ドメイン番人
DMARC設定方法メール認証中小企業

DMARC設定方法を徹底解説|中小企業でもできる3ステップ

ドメイン番人5 分で読めます
目次

DMARC設定は3ステップで段階的に進める

この記事でわかること

  • DMARCの設定に必要な3つのステップ
  • SPF・DKIM・DMARCの関係と、それぞれの役割
  • 設定後の確認方法と、段階的なポリシー強化の進め方

「メールが届かない」が増えている理由

2024年2月、GoogleはGmail宛てに1日5,000通以上を送る一括送信者に対してDMARC(ディーマーク)の設定を義務化しました。それ以外の送信者にもSPFまたはDKIMの設定は必須となり、DMARCは「設定することが強く推奨される」扱いになっています。続いて2025年5月には、Microsoft Outlookでも同じ5,000通/日の閾値で同様の基準が適用されています。

この影響で、DMARC未設定の企業では以下のような問題が発生しています。

  • 取引先に送った請求書メールが届かない
  • 営業メールが迷惑メールフォルダに振り分けられる
  • 顧客からの返信メールが「送信できない」と戻ってくる

「うちは小さい会社だから関係ない」と思われるかもしれませんが、GmailやOutlookを使っている相手にメールを送る以上、迷惑メール判定を避けるためにDMARC対応は事実上必須です。

DMARCとは?SPF・DKIMとの関係

DMARCは、メールの「なりすまし」を防ぐための仕組みです。ただし、DMARC単独では機能しません。SPFDKIMという2つの技術と組み合わせて使います。

メール認証の仕組み(SPF・DKIM・DMARC)

それぞれの役割を簡単にまとめると:

  • SPF(エスピーエフ): 「このサーバーから送られたメールは正規のものです」と宣言する
  • DKIM(ディーキム): メールに電子署名を付けて、途中で改ざんされていないことを証明する
  • DMARC(ディーマーク): SPFとDKIMの結果をもとに、認証に失敗したメールをどう処理するか指定する

つまり、DMARCを設定するにはSPFとDKIMが先に設定されている必要があります

DMARC設定の3ステップ

ステップ1: SPFレコードを設定する

SPFレコードは、「どのサーバーがこのドメインからメールを送信してよいか」をDNSに登録するものです。

DNSの管理画面(お名前.com、Xserver、Cloudflareなど)にログインし、TXTレコードを追加します。

設定例:

ホスト名: @(空欄の場合もあり)
種別: TXT
値: v=spf1 include:_spf.google.com ~all

ここで include: の後に入る値は、利用しているメールサービスによって異なります。

  • Google Workspace: include:_spf.google.com
  • Microsoft 365: include:spf.protection.outlook.com
  • さくらインターネット: include:spf.sakura.ne.jp

複数のサービスを使っている場合は、1つのSPFレコードにまとめます。SPFレコードはドメインに1つだけという決まりがあるため、2行に分けてはいけません。

ただし、SPFレコード全体で参照できるDNSルックアップは合計10個までという制限があります(RFC 7208)。多数のサービスを統合してこの上限を超えると PermError となり、かえってメールが届かなくなるため、4つ以上のサービスを併用する場合は SPF flattening サービスの利用も検討してください。

ステップ2: DKIMを設定する

DKIMは、メールサービス側で設定が必要です。多くのメールサービスでは、管理画面からDKIMを有効化し、表示されるDNSレコード(CNAMEまたはTXT)をDNSに登録する流れです。

設定の手順はサービスごとに異なりますが、基本的には以下の流れです。

  1. メールサービスの管理画面で「DKIM設定」を探す
  2. 表示されるDNSレコードをコピー
  3. DNS管理画面で該当のレコードを追加
  4. メールサービス側で「検証」ボタンを押す

ステップ3: DMARCレコードを設定する

SPFとDKIMが設定できたら、最後にDMARCレコードを追加します。

DNSに設定するレコードの構成

DMARCの設定は、以下のTXTレコードをDNSに追加するだけです。

ホスト名: _dmarc
種別: TXT
値: v=DMARC1; p=none; rua=mailto:dmarc-reports@あなたのドメイン.co.jp

各パラメータの意味:

パラメータ 意味
v DMARC1 DMARCのバージョン(固定)
p none 認証失敗時の処理(まずは「何もしない」で監視)
rua mailto:... 認証結果レポートの送信先メールアドレス

最初は必ず p=none から始めてください。いきなり p=reject(拒否)にすると、正規のメールまで届かなくなるリスクがあります。

設定後の確認方法

DMARCを設定したら、正しく反映されているか確認しましょう。以下のコマンドで確認できます。

nslookup -type=txt _dmarc.あなたのドメイン.co.jp

結果に v=DMARC1; p=none; ... と表示されれば、設定は完了です。

DNS設定の変更は反映に最大48時間かかることがありますが、通常は数分〜数時間で反映されます。

DMARCポリシーの段階的な強化

DMARCを設定したら終わりではありません。監視モード(p=none)でしばらく運用し、問題がなければ段階的にポリシーを強化していきます。

DMARCポリシーの段階的な強化

各ステップで2〜4週間ほど運用し、DMARCレポートを確認して正規のメールが誤判定されていないことを確認してから次のステップに進みます。

最終的に p=reject まで強化できれば、御社のドメインを詐称したなりすましメールの多くをブロックできる状態になります(※ DMARCを評価する主要な受信側に限ります。サブドメインも保護する場合は sp=reject の併記が必要です。また、似たドメイン名を使ったフィッシング(例: exarnple.co.jp)はDMARCの保護対象外のため、別途ブランド監視などの対策が必要です)。

なお、Gmail・Outlookによる義務化がいつから始まり、1日5,000通未満の企業も含めてどのような対応ステップを踏むべきかは、DMARC義務化はいつから?対応手順を中小企業向けに解説にまとめています。

まとめ

  • DMARCの設定は「SPF → DKIM → DMARC」の3ステップ
  • 最初は p=none(監視モード)で始め、段階的に強化する
  • GmailやOutlookの送信者要件強化により、中小企業でもDMARC対応は配信性確保のため事実上必須

設定に不安がある方へ

「自分でDNSを触るのは怖い」「設定を間違えたらメールが止まるのでは」——そんな不安をお持ちの方は、専門家にお任せください。

現状の設定状況を診断した上で、必要な改善点をわかりやすくご説明します。すべての作業は事前にご確認いただいてから実施しますので、安心してお任せいただけます。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから