DMARC・DKIM・SPFとは?なりすましメールを防止する仕組みと設定方法
メールの利用にあたって「DMARC」「DKIM」「SPF」という用語を見かけたものの、「何だか難しそう……」「何のことかよく分からない」とお悩みではないでしょうか?
また、メールを送るときに「ちゃんと届いているのかな?」と心配になったことはありませんか?
「DMARC」「DKIM」「SPF」は、いずれもメールセキュリティを強化する技術のこと。
対応していないことで、「メールが相手に届いていない」状況になっている可能性もあります。
この記事では、Googleによる「メール送信者のガイドライン」内で求められている内容も交えて、「DMARC」「DKIM」「SPF」の概要、必要性、設定方法を分かりやすく解説します。
「メールをきちんと届けたい」「なりすましメールを防止して企業やブランドを守りたい」という方は、ぜひ最後までお読みください。
目次
DMARC・DKIM・SPFとは? それぞれの違いとは
まずは、DMARC・DKIM・SPFとは何か、から解説していきます。
アルファベットが並んでいる用語は、何だか難しく感じますよね。
技術的には専門的な内容が含まれますが、レンタルサーバーなどでメールを利用する上では、そこまで深く理解していなくても問題ありません。
まずは、それぞれどんなものなのか、基本的な仕組みを把握しておきましょう。
DKIM(ディーキム)とは
DKIMは、「Domain Keys Identified Mail」の略で、メールが実際に予定された送信者から送られていることを確認する技術です。
読み方は「ディーキム」です。
DKIMでは、送信メールに電子署名が追加され、受信側が署名を検証することで、メールが途中で改ざんされていないか、予定された送信者から実際に送られたメールであるかを確認できます。
電子署名とは、メールの内容と送信者の情報が正しいことを証明する、デジタルの印のようなものです。
認証に失敗すると……
メールが不正か、途中で改ざんされた可能性があると判断され、警告が表示されたり、迷惑メールとして隔離されたりする可能性があります。
メール内容が改ざんされていないことや、送信者がなりすましでないことが確認できるため、信頼できるコミュニケーションが可能になります。
DKIMの仕組み
DKIMによる認証は、以下のステップで進行します。
この一連の流れを通じて、メールの安全性が保証されます。
DKIMによる認証の流れ
- 公開鍵の登録
DNSサーバーに公開鍵を登録しておきます。 - メールの作成
送信者がメールを作成し、送信の準備をします。 - 電子署名の生成
送信元のサーバーが、メールの内容にもとづき、秘密鍵を用いた電子署名を生成します。 - メールの送信
電子署名が添付されたメールが受信者に送られます。 - 公開鍵による検証
受信側のメールサーバーは、送信者のドメインのDNSレコードから公開鍵を取得し、公開鍵を使ってメールに添付された電子署名を検証します。 - 検証結果の確認
電子署名が正しく検証されると、メールが送信者から正しく送られ、途中で改ざんされていないと認識されます。 - メールの受信と確認
検証が成功すれば、受信者は安全にメールの内容を確認できます。
上の流れに沿って、メールの送信元と内容が正しいものだと保証されるため、なりすましやフィッシングといったリスクから受信者を保護できるようになるのです。
DKIMレコードとは
メールの送信者がDKIM認証を使っていることを示すために、DNSに追加される情報のことです。
この情報の中には、電子署名の検証に使われる公開鍵が含まれています。
SPF(エスピーエフ)とは
SPFとは、「Sender Policy Framework」の略で、メールが本当にそのドメインから送られたものかを確かめるための技術です。
SPFは、なりすましを防ぎ、メールの信頼性を高めることに役立ちます。
ドメインの所有者は、自分のドメイン名でメールを送ることができるサーバーのリストをDNSレコードに公開します。
受信側のメールサーバーはリストを確認し、メールがリストにあるサーバーから送られてきたものかどうかを検証します。
認証に失敗すると……
もしメールがリストにないサーバーから送られた場合、それはなりすましの可能性が高いとみなされ、警告が表示されたり、迷惑メールとして隔離されたりする可能性があります。
SPFによって、送る側は自分のドメイン名が不正に使われることを防ぎ、受ける側はなりすましメールなど迷惑メールを効果的にフィルタリングできるわけです。
メールの送受信が日常的に行われる今、SPFを理解し、適切に設定することで、安心してメールを利用できるようになります。
SPFの仕組み
SPFでは、以下の流れでメールの送信元が正当なものであることを確認していきます。
SPFによる認証の流れ
- SPFレコードを設定
ドメインの所有者は、自分のドメインからメールを送信できるサーバーのリストを含むSPFレコードを、DNSに登録します。 - メールの送信
メールが送信されるとき、送信元のメールサーバーは、送信メールに送信元のドメイン情報を含めます。 - 受信サーバーがSPFレコードを確認
受信側のメールサーバーは、メールの送信元ドメインに設定されたSPFレコードをDNSから照会します。 - 送信サーバーの検証
受信サーバーは、メールが送られてきたサーバーが、SPFレコードに記載されている許可されたサーバーのリストに含まれているかを確認します。 - 検証結果にもとづく処理
もしメールが許可されたサーバーから送られてきたものであれば、メールは正当と認められます。
SPFはメールの送信元が正当であることを保証し、なりすましや不正なメール送信を防ぐ役割を果たします。
SPFを活用することで、信頼できるメールのやりとりが可能になります。
SPFレコードとは
ドメインのDNS設定に追加されるテキスト情報で、そのドメインからメールを送信できるサーバーのリストを指定するものです。
このレコードによって、受信側サーバーはメールが許可されたサーバーから送られてきたものかを確認し、なりすましメールを防ぐのに役立ちます。
DKIMとSPFの違い
DKIMはメール内容の改ざんがなされていないかの確認を主とする技術です。
メールに付与する電子署名の生成に用いたドメインを認証するもので、送信元のなりすましに対しては検証が十分ではありません。
一方、SPFはメールの送信元が正当であることを確認する技術です。
DKIMとSPFを併用することで、それぞれの弱点を補い合い、電子メールのセキュリティを強化できます。
DMARC(ディーマーク)とは
DMARCとは、先に紹介したDKIMやSPFと組み合わせて、メール送信時のセキュリティをさらに強化する技術です。
読み方は「ディーマーク」です。
「Domain-based Message Authentication, Reporting, and Conformance」の略です。
DMARCは、DKIMやSPFの認証だけでは防止できないなりすましに対して、追加認証を行うとともに、認証結果にもとづいて送信メールをどう取り扱うかを決定します。
ドメインの所有者は、DMARCレコードをDNSに追加することで、受信メールサーバーに対して、DKIMやSPFの認証に失敗したメールをどう扱うか指示できます。
たとえば、認証に失敗したメールを隔離したり、送信しないように拒否したりできます。
DMARCによる送信メールの取り扱い指示
- None(なし)
とくに何もせず、そのままメールが送信されます。 - Quarantine (隔離)
送信したメールは隔離用のフォルダに移動されます。 - Reject (拒否)
メールは送信されません。
また、DMARCではレポートが作成されるので、送信ドメインに対してどのようなアクションが取られたか、どのメールが認証に失敗したかを把握できます。
DMARCは、DKIMやSPFとの組み合わせにより、メール送信の信頼性を高めるための重要な仕組みなのです。
DMARCによる認証(アライメント)について
DKIMやSPFで認証したドメインと、メールソフト上に表示されている送信元アドレスのドメインが一致するかどうかを検証するものです。
実はメールソフト上に表示される送信元アドレスと、実際のメール送信に用いるアドレスは別々に存在しています。
メールソフト上に表示される送信元アドレスは、自由に設定できるため、簡単になりすましができてしまうのです。
DKIMやSPFでは、メールソフトに表示される送信元アドレスのドメインと、メール送信に用いられたドメインが一致するかは確認していないため、DMARCの認証でカバーします。
DMARCの仕組み
DMARCでは、以下の流れに沿って、なりすましなどの不正なメール送信を制限しています。
DMARCによる認証の流れ
- DMARCレコードの設定
ドメインの所有者は、認証に失敗したメールの取り扱い方法を指示するレコードを自分のDNSに設定します。 - メールの送信
メールが送信されるとき、送信ドメインはDKIMで署名され、SPFに従って送信されます。 - 受信サーバーによる検証
メールを受け取ったサーバーは、まずDKIMとSPFの認証を行い、その結果をもとにDMARCポリシーの確認へ進みます。 - DMARCポリシーの確認
受信サーバーは、メールの送信元ドメインのDMARCレコードを確認し、認証失敗時のポリシーを確認します。 - アクションの実行
DKIM認証とSPF認証の結果を確認するとともに、それぞれがメール送信者の認証として正当であるかを判定します。
認証に失敗した場合、メールはDMARCポリシーにもとづいて処理されます。 - レポートの生成
認証結果にもとづいてレポートを生成し、送信ドメインの所有者に送信されます。
この一連のステップを通じて、DMARCはなりすましやフィッシング攻撃から、ユーザーを保護しているのです。
DMARCレコードとは
ドメインのDNSに追加されるテキスト情報で、メールの認証ポリシーとレポートの送信先を定めたものです。
このレコードを通じて、ドメインの所有者は受信サーバーに対し、DKIMやSPFによる認証が失敗したメールを、どのように扱うべきか指示できます。
DMARCレポートとは
メールの送信元ドメインの認証情報とその処理結果をまとめたもので、設定したメールアドレスに送信されます。
レポートには、送信元のIPアドレス、認証の結果、メールの扱われ方などが記載されています。
DMARC・DKIM・SPFはなぜ必要?
ここまでを読んだうえで、「何だか専門的で難しい話だし、自分には関係ない話なのでは?」と感じた方もいるのではないでしょうか?
用語や仕組みは専門的ではありますが、いずれもメールの安全性を向上させる仕組みであり、メールを送信する人すべてに関係があります。
DMARC・DKIM・SPFが必要な理由
とくにGoogleのガイドラインは、Gmailアカウント宛にメールを送る人なら把握しておくべきです。
順にくわしく見ていきましょう。
Googleのガイドラインに対応するため
Googleは、個人用Gmailアカウント(末尾が@gmail.com、@googlemail.comのもの)へのメール送信について、ガイドラインを設けています。
ガイドラインには、DKIMやSPFの設定も組み込まれており、対応していない場合はGmailアカウント宛のメール配信に、影響が出る可能性があります。
総務省の令和5年版 情報通信白書によれば、Gmailは国内65%以上の人が「利用したことがある」としているため、多くの人が意識するべき事情と言えるでしょう。
1日に5000通以上のメールをGmailアカウントに送る場合には、「DMARC・DKIM・SPFすべての設定が必要」です。
2024 年 2 月 1 日以降、Gmail アカウントに 1 日あたり 5,000 件を超えるメールを送信する送信者は、このセクションに示す要件を満たしている必要があります。
ドメインに SPF および DKIM メール認証を設定します。
(引用:メール送信者のガイドライン - Google Workspace 管理者 ヘルプ)
以下のとおり、DMARCに関する記述もあります。
送信ドメインに DMARC メール認証を設定します。DMARC 適用ポリシーは none に設定できます。
(引用:メール送信者のガイドライン - Google Workspace 管理者 ヘルプ)
2024年2月以降に、上の内容を含めた「1 日あたり 5,000 件以上のメールを送信する場合の要件」が組み込まれたことから、DMARC・DKIM・SPFの必要性が一気に高まりました。
ビジネスなどで利用する場合は、対応必須の内容です。
ただ、メール送信が5000通未満の場合でも、「すべての送信者」に対して「DKIMかSPFのいずれかの設定が必要」としています。
ドメインに SPF または DKIM メール認証を設定します。
(引用:メール送信者のガイドライン - Google Workspace 管理者 ヘルプ)
迷惑メールに判定されるなどして届かない状況を少しでも避けるため、DMARC・DKIM・SPFの併用をおすすめします。
なりすましメールを防ぐため
DMARC・DKIM・SPFは、なりすましメールを防止するのに非常に効果的です。
なりすましメールを防ぐことは、企業・団体・ブランドなどの信用を保護するうえでも重要です。
なりすましメールとは
悪意をもった第三者が、送信元を信用できる知り合いや実在する信頼ある企業・団体などと偽って送るメールのこと。
フィッシングなど、個人情報や金銭を不正に入手する詐欺行為や、コンピュータウイルスの拡散などに使われることが多い手法です。
たとえば、悪意のある第三者が、あなたの会社の名前を使って、顧客、取引先、一般の人々になりすましメールを送ったとしたら、会社の信用を失ってしまいます。
さらに、何かしら被害が出てしまえばダメージは致命的です。
フィッシング対策協議会に寄せられる事例報告は、毎月非常に多くなっています。
出典:フィッシング対策協議会 月次報告書 | 2024/01 フィッシング報告状況
顧客や取引先など自社にかかわる人を詐欺や迷惑行為から守り、企業やブランドを保護するためにも、DMARC・DKIM・SPFを活用して、なりすましメールを防止しましょう。
メール到達率を向上させるため
DMARC・DKIM・SPFを導入して、送信元が確かなメールであると認証することで、メールをしっかり受信者に届けやすくなります。
送信したメールは、過去の送信状況や内容などから評価され、迷惑メールと判定されてしまうと、相手の受信箱に届かない場合があります。
迷惑メールとしての判定は多くの要因にもとづくため特定しづらいですが、送信元が確かで正当なメールだと認証することで、到達率の向上が期待できます。
届けたい相手にきちんとメールを届けるために、DMARC・DKIM・SPFを設定しておくのが効果的です。
DMARC・DKIM・SPFの設定方法
それでは、実際にDMARC・DKIM・SPFを設定していきましょう。
併用してお互いの弱点を補いあうことで、いっそう効果を高められますので、可能であれば3つとも併用することをおすすめします。
タイトル
レンタルサーバーにドメインを設定してメールを送信している場合、多くのサービスでDMARC・DKIM・SPFへの対応が進んでいます。
ご利用サービスからの案内に沿って作業を行っていけばOKです。
ここでは、当社運営のレンタルサーバー『エックスサーバー』での設定方法を紹介します。
『エックスサーバー』なら設定が簡単
『エックスサーバー』では、DKIMやSPFはドメイン設定とともに自動的に設定され、ほとんど意識することなく利用できます。
また、DMARCを含め、いずれも専用の機能があり、非常に簡単に設定や変更ができます。
「安全なメール送信がしたいけど、面倒なことはちょっと……」という方は、ぜひ『エックスサーバー』のご利用をご検討ください。
では、順に解説していきます。
DKIMの設定方法
『エックスサーバー』でのDKIMの設定は、サーバーでドメインを利用するときに行う「ドメイン設定」と同時に完了します。
サブドメインの場合も、作成と同時に設定が完了します。
そのため、DKIMに対して個別に設定することはありません。
「ドメイン設定」の手順については、以下の記事内にある「2. ドメインとサーバーを紐づける」を参考にしてください。
何らかの事情でDKIMの設定を無効にする場合には、サーバーパネルの「DKIM設定」から変更できます。
STEP1
『エックスサーバー』のサーバーパネルにログインします
STEP2
メニューから「DKIM設定」へ進みます
複数のドメインをサーバーに設定している場合は、設定対象のドメインを選びます
STEP3
対象ドメイン名の欄にある削除をクリックします
STEP4
画面を進め、設定が削除されたら完了です
DKIMの設定を再度有効にするときは、同メニューの「DKIM設定追加」タブから、設定を追加するだけでOKです。
参考:DKIM設定 | レンタルサーバーならエックスサーバー
SPFの設定方法
『エックスサーバー』でのSPFの設定は、DKIMの設定と同様に、「ドメイン設定」と同時に自動的に完了します。
そのため、SPFに対しても個別に設定することはほとんどありません。
ただし、サブドメインを作成した場合は、ご自身で設定する必要があるので、その点は注意してください。
本来は手動で「SPFレコード」をDNSに追加する必要がありますが、『エックスサーバー』の場合は「SPF設定」という専用の機能で簡単にできます。
STEP1
STEP2
対象ドメイン名の行にあるONにするをクリックします
STEP3
画面を進め、ONにするをクリックしたら完了です
SPF設定をONにすることで、SPF認証をするための「SPFレコード」がDNSに追加されます。
同じ手順でOFFにすることも可能です。
SPFレコードは、設定完了後の一覧にある「カスタム設定」をクリックすれば編集が可能です。
ただ、うまく動作しなくなる可能性がありますので、技術的な仕様をよく理解されている場合のみご利用ください。
カスタム設定後に問題が生じた場合は、設定一覧内の「初期化」メニューを使えば、元に戻せます。
DMARCの設定方法
『エックスサーバー』でDMARCを設定するには、ドメインごとに「DMARC設定」機能を使えばOKです。
DMARC設定前に、DKIMやSPFの設定が有効であることを念のため確認しておきましょう。
どちらも設定されていない場合、DMARC認証が失敗してしまいます。
いずれかのみの場合でも、DMARC認証が失敗する可能性があります。
DMARC設定の手順は以下のとおりです。
STEP1
STEP2
設定したいDMARCポリシーを選択します
- 何もしない(通常どおりのメール配送)
- 迷惑メールとして配送する
- メールを配送しない
はじめは「何もしない」を選び、メールが正しく認証され、想定どおりメール送信が完了している状況を確認してから、「迷惑メールとして配送する」または「メールを配送しない」に変更することをおすすめします
STEP3
レポート通知設定を選択します
状況を確認するためには「ON」をおすすめします
「ON」の場合は、通知先のメールアドレスを入力してください
STEP4
設定するをクリックすれば完了です
以上でDMARC設定は完了です。
DMARCのレポートでは、SPFやDKIMの認証結果など、メール送信の状況を把握するための情報が記載されています。
とくに企業の場合は、レポートで状況を確認しながら、認証が確実に成功する状態を確認したうえで順次設定を変更していくことをおすすめします。
自社のなりすましメールを防止するには、「隔離」や「拒否」としたいところですが、状況を把握しないまま設定すると、届けるべきメールまで届かなくなる可能性があります。
慎重に運用を進めていきましょう。
参考:DMARC設定 | レンタルサーバーならエックスサーバー
DMARC・DKIM・SPFで安全なメール送信を
この記事では、メール送信時の認証技術であるDMARC・DKIM・SPFについて、概要からメリットや設定方法まで解説しました。
要点をまとめると以下のとおりです。
まとめ
- DKIMは電子署名を用いて、内容が改ざんされていないかや、送信元ドメインが正当であるかの認証を行うもの
- SPFは、許可された送信元からのメールであるかの認証を行うもの
- DMARCは、DKIMやSPFと組み合わせて、不正なメールが受信箱に届くことを防ぐ仕組み
- いずれも送信元が正当であることを認証する技術であり、なりすましメールを防止するのに効果的
- 『エックスサーバー』では、自動的に設定されたり、専用の機能があったりして簡単に設定できる
DMARC・DKIM・SPFは、メールの送信元が正当であることを証明し、安全性の高いメール送信を行うためには必要不可欠です。
Googleのガイドラインに関する事情も紹介しましたが、安全なメールのやり取りを行うのが本来の目的です。
仕組みはやや専門的ですが、レンタルサーバーなどの機能を使えば、簡単に設定できますので、ぜひ利用してみてください。
以上、最後までお読みいただきありがとうございました。
ドメインもサーバーもご利用なら
エックスサーバーで
ドメインずっと0円
ドメインと一緒にサーバーもご利用なら、当社が提供するレンタルサーバーでの「独自ドメイン永久無料特典」がお得!
ドメイン取得はもちろん、更新料金もずっと0円! 移管にも適用可能です。
「.com」「.jp」「.co.jp」など、定番の人気ドメイン各種から選べます(諸条件あり)。
\ 国内シェアNo.1(※) /
\ 法人特化レンタルサーバー /
※ 2024年10月時点、W3Techs調べ。
ドメインの取得・移管は
人気ドメインも1円から取得可能!
人気ドメインも1円から取得可能!
人気ドメインも
1円から取得可能!
エックスサーバーが運営する、お手頃価格でご利用可能なドメイン取得サービスです。人気ドメインの「.com」や「.net」、企業・団体向けの「.co.jp」などを年額1円~取得することができます。70種類を超えるドメイン取得が可能で、ドメイン取得後も様々な関連サービスとの連携もラクラク。
まずはドメインの空きを検索!
