DMARC義務化はいつから？対応手順を中小企業向けに解説

この記事でわかること

• GoogleとMicrosoftによるDMARC義務化の開始時期と、それぞれの内容の違い
• 1日5,000通未満の中小企業にも対応が必要な理由
• 今から始められる対応ステップと、つまずきやすいポイント

「DMARC義務化」はいつから始まったのか

「DMARC義務化っていつから？」「うちは関係ある？」という相談が、2024年以降、IT担当者のいない中小企業から急激に増えています。

結論から言うと、Gmail宛ての一括送信者に対するDMARC要件は2024年2月1日から、Outlook宛ては2025年5月5日から運用されています。これは各社の公式ドキュメントで確認できる事実です。

Google（Gmail）の要件（2024年2月1日〜）

GoogleはEmail sender guidelinesで、Gmail宛てに送るすべての送信者に次の基準を適用しました。

• すべての送信者に対して、SPFまたはDKIMのいずれかによる認証を必須化
• 1日5,000通以上をGmailに送る一括送信者には、SPF・DKIM・DMARCの3つすべてと、From列のドメインとSPF/DKIMドメインのアラインメント（一致）を要求
• スパム率を0.30%未満に保つこと、ワンクリック退会リンクを設置することも追加

要件を満たさないメールは、迷惑メールに振り分けられるか、エラーコードで拒否されます。

Microsoft（Outlook）の要件（2025年5月5日〜）

MicrosoftはHigh-volume sendersの新要件として、Outlook.com・Hotmail.com・Live.com宛てに1日5,000通以上を送る送信者に次の対応を求めました。

• SPFがパスすること
• DKIMがパスすること
• DMARCが最低でもp=none以上、かつSPFまたはDKIMとアラインメントしていること

当初は要件未達のメールを迷惑メールフォルダに入れる予定でしたが、Microsoftは方針を変更し、現在は「550; 5.7.515 Access denied」エラーで拒否する運用に移行しています。Gmail・Outlookの双方で、認証が通らないメールは「届かない」時代に入ったと考えてください。

5,000通/日未満なら「関係ない」は誤解

「うちは1日5,000通も送らないから大丈夫」という声をよく聞きます。これは半分正解、半分誤解です。

5,000通未満でもSPF/DKIMは実質的に必須

Gmailの送信者ガイドラインは、すべての送信者に対してSPFまたはDKIMの設定を求めています。1日10通しか送らない会社でも、SPFもDKIMも未設定なら、Gmail側で認証失敗扱いになります。これは「5,000通未満だから免除」ではなく、「5,000通以上は追加でDMARC等も必要」という段階制限です。

DMARC未設定は「なりすまされ放題」を意味する

仮に自社が認証要件を満たしていなくても、第三者があなたのドメインを騙ってフィッシングメールを送ることは技術的に可能です。DMARC（ディーマーク）は「このドメインを騙った偽物をどう扱うか」を受信側に指示する仕組みで、未設定だと偽メールを弾いてもらえません。取引先に「御社を名乗る不審メールが届いた」と連絡された時点で、信用は大きく毀損します。

DMARCの基本的な役割はDMARCとは？中小企業が今すぐ対応すべき理由で詳しく解説しています。

将来的に閾値が下がる可能性は十分ある

GoogleもMicrosoftも「5,000通」という数字を固定するとは明言していません。フィッシング被害の増加に合わせて、閾値引き下げや要件強化が段階的に行われると見るのが自然です。義務化される前に準備しておくほうが、慌てて対応するよりはるかに安全で安価です。

中小企業が取るべき対応ステップ

IT担当者がいなくても進められるよう、実務的な順序で整理しました。

ステップ1: 現状を把握する

まず自社ドメインの認証設定状況を確認します。無料診断ツールにドメインを入力すると、SPF・DKIM・DMARCの設定状況と問題点が一覧で表示されます。digコマンドやオンラインのDNSチェッカーでも確認できますが、結果の読み方に専門知識が必要です。

ステップ2: SPFを設定する

SPFは「このサーバーからの送信を正規と認める」宣言です。Google Workspace・Microsoft 365・Resendなどを使っている場合は、各サービスの公式ドキュメントに従ってTXTレコードを追加します。

重要な注意点が1つあります。SPFのincludeは合計10個までしか許されません（RFC 7208）。複数のメール送信サービスを併用している会社は、既にこの上限を超えていることがあり、その場合は全体がPermerrorで無効化されます。設定前に既存のSPFレコードを必ず確認してください。

ステップ3: DKIMを設定する

DKIMは送信元サーバーがメールに電子署名を付け、受信側が「改ざんされていない本物」と判定するための仕組みです。メール送信サービスが発行する公開鍵のTXTレコードをDNSに追加するだけで有効化できます。

DKIMで特に注意すべきは、セレクタ名はサービスごとに異なるという点です。Google Workspaceはgoogle、Microsoft 365はselector1/selector2、Resendはresendといった具合です。推測で設定せず、必ず各サービスの管理画面で指示されたセレクタを使ってください。

ステップ4: DMARCはp=noneから始める

DMARCは必ずp=none（監視モード）から始めます。いきなりp=rejectにすると、設定漏れのあったメールがすべて拒否されて業務が止まります。最低限のレコード例は次のとおりです。

_dmarc.example.com. TXT "v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com"

ruaで指定したアドレスに、認証結果の集計レポートが毎日送られてきます。これを1〜2か月眺めて、「正規のメールがすべてpassしているか」を確認するのが次のステップです。

ステップ5: レポートを見ながら段階的に強化する

レポートで問題がないことを確認できたら、p=quarantine（迷惑メール扱い）→p=reject（拒否）と段階的に引き上げます。Googleもこの段階強化の進め方を公式ガイドで推奨しています。

よくあるつまずきポイント

実際にご相談いただくケースで多いものを3つ紹介します。

SPFレコードを複数書いてしまう

1つのドメインに対してSPFレコードは1つだけしか許されません。既存のSPFがあるのに、新しい送信サービス用にもう1行追加してしまうと、RFC違反で両方とも無効化されます。必ず1行にマージしてください。

DKIMセレクタを推測する

「たぶんdefaultだろう」と推測して設定すると、ほぼ確実に動きません。メール送信サービスの管理画面に必ずセレクタ名が書かれているので、それを使います。

いきなりp=rejectにする

DMARCを強いポリシーで設定しておけば安心、と考えてp=rejectから始めると、社員の個人メールや請求書自動送信などが一括で拒否され、気付いたときには取引先からの連絡が途絶える事態になりえます。p=noneで最低1か月、できれば2〜3か月のレポート観察を挟むのが定石です。

DMARCの設定手順はDMARC設定方法を徹底解説に詳しくまとめています。

まずは自社ドメインの現状を把握する

要点を整理すると次のとおりです。

• Gmail宛ての認証要件は2024年2月1日、Outlook宛ては2025年5月5日から運用中
• 1日5,000通未満でも、SPF/DKIMは実質必須。DMARC未設定はなりすましリスクを残す
• 対応は「現状把握→SPF→DKIM→DMARC p=none→段階強化」の順で進めるのが安全
• 特にSPFの10個上限、DKIMセレクタの取り違え、p=rejectの性急な設定でつまずきやすい

「うちのドメインはどの段階にいるのか」がわからない状態で動くのは危険です。無料のドメイン診断ツールで、SPF・DKIM・DMARCの設定状況と優先すべき改善点を数秒で確認できます。設定の進め方に不安がある方は、お問い合わせフォームから状況をお知らせください。業務が止まらないよう、手順を一緒に整理してお渡しします。