、取引先や自社になりすましたフィッシング(詐欺)メールが届き、ID・パスワードの窃取やマルウェア感染につながります。そこで基本になるのが、SPF・DKIM・DMARCという3つの「送信ドメイン認証」です。

本記事では、違いと関係、最短で事故なく導入する手順をわかりやすく整理します。

まず結論:3つの役割はこう違う

SPFとDKIMは「そのメールが正当な送信元か」を技術的に判定する材料で、DMARCは「Fromに対するなりすましをどう扱うか」を受信側へ宣言するルールです。3つのうち1つだけでは穴が残るため、セットで導入して初めて“Fromなりすまし”を強く抑止できます。

  • SPF
    • このドメインのメールは「この送信元(IP/サーバ)」から送る、という許可リストをDNSに公開して照合します。
  • DKIM
    • メールに電子署名を付け、受信側が公開鍵で検証して「改ざんされていないか」「署名ドメインが正しいか」を確かめます。
  • DMARC
    • SPF/DKIMの結果に加えて、受信者が見るFromドメインと整合しているか(アライメント)を基準に、失敗時の扱い(受理・隔離・拒否)とレポート送付先を定めます。

たとえで理解する

SPFは「この会社の郵便はこの郵便局から出るはず」という名簿、DKIMは封筒の封印、DMARCは「名簿か封印がOKで、かつ差出人表記と一致していなければ配達しない」という運用ルール、のイメージです。技術用語が多いですが、要は“差出人を証明するための仕組み”だと捉えると理解しやすいです。

メリット・デメリットとは

SPF・DKIM・DMARCにはそれぞれメリット・デメリットが存在します。ここではそれぞれについてもう少し掘り下げて紹介します。

SPFのポイント:導入は簡単だが“転送”に弱い

SPFはDNS(TXT)に1行追加するのが基本で、導入のハードルは低めです。一方で、転送(フォワード)やメーリングリストで送信元が変わるとFailになりやすいのが弱点です。また、includeを増やしすぎるとDNS参照回数の上限に引っかかり、意図せずFailになることがあります。

対策としては、送信元の棚卸しを徹底し、不要な配信サービスを整理することが近道です。メルマガなど大量配信用は「news.example.com」のようなサブドメインに分けると、SPFをシンプルに保ちやすくなります。

▼ 使用しているSPFレコードの状況はチェックサイトで調査できます

Free SPF Checker Tool - PowerDMARC
Check your SPF record with our free SPF checker / SPF record Lookup tool. Find errors and inconsistencies that could be ...
powerdmarc.com

DKIMのポイント:改ざん検知に強いが“途中の書き換え”に弱い

DKIMは送信側が署名し、受信側が検証します。送信元IPが変わっても署名が維持されれば通りやすく、転送より有利な場合があります。ただし、メーリングリストで件名や本文に追記が入るなど、途中で内容が書き換えられると署名が壊れてFailになります。

運用面では、送信サービスごとにセレクタ(鍵の識別子)を分け、定期的に鍵を更新するのが一般的です。鍵更新が止まると漏えい時の影響が長期化するため、更新手順もドキュメント化しておくと安心です。

DMARCのポイント:最初は監視(none)から始める

DMARCは、失敗メールの扱いを指定できます。いきなり拒否(reject)にすると、設定漏れの正当なメールまで止まるため、段階導入が基本です。
またDMARCの核心は“アライメント”です。SPFやDKIMがPassしても、Fromと一致していなければDMARCはFailになります。つまり「受信者が見る差出人を守る」ための仕組みだといえます。

  • p=none:まず監視。レポートで“誰がどの経路で送っているか”を可視化
  • p=quarantine:失敗メールを迷惑メール扱いへ寄せる
  • p=reject:Fromなりすましを強く弾く(最終目標になりやすい)

導入手順:棚卸し→SPF→DKIM→DMARCが安全

事故を減らすコツは「送信経路の棚卸し」を最初にやることです。社内メール(M365/Googleなど)だけでなく、フォーム通知、請求書配信、メルマガ、CRM/サポートツールなど“勝手に送っているSaaS”を洗い出します。
特に「部署が個別契約したツール」「Webサイトの問い合わせフォーム」「グループ会社からの代行送信」は漏れやすいので注意してください。

  1. 送信経路を棚卸し(どのサービスが、どのドメインで送るか)
  2. SPFを整備(TXTは原則1つに統合し、include過多を避ける)
  3. DKIMを有効化(送信サービス側で署名をON、公開鍵をDNSへ)
  4. DMARCをp=noneで開始し、失敗要因を潰してから段階的に強化(必要ならpctで適用率を調整)

「確認」の最小チェック:Pass/Failは3点を見る

運用では、受信側での判定が次を満たすかを確認します(ヘッダや管理画面で見られます)。この3点が揃うと、受信側の迷惑メール判定も安定しやすくなります。

  • SPF:passしているか
  • DKIM:passしているか
  • DMARC:passしているか(Fromと整合しているか)

よくある失敗と対処

ここでは、よくある失敗と対処方法いついて紹介します。

  • SPFがFail:includeが多すぎ/参照回数上限/棚卸し漏れ。送信元を整理し、必要なら配信専用サブドメインも検討します。
  • DKIMがFail:途中で件名や本文が改変されている。メーリングリストや中継の挙動を確認し、改変を減らします。
  • DMARCがFail:正規送信でもFromと一致していない。送信サービス側の「カスタムドメイン」「DKIM署名ドメイン」設定を揃えます。

併用したい追加対策(DMARCだけでは防げない)

DMARCは“Fromのなりすまし”に強い一方、次のような攻撃は残ります。ここは別対策とセットで考えるのが現実的です。

  • 表示名だけを偽る詐欺(Fromは正規でも「経理部」などの表示名で騙す)
  • 似たドメインを使う詐欺(例:会社名が似た別ドメイン)
  • 正規アカウントの乗っ取り(正規送信なのでDMARCは通ることがある)

ユーザー教育、MFA(多要素認証)、不審URLのブロック、端末のマルウェア対策なども並行して進めると、被害を現実的に下げられます。

よくある質問(FAQ)

短時間で調べる人が多いので、実務で出やすい疑問を先に潰しておきます。

  • SPFレコードは複数作っていい?
    • 基本はNGです。TXTが複数あると評価が不安定になるため、1本に統合します。
  • DMARCをrejectにする目安は?
    • p=noneで棚卸しを完了し、正規送信が安定してPassする状態を確認してから上げるのが安全です。
  • レポート(rua)はどこに送る?
    • 専用の受信アドレスや解析サービスを用意し、運用として「失敗が増えた原因」を追える形にします。

まとめ

SPFは送信元の許可リスト、DKIMは署名による正当性と改ざん検知、DMARCはFromと整合しないメールの扱いとレポートを定める仕組みです。まず送信経路を棚卸ししてSPFとDKIMを整え、DMARCはp=noneで監視しながら段階的にquarantine、rejectへ強化すると、正当なメールを止めにくく、なりすまし対策の効果を安定して高められます。

コメント

タイトルとURLをコピーしました