IT用語集

送信ドメイン認証とは? わかりやすく10分で解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

UnsplashLidya Nadaが撮影した写真      

はじめに

送信ドメイン認証は、送信者の正当性を受信側が評価しやすくするための仕組みの総称です。中心になるのはSPF、DKIM、DMARCの3つで、SPFは送信経路、DKIMは署名、DMARCは見かけ上のFromドメインとの整合性と受信側への処理方針を扱います。

3つは同じ働きをするわけではありません。SPFだけでは見かけ上のFromドメインを直接保護できず、DKIMだけでは受信側の扱いを統一できず、DMARCだけでは送信基盤の不備を埋められません。自社の送信経路を棚卸ししたうえで、役割の違う3つを組み合わせる構成になります。

導入効果を一言でまとめるなら、受信側に渡せる判定材料を増やすことです。なりすましメールやフィッシング詐欺の判定は受信側のローカルポリシーにも左右されますが、送信側がSPF、DKIM、DMARCを整備しておくと、正規メールと偽装メールを切り分けやすくなります。

SPF・DKIM・DMARCの違い

仕組み主に確認する内容受信側が見る識別子単独では足りない点
SPFその送信ホストに送信権限があるか主にMAIL FROM、必要に応じてHELO/EHLO見かけ上のFromドメインとの整合までは保証しません
DKIMどのドメインが署名したか、署名対象が配送途中で変わっていないかDKIM署名のd=ドメイン署名ドメインと見かけ上のFromドメインは別にできます
DMARCSPFまたはDKIMの認証結果が見かけ上のFromドメインと整合するかRFC5322.Fromのドメイン送信経路や署名設定が崩れていると正規メールも失敗します

SPF

SPFは、主にSMTPセッションのMAIL FROMまたはHELO/EHLOで使われるドメインについて、接続してきた送信ホストに送信権限があるかを受信側が確認する仕組みです。見かけ上の差出人欄ではなく、配送経路側の識別子を評価する点が出発点になります。

設定はDNSのTXTレコードで公開します。たとえば v=spf1 ip4:203.0.113.0/24 -all のように、利用を許可する送信元を列挙します。実運用では自社サーバーだけでなく、クラウドメール、フォーム配信、マーケティング配信基盤なども送信元に含まれやすいため、送信経路の棚卸しが前提になります。

SPFの注意点は2つあります。1つは、判定対象が見かけ上のFromドメインではないことです。もう1つは、転送で送信元ホストが変わると失敗しやすいことです。さらに、includeやmxなどDNS参照を伴う指定を増やしすぎると、評価時の参照上限に抵触する恐れもあります。

DKIM

DKIMは、送信側がメッセージのヘッダや本文の一部に電子署名を付け、受信側がDNSに公開された公開鍵でそれを検証する仕組みです。受信側は、どのドメインが署名したか、署名対象が配送途中で変化していないかを確認できます。

DKIMで押さえるべき点は、署名したドメインと見かけ上のFromドメインは同じとは限らないことです。送信サービス事業者のドメインで署名される構成もあり得るため、DMARCまで含めて整合を確認しないと、利用者が見る差出人欄との関係は整理しきれません。

もう1つの注意点は、転送やメーリングリストです。メール本文や件名、フッタが中継途中で書き換えられると、署名検証に失敗することがあります。DKIMは本文保護に強い一方、配送途中で内容が変わらないことを前提にしやすい仕組みです。

DMARC

DMARCは、SPFまたはDKIMの認証結果のうち、見かけ上のFromドメインと整合するものがあるかを受信側が判定できるようにし、失敗時の扱いとレポート送付先を送信側が宣言する枠組みです。SPFとDKIMの上に載る運用ルールと考えると整理しやすくなります。

DMARCのポリシーは、監視中心の p=none、隔離を求める p=quarantine、拒否を求める p=reject の3段階で考えるのが一般的です。ただし、p=reject を公開しても、最終的な受信処理は各受信サービスのローカルポリシーで決まります。送信側が一方的に結果を確定できる仕組みではありません。

導入時は、まず p=none でレポートを受け取り、正規の送信経路と整合状況を確認してから段階的に強めます。SPFやDKIMが正しく動いていない送信系統を残したままDMARCだけを強化すると、正規メールの不達を招きます。

導入時に確認したいポイント

  • 自社ドメインから送信する経路を洗い出す。基幹メールだけでなく、問い合わせフォーム、MAツール、請求書配信、監視通知も対象に含めます。
  • SPFに載せる送信元と、DKIMで署名するドメインの組み合わせを整理する。クラウドサービス任せの初期設定では、DMARC整合が崩れることがあります。
  • 転送、メーリングリスト、セキュリティゲートウェイの本文改変を想定する。SPF失敗やDKIM失敗が起きる経路を把握してからDMARCを強めます。
  • DMARCは監視から始める。一例として、p=noneで集計レポートを確認し、問題のない送信系統を確認した後にquarantine、rejectへ進める流れがあります。

まとめ

送信ドメイン認証を理解するうえでの軸は、SPFは送信経路、DKIMは署名、DMARCはFromドメインとの整合と受信側への方針宣言、という切り分けです。3つを同じ機能として扱うと、設定項目は増えても、なぜ不達や認証失敗が起きるのかを追えなくなります。

実務では、送信経路の棚卸し、SPF公開、DKIM署名、DMARC監視開始、段階的なポリシー強化の順で進めると、切り分けしやすくなります。導入の成否を分けるのは、各仕組みの定義を覚えることより、どのメールがどの経路で送られているかを把握することです。

よくある質問(FAQ)

Q.SPF・DKIM・DMARCは、どれか1つだけ設定すれば足りますか?

A.足りません。SPFは送信経路、DKIMは署名、DMARCはFromドメインとの整合と受信側への方針宣言を扱うため、役割が重なりません。

Q.SPFは見かけ上のFromアドレスを直接確認しますか?

A.直接は確認しません。主にMAIL FROMやHELO/EHLOで使われるドメインと送信ホストの対応を評価します。

Q.DKIMに通れば、差出人欄のドメインも正しいと判断できますか?

A.それだけでは判断できません。DKIMは署名ドメインを示しますが、見かけ上のFromドメインと一致するとは限りません。

Q.DMARCは何をもって合格と判定しますか?

A.SPFまたはDKIMの認証結果のうち、見かけ上のFromドメインと整合するものが1つでもあれば、DMARCの判定は通ります。

Q.DMARCの「p=none」「p=quarantine」「p=reject」はどう違いますか?

A.p=noneは監視中心、p=quarantineは隔離を求める設定、p=rejectは拒否を求める設定です。ただし、最終判断は受信側のローカルポリシーに委ねられます。

Q.転送やメーリングリストで認証に失敗しやすいのはなぜですか?

A.転送では送信元ホストが変わるためSPFが崩れやすく、メーリングリストでは件名や本文が変わるためDKIM署名が壊れることがあるためです。

Q.SPFのDNS参照回数には制限がありますか?

A.あります。include、a、mx、ptr、exists、redirectのようにDNS参照を発生させる指定は、評価時の上限を意識して設計します。

Q.最初からDMARCをp=rejectで公開してもよいですか?

A.正規の送信経路を把握できていない段階では避けた方が無難です。まずp=noneで監視し、整合が取れてから段階的に強めます。

Q.SPF・DKIM・DMARCを整備すれば、すべてのフィッシングメールを止められますか?

A.止めきれません。自社ドメインのなりすまし対策には効きますが、受信側の判定や他の対策と組み合わせて運用します。

Q.導入の最初に確認する項目は何ですか?

A.自社ドメインで送っているメールの経路です。どのサービスがどのドメインで送信し、どこで署名し、どのFromを見せているかを洗い出します。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article