Gmail迷惑メール対策|SPF・DKIM・DMARC設定の必須手順を解説

2024年2月からGoogleのガイドラインが厳格化され、Gmail宛にメールを送信するすべての事業者にとって、送信ドメイン認証への対応が急務となりました。
本記事では、迷惑メールと判定されず、確実にメールを届けるために不可欠なSPF・DKIM・DMARCの役割と、具体的な設定手順を解説します。
この設定を行わないと、メールが届かない、ブロックされるといったビジネス上のリスクにつながる可能性があります。

なぜ今、Gmailへのメール送信にSPF・DKIM・DMARCが必須なのか?

現在、Gmailへのメール送信にSPF・DKIM・DMARCの設定が必須とされる背景には、深刻化するなりすましメールやフィッシング詐欺の問題があります。
悪意のある第三者が企業やサービスを装ってスパムメールを送りつける手口が巧妙化しており、受信者を保護するため、Googleは送信元の正当性を証明できないメールへの対策を強化しました。
これらの設定は、自社ドメインが悪用されるのを防ぎ、正当なメールであることを証明するための世界標準の仕組みです。

2024年2月から厳格化されたGoogleの「メール送信者のガイドライン」とは

Googleが2024年2月から段階的に適用を開始した「メール送信者のガイドライン」は、Gmailユーザーをスパムやフィッシング詐欺から守るための新たな要件です。
このガイドラインでは、Gmailアカウントへメールを送信するすべての送信者に対し、送信ドメイン認証(SPF、DKIM、DMARC)の設定を義務付けています。
特に1日に5,000通以上送信する場合は、3つすべての設定が必須となります。

この動きはGoogleだけでなく米Yahooも同様の要件を発表しており、メール送信におけるセキュリティ基準の世界的な潮流となっています。

未対応だとGmail宛にメールが届かない・ブロックされる可能性

Googleの「メール送信者のガイドライン」に対応していない場合、送信したメールの到達率が著しく低下するリスクが生じます。
具体的には、送信したメールが迷惑メールフォルダに振り分けられたり、あるいは受信サーバー側で完全にブロックされ、相手に全く届かなくなったりする可能性があります。

これにより、顧客への重要な通知やメールマガジンが届かないといった事態が発生し、ビジネスにおける機会損失や顧客との信頼関係の毀損に直接つながります。

迷惑メール対策の三種の神器!SPF・DKIM・DMARCの役割を理解しよう

迷惑メール対策を効果的に行うには、SPF、DKIM、DMARCという3つの送信ドメイン認証技術を正しく理解し、連携させることが重要です。
これらは「メール認証の三種の神器」とも呼ばれ、それぞれが異なる役割を担っています。

SPFは送信元サーバーの正当性を証明し、DKIMはメール内容の改ざんを防ぎ、DMARCはこれらの認証が失敗した際の対処方針を定めます。
3つを組み合わせることで、自社ドメインの信頼性を高め、なりすましメールを強力に防止します。

SPF:送信元サーバーの正当性をIPアドレスで証明する仕組み

SPF(Sender Policy Framework)は、メールが正規のサーバーから送信されたことを証明するための仕組みです。
ドメイン管理者は、自社のドメインからメール送信を許可しているサーバーのIPアドレスやホスト名を、DNSサーバーのSPFレコードにリストとして公開します。

メールを受信したサーバーは、送られてきたメールの送信元IPアドレスと、送信元ドメインのSPFレコードに記載されたリストを照合します。
IPアドレスがリストに含まれていれば、正規のサーバーからの送信であると判断され、認証が成功します。

DKIM:メールが改ざんされていないことを電子署名で保証する技術

DKIM(DomainKeys Identified Mail)は、メールの送信元が正当であることと、メール内容が途中で改ざんされていないことを保証する技術です。
送信側は、メールヘッダと本文から生成した電子署名をメールに付与して送信します。
この署名の作成には秘密鍵が使用されます。

受信側は、送信元ドメインのDNSサーバーに公開されている公開鍵を使って電子署名を検証します。
検証に成功すれば、そのメールが確かにそのドメインから送信され、かつ内容が改ざんされていないことが証明されます。

DMARC:SPFとDKIMの認証失敗時の対応を指示する宣言

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPFとDKIMの認証結果に基づいて、迷惑メールの疑いがあるメールの取り扱いを制御する仕組みです。
ドメイン管理者は、DNSサーバーにDMARCレコードを公開し、SPFまたはDKIMの認証に失敗したメールをどう扱うべきか(何もしない、迷惑メールフォルダに隔離、受信拒否)を受信サーバーに指示します。
また、DMARCは認証結果をレポートとして受信する機能も備えており、自社ドメインのなりすまし状況を把握し、セキュリティ対策を改善するために役立ちます。

【実践】Gmail迷惑メール対策!SPF・DKIM・DMARCの具体的な設定手順

Gmailへのメール到達率を維持するためには、SPF、DKIM、DMARCの各レコードを自社のドメインを管理するDNSサーバーに正しく設定する必要があります。
この設定作業は、ドメインのTXTレコードを編集することで行います。
利用しているレンタルサーバーやドメイン管理サービスによって具体的な操作画面は異なりますが、設定する内容の基本は共通です。

以下では、各設定のステップと記述例を解説します。

ステップ1:SPFレコードをDNSサーバーに追加する記述例

SPFレコードは、ドメインのDNS設定にTXTレコードとして追加します。
基本的な記述は「v=spf1」で始まり、続けてメール送信を許可するサーバーの情報を記述します。
例えば、GoogleWorkspaceを利用している場合は「include:_spf.google.com」を含めます。

複数のメールサービスを利用している場合は、それぞれのincludeタグを半角スペースで区切って並べます。
末尾には、リスト以外のサーバーからのメールをどう扱うかを示す「~all」(ソフトフェイル:受信を許可するが迷惑メールの可能性)や「-all」(ハードフェイル:受信を拒否)などを指定します。

ステップ2:DKIM設定でセレクタと公開鍵をDNSに登録する方法

DKIMの設定は、まずメール送信サーバー側で「セレクタ」と呼ばれる識別子と、それに対応する秘密鍵・公開鍵のペアを生成することから始まります。
次に、生成された公開鍵をDNSサーバーにTXTレコードとして登録します。
この際、ホスト名(または名前)のフィールドには「セレクタ._domainkey.yourdomain.com」のように、セレクタを含んだ形式で指定します。

レコードの値には、バージョン情報「v=DKIM1;」に続けて、公開鍵の文字列「p=(公開鍵)」を記述します。
これにより、受信サーバーは指定されたセレクタの公開鍵を取得して電子署名を検証できるようになります。

ステップ3:DMARCレコードを作成しDNSに公開する際のポリシー設定

DMARCレコードも、DNSサーバーにTXTレコードとして追加します。
ホスト名には「_dmarc.yourdomain.com」のように指定します。
レコードの値には、バージョン「v=DMARC1;」と、認証に失敗したメールの取り扱い方針を示すポリシー「p=none;」などを記述します。

ポリシーには、何もしない「none」、隔離(迷惑メールフォルダへ)「quarantine」、拒否「reject」の3種類があります。
最初は「p=none;」で開始し、レポートの送付先を指定する「rua=mailto:report@yourdomain.com;」を設定して、認証状況を監視しながら段階的にポリシーを強化していくのが安全な運用方法です。

「1日5,000通以上」は他人事?ガイドラインの対象者と満たすべき要件

Googleのガイドラインで示された「1日に5,000通以上」という基準は、最も厳しい要件が課される対象者を指しますが、この基準に満たない送信者も無関係ではありません。
実際には、Gmailアカウントにメールを送るすべての送信者がガイドラインの影響を受けます。
送信通数に応じて満たすべき要件が異なっており、少量であっても最低限のメール認証設定は必須とされています。

自社のメール送信状況を把握し、適切な対応をとることが求められます。

5,000通未満の送信者でもSPFまたはDKIMの設定は必須

1日のメール送信数が5,000通未満の送信者であっても、Googleのガイドラインでは最低限の対応が求められます。
具体的には、送信ドメインにSPFまたはDKIMのいずれかを設定することが必須要件です。
これにより、基本的ななりすましメール対策が施されていることを示します。

ただし、セキュリティの観点からは片方だけでは不十分なため、DMARCを含めた3つ全てを設定することが強く推奨されます。
迷惑メール率を一定以下に保つといった基本要件も、通数に関わらず全ての送信者に適用されます。

5,000通以上の送信者がクリアすべき追加要件

Gmailアカウントに対し1日に5,000通以上のメールを送信する場合、より厳格な要件を満たす必要があります。
まず、SPFとDKIMに加えてDMARCの設定が必須となります。
DMARCポリシーは最低でも「p=none」で公開しなければなりません。

さらに、マーケティングメールや購読メールには、受信者が容易に配信停止できる「ワンクリック登録解除」の仕組みを導入し、そのリンクがメール本文から明確に視認できるようにすることも求められます。
これらの要件を満たせない場合、大量のメールがブロックされる可能性があります。

設定は完了?SPF・DKIM・DMARCが正しく反映されたか確認する方法

DNSサーバーにSPF・DKIM・DMARCのレコードを設定した後、それらが正しく反映され、意図通りに機能しているかを確認する作業が不可欠です。
DNSレコードの変更がインターネット全体に反映されるには、数時間から最大で72時間程度かかる場合があります。
設定が完了したと思っても、記述ミスや反映の遅延により認証が失敗することもあるため、必ずテストを行い、認証結果を監視することが重要です。

確認にはいくつかの方法があります。

Gmailで「メッセージのソースを表示」して認証結果をチェックする

設定が正しく機能しているかを確認する最も簡単な方法は、実際にGmailアドレス宛にテストメールを送信し、そのヘッダ情報を確認することです。
受信したメールを開き、右上のメニューから「メッセージのソースを表示」を選択します。
表示されたテキストの中から「SPF」「DKIM」「DMARC」という項目を探し、それぞれの結果が「PASS」と表示されていれば、認証は成功しています。

もし「FAIL」や「NONE」と表示されている場合は、設定に誤りがある可能性が高いため、DNSレコードの記述を見直す必要があります。

DMARCレポート分析ツールを活用して監視する

DMARCを設定すると、レコードの「rua」タグで指定したメールアドレス宛に、認証結果をまとめたレポートが定期的に送信されます。
このレポートはXML形式で、そのままでは内容を理解するのが困難です。
そのため、国内外で提供されているDMARCレポート分析ツールやサービスを利用することをおすすめします。

これらのツールは受信したレポートを自動で集計・可視化し、自社ドメインから送信されたメールの認証成功率や、なりすましが疑われる送信元の情報などをダッシュボードで分かりやすく表示してくれます。

Gmailの迷惑メール対策(SPF・DKIM・DMARC)に関するよくある質問

ここでは、Gmailの迷惑メール対策としてSPF、DKIM、DMARCを設定する際によく寄せられる質問とその回答をまとめました。
具体的な設定や運用に関する疑問点を解消するためにご活用ください。

SPF・DKIM・DMARCはどれか1つだけ設定すればGmail対策になりますか?

なりません。
特に大量送信者には3つ全てが必須です。
5,000通未満でも、3つを組み合わせることでなりすまし対策の効果が最大化され、メールの信頼性が向上します。

Gmail対策およびドメイン保護のため、全ての送信者に3つの設定を強く推奨します。

Google Workspaceを利用している場合も、自分でSPFなどの設定は必要ですか?

はい、必要です。
GoogleWorkspaceを利用していても、独自ドメインのDNSレコード管理は利用者自身が行う必要があります。
Googleが提供するSPFやDKIMの値を参考に、自社で契約しているDNSサーバーへレコードを追加する設定作業が求められます。

DMARCのポリシー(p=none, quarantine, reject)はどれを選ぶべきですか?

まずは監視モードである「p=none」から始めることを強く推奨します。
これにより、認証失敗時もメールは受信者に届きます。
DMARCレポートを分析し、正当なメールが誤って認証失敗していないことを確認した上で、段階的に「quarantine」(隔離)や「reject」(拒否)へ強化するのが安全です。

まとめ

2024年からのGoogleのガイドライン変更により、SPF、DKIM、DMARCの設定は、ビジネスでメールを利用する全ての送信者にとって回避できない必須要件となりました。
これらの送信ドメイン認証は、自社のドメインをなりすましから守り、送信するメールの信頼性を証明するための技術的基盤です。

メールの送信量にかかわらず、全ての送信者はこれらの設定を行い、設定後は正しく機能しているかを確認し、DMARCレポートなどを活用して継続的に監視することが、安定したメール配信を維持するために不可欠です。