「自社から送ったメールが、顧客に正しく届かない」

「自社のドメインを悪用したなりすましメールを防止したい」

このような悩みはありませんか。

実は、それらの課題は「DMARC」という設定で解決できるかもしれません。DMARCは、メールの送信元が本物かどうかを検証する仕組みで、なりすましメールを高い精度で防ぎます。

この記事では、DMARCの基本的な知識から、混同されやすいSPFやDKIMとの違い、具体的な設定手順、そして設定後の確認ポイントまで、初心者にもわかりやすく解説します。

セキュリティ対策にも対応したフォームを安全に運用したいなら、フォーム作成ツール「formrun（フォームラン）」がおすすめです。

「formrun（フォームラン）」には、以下の特徴があります。

• プログラミング不要

• 豊富なメール機能

• ISMS・Pマーク取得済みの万全のセキュリティ

• Salesforce、HubSpot、kintone、その他基幹システムに連携可能

▼セキュリティ対策にも対応したフォームを安全に運用できるサービスを探しているなら、ぜひ「formrun（フォームラン）」をお試しください。

DMARCは、「Domain-based Message Authentication, Reporting and Conformance」の略称で、なりすましやフィッシングといった迷惑メールを防ぐための送信ドメイン認証技術です。2012年に大手メールサービス提供企業が共同で策定しました。

DMARCは、すでにある「SPF」と「DKIM」という2つの認証技術の結果を利用します。送信元のドメインを厳しく検証し、認証に失敗した不正なメールを隔離したり受信を拒否したりできます。これにより、企業や顧客をなりすましメールの危険から守り、自社ブランドの信頼性を高める重要な役割を果たします。

現在、GoogleやYahoo!、Microsoftといった主要なメールサービスがDMARCの導入を強く推奨しており、2024年以降は設定が必須の流れになっています。

▼DMARCについて、より詳しい仕組みや導入のメリットを知りたい場合は、下記の記事もあわせてご覧ください。
>> DMARC（ディーマーク）とは？仕組みや設定方法、導入する3つのメリット、注意点

DMARCが必要とされるようになった一番の理由は、フィッシング詐欺やなりすましメールによる被害が社会問題になるほど急増しているからです。

メールには、送信元のメールアドレス、ヘッダFromを自由に書き換えられる仕様があり、この弱点を悪用した詐欺が後を絶ちません。

このような状況を受け、総務省は2025年にフィッシングメール対策の強化を要請し、その中でDMARCの導入を明記しました。また、GoogleとYahoo!は2023年10月に送信者ガイドラインを更新し、DMARC設定を強く推奨しています。2024年2月以降、このガイドラインに従わない送信者のメールは、Gmailで拒否される可能性があります。

特に、メールマガジンや通知メールのように一日5,000通以上のメールを大量に配信する企業にとって、DMARCの設定は必須です。未設定のままだと、顧客に大切なメールが届かなくなるだけでなく、企業の信頼を大きく損なう危険があります。

参考：フィッシングメール対策の強化に関する要請｜総務省

DMARCの役割を理解するためには、SPFとDKIMという2つの技術との違いを知ることが重要です。SPF・DKIM・DMARCは、それぞれ異なる方法でメールの正当性を確認します。

DMARCを導入すると、単に迷惑メールを防ぐだけでなく、ビジネスを円滑に進める上でさまざまな良い効果が期待できます。

• セキュリティ面での効果

• ドメイン保護・ブランド信頼性での効果

• 運用・管理面での効果

• メール配信品質・ビジネス継続性での効果

ここでは、以下の4つの効果を解説します。

DMARCを導入する最大のメリットは、なりすましメールやフィッシングメールの防止です。

SPFやDKIMの認証結果をもとに、受信サーバーがメールを自動的に「隔離」または「拒否」できるため、攻撃メールが利用者の受信箱に届く前に排除されます。これにより、情報漏れや詐欺被害のリスクを大幅に軽減できます。

また、DMARCポリシーを適切に設定することで、組織外からの不正送信を制御し、社内外のメール通信をより安全に保つことが可能です。

DMARCを設定することで、自社ドメインの不正利用やなりすましを防止できます。これにより、正規のメールのみが受信者に届き、ブランドの信頼性を維持できます。

さらに、BIMI（Brand Indicators for Message Identification）対応により、受信者の受信トレイにブランドロゴを表示できるため、正規メールを一目で識別可能です。これにより、メール開封率の向上やブランド価値の向上にもつながります。

DMARCは単なるセキュリティ対策にとどまらず、ブランドの信頼性を高めるマーケティング効果も持っています。

DMARCの導入により、メール認証の可視化と分析が可能になります。DMARCレポートを活用すれば、送信元サーバーの状況や認証結果を定期的に確認でき、SPF・DKIM設定の不備を早期に発見できます。

また、「none」ポリシーで影響範囲を確認しながら、「quarantine」や「reject」へ段階的に移行できるため、リスクを最小限に抑えて安全に運用を強化できます。これにより、メールシステム全体の健全性を維持しながら、継続的な改善が可能になります。

DMARCを導入している企業は、GoogleやMicrosoftなど主要メールプロバイダーからの信頼性を維持できます。認証に失敗するメールが減ることで、メールが迷惑メールフォルダに分類されたり、拒否されたりするリスクを回避できます。

結果として、請求書・通知・キャンペーンメールなどの重要なメールが確実に届くようになり、顧客との信頼関係を維持できます。メール配信の安定性が向上することで、ビジネス機会損失を防ぎ、業務の継続性を高める効果も期待できます。

DMARCの設定は、正しい手順に沿って進めることが重要です。以下の4つのステップで設定を行います。

1. SPFレコードを設定する

2. DKIMレコードを設定する

3. DMARCレポートを受け取るメールアドレスを準備する

4. DMARCレコードをDNSに登録する

DMARCはSPFとDKIMの認証結果を利用するため、必ずSPFとDKIMの設定を先に完了させておく必要があります。これから各ステップの内容を詳しく解説します。

まずは、SPF（Sender Policy Framework）レコードの設定を行います。SPFは、どの送信サーバーが自社ドメインからのメール送信を許可されているかを示す仕組みです。

設定はDNSにTXTレコードとして登録します。

例）

v=spf1 include:_spf.google.com ~all

SPFを設定していない場合、DMARC認証も正しく動作しません。そのため、必ず最初に設定を完了させる必要があります。

また、複数のサービス（例：Google Workspace・SendGridなど）からメールを送信している場合は、すべての送信元IPやドメインをSPFに登録することが重要です。誤った記述や漏れがあると、正当なメールが拒否されるリスクがあるため、設定内容は慎重に確認しましょう。

次に、DKIM（DomainKeys Identified Mail）レコードを設定します。DKIMは、送信メールに電子署名を付与し、改ざんの有無を検証する技術です。

秘密鍵で署名を行い、公開鍵をDNSにTXTレコードとして登録します。

TXTレコード例：

• ホスト名：s1._domainkey.example.com

• 値：v=DKIM1; k=rsa; p=公開鍵

公開鍵と秘密鍵はペアで生成し、1,024bit以上の鍵長が推奨されます。GmailやGoogle Workspaceでは、管理コンソールからDKIM鍵を自動生成できます。

署名対象のヘッダ（From、Subject、Toなど）を明確に設定し、送信経路で署名が変更されないようにすることがポイントです。DKIM署名が欠落していると、DMARC認証が失敗する原因になるため、必須項目として設定しておきましょう。

DMARCを導入すると、各受信プロバイダ（Gmail、Outlookなど）から認証結果をまとめたDMARCレポートが送信されます。これにより、送信ドメインの認証状況や不正利用の有無を確認できます。

レポートは大量に届く場合があるため、専用のメールアドレスを準備することを推奨します。

例）

dmarc_report@yourdomain.com

また、DMARCレポートには以下の2種類があります。

• rua（集計レポート）：認証結果の統計情報

• ruf（失敗レポート）：認証エラー時の詳細情報

用途に応じて両方を設定しておくと、より正確に運用状況を把握できます。GmailやGoogle Workspaceでも、同様にDMARCレポート受信用のメールアドレスを設定し、DNSに反映する必要があります。

最後に、DMARCレコードをDNSにTXT形式で追加します。設定内容は次のようになります。

• ホスト名：_dmarc.example.com

• 値：

pタグで認証失敗時の処理を指定できます。

• none：監視のみ

• quarantine：迷惑メール扱い

• reject：受信拒否

導入初期は「none」で運用し、レポートを分析して問題がなければ、段階的に「quarantine」→「reject」へ移行するのが安全です。

SPFとDKIMのアライメント（整合性）が合格していることを確認し、本番環境でポリシーを厳格化することで、なりすましメール防止効果を最大化できます。

DMARCレコードをDNSに登録したら、設定が正しく機能しているかを確認する作業が非常に重要です。確認を怠ると、意図せず自社のメールが届かなくなってしまう可能性があります。

• 設定が正しく反映されているか確認する

• DMARCレポートを確認・分析を行う

• 運用初期は「p=none」で安全にテストする

ここでは、設定後に必ず確認すべき3つのポイントを解説します。

DMARC設定はDNSのTXTレコードに反映されるため、まずは設定内容が正しく登録されているかを確認します。

確認方法として、コマンドラインで以下のように入力します。

または、「MXToolbox」などの無料チェックツールを利用するのも便利です。

そのうえで、Gmail・Outlook・Yahoo!メールなどのDMARC対応プロバイダへテスト送信し、「SPF」「DKIM」「DMARC」のすべてがpassになっているかを確認します。Google Workspaceを利用している場合は、管理コンソールでSPF・DKIM設定の有効化状況も確認しましょう。

なお、SPFやDKIMがDNS上でまだ反映されていない場合、最大48時間ほどの遅延が発生することがあります。設定後すぐに反映されない場合は、時間をおいて再確認することが重要です。

DMARC設定後は、受信プロバイダからXML形式のレポートが送付されます。レポートには以下の2種類があります。

• 集計レポート（rua）：送信ドメイン全体の認証成功・失敗の統計情報

• 失敗レポート（ruf）：認証エラー発生時の詳細なメール情報

これらを確認することで、どの認証方式（SPF・DKIM）で失敗しているかを特定し、設定の改善に役立てることができます。

ただし、XML形式のレポートは手動での分析が難しいため、DMARC分析ツールや可視化サービスの利用がおすすめです。これにより、認証状況をグラフ化・自動集計でき、効率的に運用を続けることができます。

DMARCを導入した直後は、ポリシーを「p=none」に設定してテスト運用を行うことが推奨されます。この設定では、認証に失敗してもメールがブロックされず、配信への影響を与えずに認証結果を収集可能です。

一方で、導入直後から「quarantine」や「reject」を設定すると、誤判定によって正規メールが拒否されるリスクがあります。テスト運用で問題がないことを確認したら、段階的に「quarantine」→「reject」へと強化していきましょう。

また、レポート受信用に専用のメールアドレスを設けておくことで、運用精度を高めることができます。

テスト設定例：

DMARCの設定は手順が複雑なため、いくつかの失敗しやすいポイントがあります。

• ドメインアライメントの不一致による認証失敗

• DKIM署名がない・DNS登録漏れ

• 厳しすぎるポリシー設定によるメールのブロック

ここでは、代表的な失敗例とその対処法を3つ紹介します。

DMARC認証では、メールの「ヘッダFrom」と「SPF・DKIMで使用されるドメイン」が一致していない場合、DMARCは不合格となり、正規メールでも拒否されることがあります。

• SPFアライメント：ヘッダFromとエンベロープFrom（Return-Path）の一致

• DKIMアライメント：ヘッダFromとDKIM署名ドメイン（d=）の一致

このアライメントの不一致は、DMARC失敗の最も多い原因です。メール配信サービスを利用している場合は、送信ドメインが一致しているか必ず確認しましょう。

DKIM署名が設定されていない、またはDNSに公開鍵レコードの登録が漏れている場合、DMARC認証は失敗します。

また、一部のメール送信サービスでは、送信元が自社ドメインではなく提供事業者のドメインで署名されることがあり、その結果、アライメント不一致で不合格となるケースがあります。

対処法としては、自社ドメインで署名されるように設定を変更し、OpenDKIMなどのツールを用いて秘密鍵と公開鍵を生成し、DNSにTXTレコードとして登録します。

公開鍵はセキュリティの観点から1,024bit以上を推奨します。

DMARC導入初期に「p=reject」を設定してしまうと、認証設定が不完全なメールまでもが拒否される可能性があります。

特にSaaSや外部メール配信サービスを利用している場合、送信元が自社ドメインと異なるため、誤判定のリスクが高まります。

まずは「p=none」でテスト運用し、影響範囲を把握してから本番環境で「p=reject」に移行することが重要です。

また、SPF・DKIMの設定が不完全な状態でDMARCを厳格化すると、正規のメールも弾かれる恐れがあるため、段階的なポリシー強化を徹底しましょう。

DMARC設定を進める中で、Webサイトに設置するお問い合わせフォームのセキュリティについても見直しを検討している方もいるでしょう。安全なフォーム運用と顧客管理を両立させたいなら、弊社の「formrun」がおすすめです。

• ISMS・Pマーク取得済みの万全のセキュリティがなりすましを防止

• DMARC設定に対応した豊富なメール機能

• 顧客管理・対応を効率化できる

formrun（フォームラン）の大きな魅力のひとつが、安心できるセキュリティ対策です。「ISO 27001 (ISMS)」の認証取得やプライバシーマークの付与認定、SSL/TLSによる暗号化通信、24時間365日のサーバー監視体制など、多層的な対策がとられています。

実際、近年は大手プラットフォームや無料サービスにおいても情報漏洩や不正アクセスのニュースが後を絶ちません。無料ツールでは不安を感じる個人情報の取り扱いも、formrunなら安心して運用可能です。

フォームは、名前・住所・メールアドレスなど大切な情報を扱うものです。安全なフォーム運用は顧客からの信頼に直結します。セキュリティを重視する方にこそ、formrunの利用がおすすめです。

formrunには、DMARCをはじめとする送信ドメイン認証に対応した豊富なメール機能が備わっています。フォームから送信される自動返信メールや通知メールが、受信側に迷惑メールとして扱われたり、ブロックされたりするリスクを低減可能です。

formrun（フォームラン）には、メールを送付する機能が主に3種類用意されています。

• 自動メール返信

• 個別メール機能

• 一斉メール配信

また、すべての機能でフォームで得た顧客情報をメール本文や件名に変数として挿入することが可能です。

フォーム作成から、フォーム回答者へのコミュニケーションまでformrunで一貫してできるため、顧客対応管理もスムーズになります。

formrunのメール機能でメール対応をスムーズにした事例記事はこちらをご覧ください。
>> フォーム一覧やメール機能にて顧客の動きや社内での対応を可視化！複数のプロジェクトを持つマネージャーにとってformrunが最適な理由とは？（一般社団法人日本デジタルトランスフォーメーション推進協会 様）

formrun（フォームラン）を活用すれば、フォームで集めた顧客の対応管理まで一元化できます。

回答データは一覧で確認でき、対応ステータス（未対応・対応中・完了・発送済みなど）ごとに整理可能です。担当者ごとにフィルタリングできるので、複数人での対応も漏れやダブりを防ぎながらチーム全体で進捗を見える化できます。

さらに、メールテンプレートやAIメールアシスタントを活用すれば、返信作成もスムーズです。顧客対応のスピードと質がどちらも向上します。

蓄積されたデータはExcelやGoogleスプレッドシート形式で出力可能です。Salesforceやkintoneなど外部ツールとの連携で、普段の業務フローにも柔軟に組み込めます。

formrunのステータス管理機能でお問い合わせ対応を削減した事例はこちら
>> お問い合わせから最短1分で個別メール対応を実現！対応漏れをなくすためのボード画面の活用方法とは（株式会社クラス 様）

「メールが届かない原因を知りたい」「自社ドメインのなりすましを防止したい」といった課題を解決するためには、DMARCの正しい理解と設定が不可欠です。

DMARCの設定は複雑に感じるかもしれませんが、この記事で紹介した手順に沿って一つひとつ進めていけば、必ず自社のメールセキュリティを向上させられます。まずはポリシーを「p=none」から始め、安全に運用を開始してください。

セキュリティ対策にも対応したフォームを安全に運用したいなら、フォーム作成ツール「formrun（フォームラン）」がおすすめです。

「formrun（フォームラン）」には、以下の特徴があります。

• プログラミング不要

• 豊富なメール機能

• ISMS・Pマーク取得済みの万全のセキュリティ

• Salesforce、HubSpot、kintone、その他基幹システムに連携可能

▼セキュリティ対策にも対応したフォームを安全に運用できるサービスを探しているなら、ぜひ「formrun（フォームラン）」をお試しください。