コラム
「一生懸命に書いたメルマガが、迷惑メールになって届かない…」
そんなお悩みは、あなたのメールが「身元不明」と判断されていることが原因かもしれません。
特に2024年以降、Gmailの送信者ガイドラインが厳格化され、メールの「身元証明」は今やビジネスに必須の対策となっています。
このコラムでは、大切なメールを確実に届けるために必要な3つの「認証技術」について、分かりやすく解説します。
なぜあなたのメールは「身元不明」と判断されるのか?
その最大の理由は、悪質な「なりすましメール」と、あなたの送る正当なメールが、受信側からは区別できないからです。
迷惑メールの多くは、実在する企業やサービスを騙り、送信元のアドレスを偽装して送られてきます。例えば、正規のアドレス test@example.com を名乗りながら、実際には example.com とは無関係なサーバーからメールが送られてくるのです。このように、見た目だけでは本物のメールと区別がつきません。
この状況に対応するため、Gmailなどのメールサービスは利用者を詐欺やウイルスから守るべく、届いた全てのメールを「なりすましの可能性がある」という前提で厳しくチェックしています。
このチェックを通過するには、「このメールは、表示されている通りの送信元から送られた本物です」と、送信者側が技術的に証明しなくてはなりません。
もし、この「技術的な証拠(=身元証明)」がなければ、たとえあなたが送った正当なメールであっても「なりすましの疑いがある怪しいメール」と判断され、迷惑メールフォルダに振り分けられたり、受信を拒否されたりしてしまうのです。
これが、メールの信頼性を高めるための「身元証明」が不可欠である理由です。
メールの「身元証明」に必要な3つの認証技術
メールの信頼性を証明するには、主に以下の3つの認証技術が使われます。
・SPF:送信元サーバーが正しいかをチェック
・DKIM:メール内容が改ざんされていないかをチェック
・DMARC:認証失敗メールの扱いを指示
これらは個別に機能しますが、3つを組み合わせることで、自社のドメインが悪用されるリスクを最大限に抑え込みます。
では、これらの技術はどのように設定するのでしょうか。それぞれの詳細を見ていく前に、まずはこれら3つの認証技術に共通する「管理場所」について解説します。
これら3つの認証技術は、すべてメールを送信するアドレスのドメイン(例:example.com)を管理するDNS(ドメインネームシステム)という場所で管理します。
DNSは、Webサイトの住所などを管理する、いわば「インターネット上の住所録」のようなものです。
このDNSにメールの身元証明情報を書き込むことで、その正当性を誰もが確認できるようになるのです。
このDNSの設定は、ご利用されているサーバー会社や、ドメインを契約したサービスの管理画面をご確認ください。
その管理画面上で、SPF、DKIM、DMARCの情報を設定することで、メールが正規のものであることを証明します。
では、これらの認証技術について、一つずつ見ていきましょう。
認証技術1:SPF(送信元サーバーの正当性を証明)
通常、メールは契約しているプロバイダーなどのサーバーから送られます。しかし、メルマガ配信やECサイトの通知メールでは、外部の専門サービスを利用して送ることがよくあります。
すると受信側からは、そのメールが普段とは違う「知らない場所」から送られてきているように見えてしまい、なりすましメールと区別がつきません。
そこでSPFでは、ドメインの管理者(送信者)が、「私たちのメールは、自社のサーバーと、この外部サービスからも送ります」という公認の送信元リストを、DNSを通じて事前に公開しておきます。
メールを受け取ったサーバーは、このリストを自動で照会します。もし送信元サーバーがリストに記載されていれば、「公認の場所から送られたメールだ」と判断し、安全に受信します。
逆に、リストにないサーバーからメールが届けば、「許可されていない不審な場所から送られている」と判断し、迷惑メールとして扱う可能性が高くなるのです。
このようにSPFは、送信元サーバーの正当性を証明することで、なりすましメールを防ぐ第一の関門として機能します。
認証技術2:DKIM(メール内容の改ざんを防止)
DKIMは、メールが送信されてから受信者に届くまでの間に、内容が不正に書き換えられていないこと(改ざんされていないこと)を保証する仕組みです。
もしメールが送られる途中で、悪意ある第三者に本文のURLや添付ファイルなどを書き換えられてしまうと、読者はフィッシング詐欺などの被害に遭うかもしれません。
DKIMはこれを防ぐために、送信時に「電子署名」という特殊なデータをメールに付与します。
この「電子署名」は、メールの本文やヘッダー情報などから作られる、そのメール専用の暗号化されたデータです。メールの内容が1文字でも変更されると、この署名は正しく検証できなくなり、「無効」な状態になります。
受信側のサーバーは、メールに付与された「電子署名」が有効かどうかを自動で検証します。
署名が有効な場合は「送信者が本人であり、内容は改ざんされていない」と判断し、安全なメールとして扱います。
署名が無効な場合は「送信者が偽物か、途中で内容が書き換えられた可能性がある」と判断し、危険なメールとして扱う可能性が高くなります。
このようにDKIMは、メール内容の完全性を保証することで、より安全なメールのやり取りを実現します。
認証技術3:DMARC(認証失敗メールの対処方針を定義)
SPFとDKIMは、それぞれ送信元サーバーやメール内容の正当性を検証する技術です。
DMARCは、それらの検証に失敗したメールに対して、受信側(Gmailなど)がどのように対処すべきかという方針(ポリシー)を、送信側が定義し宣言するための仕組みです。
DMARCが指定する3段階の対処方針
この「対処方針」には、主に3つのレベルがあり、状況に応じて設定します。
1.none(監視モード)
認証に失敗したメールも通常通り受信されますが、その活動を記録したレポートが送信者に届きます。自社ドメインのメール送信状況を把握するための、最初のステップです。
2.quarantine(隔離モード)
認証に失敗したメールは、受信者の「迷惑メール」フォルダに隔離するよう指示します。
3.reject(拒否モード)
認証に失敗したメールは、受信者に届く前に完全にブロック(受信拒否)するよう指示します。最も強力な対処方針です。
状況を把握するためのレポート機能
DMARCのもう一つの重要な機能が、この「状況報告(レポート)」です。
「あなたのドメインを名乗るメールが、どのサーバーから送信されたか」といった内容のレポートを定期的に受け取ることができます。これにより、自社ドメインのなりすまし状況を正確に把握し、対処方針をより強力なものへ変更するなどの対策が可能になります。
DNSへの設定方法
この設定は、DNSに「DMARCレコード」と呼ばれる、以下のような一行のテキストを記述して行います。
<記載例>
_dmarc.example.com TXT "v=DMARC1; p=none; rua=mailto:report@example.com;"
この例では、p=none で「監視モード」の方針を指示し、rua=... の部分で「レポートの送信先メールアドレス」を指定しています。
【補足】
DMARCレコードのホスト名には「_dmarc」を必ず使用します。また、レポートの送付先を指示する rua は任意項目です。
このようにDMARCを設定することで、あなたは受信側へ明確な対処方針を伝え、レポートを通じて状況を把握できます。これにより、自社のブランド価値を保護し、顧客をフィッシング詐欺などの脅威から守ることにつながるのです。
なぜ今、メール認証が「必須」なのか?
ここまで解説したメール認証(SPF・DKIM・DMARC)は、単なる推奨設定ではありません。これらの設定がされていない場合、「メールが届かない」「自社ドメインが犯罪に悪用される」といった、ビジネスにおける深刻なリスクを直接招くことになります。
リスク1:主要なメールサービスに届かなくなる
現在、メール認証の設定は、ビジネス上の必須要件となっています。
2024年からGmailやYahoo!メールは、すべての送信者に対してメール認証を求める新しいルールを適用しました。要件は送信通数によって異なり、以下のようになっています。
・すべての送信者に対する要件
1日の送信通数に関わらず、すべての送信者はSPFかDKIMのいずれかを設定する必要があります。これが、最低限の身元証明となります。
・大量送信者(1日5,000通以上)への追加要件
上記の要件に加えて、大量送信者はSPFとDKIMの両方を設定し、さらにDMARCの設定が必須となります。
これらの要件を満たさない場合、あなたのメールは認証情報が不十分であると判断され、受信者に届くことなく受信拒否されたり、迷惑メールフォルダに振り分けられたりする可能性が非常に高くなります。
特に大量送信者がDMARCを設定していない場合、その影響は非常に大きいものになります。お客様への大切な案内が、読まれることなく処理されてしまうのです。
※参考:メール送信者のガイドライン - Google Workspace 管理者 ヘルプ
https://support.google.com/mail/answer/81126?hl=ja
※参考:Yahoo Sender Best Practices
https://senders.yahooinc.com/best-practices/
リスク2:自社のドメインが犯罪に悪用される
SPFやDKIM、DMARCが設定されていないドメインは、送信元の正当性を証明する技術的な手段がないため、第三者によるなりすましが非常に容易な状態にあります。
この状態を放置すると、あなたの会社名やサービス名で、偽の請求書やフィッシング詐欺のメールが送信される可能性があります。たとえ自社に非がなくても、ドメインが悪用されれば企業の社会的信用は大きく損なわれます。
対策は難しくない!段階的な導入でリスクを管理する
幸い、DMARCはこれらのリスクに対し、段階的に対策を強化できるよう設計されています。いきなり全てのメールをブロックするのではなく、状況を把握しながら安全に導入を進めることが可能です。
ステップ1:監視から始める (DMARCポリシー: p=none)
まずは「監視モード」でDMARCの運用を開始します。この設定では、認証に失敗したメールもブロックされることはありません。その代わり、自社ドメインを名乗るメールが「どこから・どのくらい」送信されているかのレポートが届きます。これにより、自社のメール送信状況を正確に把握できます。
ステップ2:隔離・拒否へ移行する (DMARCポリシー: p=quarantine / p=reject)
ステップ1のレポートを分析し、自社で利用している正当なメール送信サービスがすべて認証されていることを確認します。
その上で、ポリシーを「隔離(迷惑メールフォルダへ)」や、最終的には「拒否(ブロック)」へと強化します。
このステップを踏むことで、正当なメールの到達性を損なうことなく、なりすましメールだけを正確に排除し、自社のブランドと顧客を守ることができるのです。
専門知識は不要!メール認証を簡単に設定しませんか?
SPF・DKIM・DMARCが、メールの信頼性を高めるために不可欠な設定であることを解説しました。
しかし、多くの方が「DNSの知識がないから難しそう…」「IT担当者が忙しくて、そこまで手が回らない…」といった課題をお持ちではないでしょうか。
そのお悩み、『さぶみっと!メール配信』が解決します!
コピー&ペーストだけで、複雑な設定は完了です
通常、専門知識が必要なメール認証設定ですが、『さぶみっと!メール配信』のDKIMオプション(有料)にお申し込みいただければ、心配は無用です。
当サービスでは、送信者専用の設定情報(※)をご用意します。
お申込みいただいた方にしていただく作業は、その数行のテキストを、お使いのサーバーの管理画面にコピー&ペーストするだけ。 これだけで、メールの信頼性を証明する「SPF」と「DKIM」の設定が一度に完了します。
※DKIM有料オプションでご提供する設定情報
・DKIM認証用のCNAMEレコード
・SPF設定用のCNAMEレコード
また、今回解説した3つの認証設定のうち、SPFとDKIMを束ね、最終的な方針を指示するのが「DMARC」です。
このDMARCは、送信者ご自身で設定・管理していただく必要があります。
DMARCは1つのドメインに対して1つ設定するものなので、例えば会社の代表ドメイン(例:example.com)ではIT担当部署などが既に設定済みかもしれません。
そのため、自社の設定状況をまだ把握されていない方はもちろん、すでに設定済みの方も、現在の方針(ポリシー)が最適か、この機会に見直しをされることをお勧めします。
まとめ:大切なメールを、確実に届けるために
「身元不明」と判断されないためにも、SPF・DKIM・DMARCといったメール認証は、今やビジネスに必須です。
『さぶみっと!メール配信』は、専門知識が必要なメール認証設定をスムーズに導入し、あなたの大切なメールがお客様に確実に届くまでを力強くサポートします。
大切なメールを確実に届けるための第一歩として、14日間の無料トライアルをご用意しております。
DKIM設定は本契約後の有料オプションとなりますが、直感的に操作できる管理画面などサービスの基本的な使いやすさをぜひお試しください!
