送信元ドメイン認証とは？ 10分でわかりやすく解説

送信元ドメイン認証とは、メールが「そのドメインを名乗って送信されてよい経路から届いたか」「配送中に改ざんされていないか」「認証に失敗したメールをどう扱うべきか」を受信側が確認するための仕組みです。実務では、SPF、DKIM、DMARCを組み合わせ、自社ドメインを使ったなりすましメールの抑止と、正規メールの信頼性維持に役立てます。

メールは仕組み上、表示上の差出人を偽装される余地があります。送信元ドメイン認証を設定していない、または設定が不完全な場合、自社ドメインを悪用したフィッシングメールが出回ったり、自社から送った正規メールが迷惑メールとして扱われたりする可能性があります。特に業務メール、通知メール、請求関連メール、認証メールを多く送る組織では、送信経路の把握と認証設定の継続的な管理が必要です。

送信元ドメイン認証とは

送信元ドメイン認証とは、メールの送信元ドメインに関する正当性を、受信側のメールサーバーが確認するための仕組みの総称です。単一の技術名ではなく、SPF、DKIM、DMARCなどをまとめて指す表現として使われます。

SPFは送信元サーバーの確認、DKIMはメールへの電子署名による改ざん検知、DMARCはSPFやDKIMの結果をもとにしたドメイン整合性の確認と、認証失敗時の扱いの宣言を担います。3つを組み合わせることで、受信側は「このメールをどの程度信用できるか」を判断しやすくなります。

なぜ必要なのか

メールは、業務連絡、請求、通知、問い合わせ対応、本人確認、マーケティング配信など、企業活動の多くで使われています。一方で、差出人名やメールアドレスの表示を悪用したなりすましも多く、受信者の注意だけで見破るには限界があります。

送信元ドメイン認証を導入すると、受信側はメールが送信ドメインの設定に沿っているかを確認できます。これにより、自社ドメインを名乗る不審メールを判別しやすくなり、フィッシング詐欺やブランドなりすましへの対策になります。また、正規メールであることを受信側へ示しやすくなるため、メール到達性の維持にも関係します。

送信元ドメイン認証の主な方式

SPF

SPFは、そのドメインとしてメール送信を許可するサーバーやサービスをDNSに公開し、受信側が送信元IPアドレスなどと照合する仕組みです。受信側は、届いたメールが許可された送信元から送られているかを確認します。

SPFは送信経路の確認に有効ですが、表示上のFromヘッダーだけを単独で保証するものではありません。また、メール転送を挟むと認証に失敗する場合があります。そのため、SPFだけで送信元ドメイン認証を完結させず、DKIMやDMARCと組み合わせて運用する必要があります。

DKIM

DKIMは、送信メールに電子署名を付与し、受信側がDNSに公開された公開鍵で署名を検証する仕組みです。署名が検証できれば、対象となる本文やヘッダーの一部が配送中に改ざんされていないことを確認しやすくなります。

SPFが主に送信元サーバーを確認するのに対し、DKIMはメッセージに署名を付けて整合性を確認します。外部サービスからメールを送る場合でも、正しくDKIM署名を設定すれば、送信ドメインとの関連性を受信側へ示しやすくなります。

DMARC

DMARCは、SPFやDKIMの認証結果に加えて、受信者に表示されるFromヘッダーのドメインとの整合性を確認し、認証に失敗したメールを受信側でどう扱ってほしいかをドメイン所有者が宣言する仕組みです。

DMARCでは、認証に失敗したメールに対して、監視のみを行うnone、迷惑メール扱いなどを求めるquarantine、受信拒否を求めるrejectといったポリシーを指定できます。また、認証結果に関するレポートを受け取ることで、自社ドメインを使った正規送信経路や不審な送信を把握できます。

SPF・DKIM・DMARCの違い

SPF、DKIM、DMARCは、役割が重複しているのではなく、確認している対象が異なります。SPFは送信元の許可、DKIMはメッセージの署名、DMARCはFromドメインとの整合性と認証失敗時の扱いを担当します。なりすまし対策として実効性を高めるには、3つを個別に設定するだけでなく、送信経路全体で整合するように管理する必要があります。

送信元ドメイン認証の仕組み

DNSに認証情報を公開する

送信元ドメイン認証では、認証に必要な情報をDNSに公開します。SPFでは送信を許可するサーバー情報、DKIMでは公開鍵、DMARCではポリシーやレポート送信先を設定します。受信側のメールサーバーは、届いたメールを検証する際にDNS上の情報を参照します。

このため、DNS設定の誤りはメール認証の失敗に直結します。古い送信サービスの記述が残っている、利用中の配信サービスがSPFに含まれていない、DKIM公開鍵が正しく設定されていない、DMARCレコードの書式に誤りがある、といった状態は避ける必要があります。

受信側が認証結果を判定する

受信側のメールサーバーは、送信元IPアドレス、DKIM署名、Fromヘッダーのドメイン、SPFやDKIMで認証されたドメインとの整合性を確認します。認証結果は、迷惑メール判定、隔離、拒否、警告表示などに使われる場合があります。

ただし、送信元ドメイン認証は、受信側の処理を完全に指定できるものではありません。DMARCポリシーはドメイン所有者の希望を示しますが、最終的な扱いは受信側のポリシーや迷惑メール対策の仕組みにも左右されます。

本文の安全性までは保証しない

送信元ドメイン認証は、送信元ドメインやメッセージの整合性を確認するための仕組みです。メール本文の内容が安全であること、添付ファイルが無害であること、リンク先が安全であることまで保証するものではありません。

正規ドメインから送られたメールであっても、アカウント侵害や配信システムの悪用により、危険な内容が送られる可能性は残ります。そのため、送信元ドメイン認証は、メールセキュリティ全体の一部として扱い、迷惑メール対策、URL検査、添付ファイル検査、利用者教育と併用する必要があります。

導入手順の基本

送信経路を洗い出す

最初に、自社ドメインを使ってメールを送っている経路を洗い出します。社内メールサーバーだけでなく、メール配信サービス、問い合わせフォーム、ECサイト、SaaSの通知メール、マーケティングオートメーション、請求システム、採用管理システムなども対象です。

送信経路の洗い出しが不十分なまま認証設定を強化すると、正規メールが認証に失敗する可能性があります。特に外部サービスが多い組織では、部門ごとに独自導入されたSaaSがメールを送っていることがあるため、情報システム部門だけでなく、営業、マーケティング、人事、カスタマーサポート部門にも確認が必要です。

SPFを設定する

送信経路を確認したら、そのドメインとして送信を許可するサーバーやサービスをSPFレコードに記載します。外部サービスを使っている場合は、サービス提供元が案内するSPF設定を確認して反映します。

SPFレコードは、許可する送信元を増やしすぎると管理が複雑になります。使っていないサービスの記述は残さず、定期的に見直します。また、SPFにはDNS参照回数などの制約があるため、多数の外部サービスを連結する場合は設計に注意が必要です。

DKIMを有効化する

次に、利用しているメールサービスや配信サービスでDKIM署名を有効にし、公開鍵をDNSに設定します。サービスごとにDKIMの設定方法やセレクタ名が異なるため、送信経路ごとに確認します。

DKIMは設定して終わりではありません。鍵の管理、ローテーション、サービス移行時の削除、複数サービス利用時のセレクタ管理が必要です。古い公開鍵が残ったままだと、管理状況が分かりにくくなります。

DMARCを段階的に導入する

DMARCは、最初からrejectを適用するのではなく、まずnoneでレポートを収集し、正規メールの認証状況を確認してから段階的に強化します。正規メールがSPFまたはDKIMで合格し、Fromドメインとの整合性も取れていることを確認したうえで、quarantineやrejectへ進めます。

送信経路が整理されていない状態で強いポリシーを適用すると、顧客向け通知、請求メール、問い合わせ返信などの正規メールが届かなくなるおそれがあります。DMARCは、設定値だけでなく、レポートを読み、送信経路を修正し、段階的に適用範囲を広げる運用が重要です。

導入後の効果

なりすましメール対策を強化できる

SPF、DKIM、DMARCを適切に設定すると、自社ドメインを名乗る不審メールを受信側が判別しやすくなります。特にDMARCポリシーを段階的に強化すれば、認証に失敗したメールを隔離・拒否してもらいやすくなり、ブランドなりすましやフィッシングメールへの対抗力が高まります。

正規メールの信頼性を維持しやすくなる

受信側のメールシステムは、送信元ドメイン認証の結果を迷惑メール判定の材料として利用する場合があります。SPF、DKIM、DMARCが整っていると、正規メールであることを受信側へ示しやすくなり、メール到達性の維持に役立ちます。

不審な送信経路を把握できる

DMARCレポートを利用すると、自社ドメインを使って送信されているメールの状況を把握できます。正規の外部サービスが認証に失敗している場合や、不審な送信元から自社ドメインを名乗るメールが出ている場合に、改善や対処の材料になります。

導入時の注意点

正規メールが失敗する場合がある

送信経路の洗い出しが不十分なままSPFやDMARCを設定すると、正規メールが認証に失敗する場合があります。特に、マーケティングツール、SaaS通知、問い合わせフォーム、外部委託先の配信サービスは漏れやすい送信経路です。

強いDMARCポリシーを適用する前に、レポートを確認し、正規メールがSPFまたはDKIMで合格しているか、Fromドメインとの整合性が取れているかを確認してください。

転送メールやメーリングリストで影響が出る場合がある

SPFは、メール転送によって認証に失敗することがあります。DKIMも、メーリングリストや一部の中継システムで本文やヘッダーが変更されると署名検証に失敗する場合があります。こうしたケースを想定し、DMARCではSPFとDKIMのどちらで整合性を満たすか、レポートを見ながら確認する必要があります。

DNS設定の保守が必要になる

送信元ドメイン認証は、設定後の保守が欠かせません。メール配信サービスの追加・廃止、SaaSの変更、ドメイン追加、サブドメイン運用、委託先変更があった場合、DNS設定も見直す必要があります。

使っていない送信元をSPFに残したり、古いDKIM公開鍵を放置したりすると、管理が複雑になり、調査時の判断も遅れます。ドメインごとの送信経路、SPF、DKIM、DMARCの設定状況を一覧で管理することが望まれます。

運用で確認すべきポイント

• 自社ドメインでメールを送るシステムと外部サービスを一覧化しているか
• SPFレコードに不要な送信元が残っていないか
• DKIM署名が送信経路ごとに有効化されているか
• DMARCレポートを確認し、認証失敗の原因を把握しているか
• DMARCポリシーをnoneから段階的に強化する計画があるか
• 新しいSaaSや配信サービスを導入する際、メール認証設定を確認する手順があるか
• サブドメインを含めて、送信に使うドメインと使わないドメインを区別しているか

送信元ドメイン認証は、初期設定だけで完了する施策ではありません。メール送信経路は、サービス追加、部門独自のツール利用、委託先変更によって変化します。定期的な棚卸しとレポート確認を続けることで、なりすまし対策と正規メールの信頼性を維持しやすくなります。

参考資料

• IETF RFC 7208：Sender Policy Framework（SPF）
• IETF RFC 6376：DomainKeys Identified Mail（DKIM）
• IETF RFC 7489：Domain-based Message Authentication, Reporting, and Conformance（DMARC）

まとめ

送信元ドメイン認証は、メールの送信元ドメインが正当かどうかを受信側が確認するための仕組みです。SPFは送信元サーバー、DKIMは電子署名、DMARCはFromドメインとの整合性と認証失敗時の扱いを担います。3つを組み合わせることで、自社ドメインを使ったなりすましメールを抑止し、正規メールの信頼性を維持しやすくなります。

導入時は、まず送信経路を洗い出し、SPFとDKIMを整えたうえで、DMARCをnoneから段階的に強化します。設定不備は正規メールの不達につながるため、DNS設定、外部サービス、DMARCレポートを継続的に確認してください。送信元ドメイン認証は、メール本文の安全性まで保証する技術ではないため、迷惑メール対策、URL検査、添付ファイル対策、利用者教育と合わせて運用する必要があります。