SPF・DKIM・DMARCとは?役割の違いをわかりやすく解説
SPF・DKIM・DMARCという言葉を調べても、それぞれ何が違うのか、なぜ3つとも必要なのか分かりにくいという声をよく聞きます。この記事では非エンジニアの方にも分かるよう、それぞれの役割の違いと、B2Bのコールドメールでなぜ重要なのかを整理します。
- SPFは「どのサーバーから送っていいか」を宣言する仕組み、DKIMは「メールが改ざんされていないか」を証明する電子署名。
- DMARCはSPF・DKIMの結果を踏まえ、認証に失敗したメールをどう扱うかのポリシーを定める、いわば司令塔の役割を持つ。
- 3つのうち1つでも欠けると、なりすましメールとの区別がつかず、迷惑メール判定のリスクが高まる。
- 設定は一度で終わりではなく、DMARCレポートを見ながら継続的に調整する必要がある。
なぜ3つとも必要なのか
SPF・DKIM・DMARCは、いずれも「送信元のなりすましを防ぐ」という目的で作られた技術ですが、それぞれ守っている範囲が異なります。SPFだけでは、正しいサーバーから送っていても本文が途中で改ざんされていないかまでは分かりません。DKIMだけでは、署名が正しくても、そもそもなりすましメールへの対処が弱くなります。DMARCはこの2つの結果を踏まえて最終的な扱いを決めるため、3つが揃って初めて、なりすまし対策として機能します。
SPFとは
SPF(Sender Policy Framework)は、あるドメインからメールを送ってよいサーバーのIPアドレスを、DNSにリストとして登録しておく仕組みです。受信側のメールサーバーは、届いたメールの送信元IPが、そのドメインのSPFレコードに記載されたリストに含まれているかを確認し、含まれていなければ「許可されていない送信元」として警戒します。B2Bのコールドメールで外部のメール配信システムを使う場合、そのシステムの送信元をSPFレコードに追加しておかないと、認証エラーになる点に注意が必要です。
DKIMとは
DKIM(DomainKeys Identified Mail)は、送信するメールに電子署名を付与し、受信側でその署名を検証することで、本文やヘッダーが送信後に改ざんされていないか、また本当にそのドメインから送られたものかを確認する仕組みです。秘密鍵で署名し、公開鍵をDNSに公開しておくことで、受信側は誰でも検証できます。SPFが「送信元サーバー」を確認するのに対し、DKIMは「メールの中身の正当性」を確認するという違いがあります。
DMARCとは
DMARC(Domain-based Message Authentication, Reporting and Conformance)は、SPFとDKIMの認証結果を踏まえ、両方またはどちらかが失敗したメールをどう扱うか(そのまま届ける/迷惑メール扱いにする/拒否する)をドメイン所有者がポリシーとして宣言できる仕組みです。加えて、認証に失敗したメールがどこから来ているかをレポートとして受け取れるため、なりすましメールの発生状況を把握する監視の役割も果たします。
- SPF:送信を許可するサーバーのIPアドレスを宣言する
- DKIM:電子署名でメールの改ざん・なりすましを検証する
- DMARC:SPF・DKIMの結果に基づく扱い方針を宣言し、レポートを受け取る
設定の基本的な流れとよくある失敗
設定の基本的な流れは、まずSPFレコードとDKIMの鍵をDNSに登録し、その上でDMARCレコードを「none」(監視のみ、実際の配信には影響しない)から始めて、レポートを見ながら段階的に「quarantine」「reject」へと厳格化していくのが一般的です。いきなり「reject」から始めると、設定漏れがあった場合に正規のメールまで届かなくなるリスクがあるため注意が必要です。
よくある失敗は、外部の配信システムやCRMツールを追加した際にSPFレコードの更新を忘れることです。SPFには登録できるDNSルックアップの回数に上限があるため、複数のツールを使う場合はSPFレコードの記述が複雑になりすぎないよう整理しておく必要もあります。
数値は送信ドメインの運用歴やプロバイダによって変動する目安であり、保証値ではありません。
LDMでの認証運用
LDMでは、送信に使うすべてのドメインでSPF・DKIM・DMARCを設定した上で運用を開始し、DMARCレポートを定期的に確認して、意図しない送信元からのなりすましがないかを監視しています。B2Bの精密な少量配信であっても、この基盤が整っていなければ到達率は安定しないため、キャンペーンの内容以前に必須の前提と位置づけています。
よくある質問
SPFだけ設定していればDKIMやDMARCは不要ですか?
SPFだけでは本文の改ざん検知やなりすまし対策が不十分です。3つを揃えることで、受信側からの信頼性が大きく高まります。
DMARCのポリシーはいきなり「reject」にしてよいですか?
設定漏れがあると正規のメールまで届かなくなるリスクがあるため、まず「none」で監視し、レポートを確認しながら段階的に厳格化することをおすすめします。
外部の配信ツールを使う場合、何を設定すればいいですか?
そのツールの送信元またはドメインをSPFレコードに追加し、DKIM署名の設定も忘れずに行う必要があります。ツール提供元の案内に従って設定してください。
DMARCレポートは誰が見ればいいのですか?
送信ドメインを管理する担当者やIT部門が定期的に確認するのが基本です。外部の営業支援サービスを使っている場合は、その担当者と共有することも有効です。
SPF・DKIM・DMARCを設定すれば迷惑メール判定はゼロになりますか?
認証設定はなりすまし対策の前提であり、到達率を保証するものではありません。送信量や苦情率、本文の内容とあわせて総合的に管理する必要があります。