なりすましメールを防ぐ「SPF・DKIM・DMARC」を簡単に解説
近年、実在する企業名を騙った「なりすましメール」による被害が急増しています。
「お客様のアカウントに不正アクセスがありました」「お届け物の不在通知です」――こんなメールを受け取った経験がある方も多いのではないでしょうか。
こうしたなりすましメールを防ぐために、今注目されているのが「SPF」「DKIM」「DMARC」という3つのメール認証技術です。
2024年以降、GoogleのGmailやMicrosoftのOutlookでは、これらの認証設定が未対応のメールを迷惑メールとして扱ったり、受信を拒否したりする動きが強まっています。
つまり、セキュリティ対策としてだけでなく、「メールをきちんと届ける」ためにも、これらの設定は欠かせないものになっているのです。
この記事では、SPF・DKIM・DMARCそれぞれの仕組みを、専門知識がなくてもわかるようにやさしく解説します。
そもそも「なりすましメール」とは?
なりすましメールとは、悪意のある第三者が、実在する企業や人物のメールアドレスを偽装して送信する詐欺メールのことです。
たとえば、あなたの会社名義で取引先に偽のメールが送られた場合、信頼関係の失墜やフィッシング詐欺など深刻な被害につながります。
実は、メールの仕組み上、送信元アドレス(Fromアドレス)は簡単に書き換えることができてしまいます。
そのため、受信する側が「このメールは本物か?」を判断するための技術的な仕組みが必要になるのです。
その仕組みこそが「送信ドメイン認証」と呼ばれるSPF・DKIM・DMARCです。
なりすましメールの被害は増え続けている
フィッシング対策協議会の報告によると、フィッシング詐欺の報告件数は年々増加しています。
企業をかたるなりすましメールが大きな割合を占めており、その手口も巧妙化しています。
被害を未然に防ぐためにも、企業側が送信ドメイン認証を適切に設定することが重要です。
SPFとは? ― 送信サーバーの身元を確認する仕組み
SPF(Sender Policy Framework)は、メールを送信したサーバーが正規のものかどうかを確認する仕組みです。
わかりやすく言うと、「この会社のメールは、このサーバーから送ります」という許可リストをあらかじめDNS(ドメインの管理情報)に登録しておく方法です。
SPFの仕組みをもう少し詳しく
SPFの認証は、以下のような流れで行われます。
①送信側企業が、自社ドメインのDNSに「正規の送信サーバーのIPアドレス一覧(SPFレコード)」を登録する
②メールを受信したサーバーが、送信元ドメインのDNSからSPFレコードを取得する
③送信してきたサーバーのIPアドレスが、SPFレコードに含まれているかを確認する
④一致すれば「正規の送信元」と判定し、一致しなければ「なりすましの疑いあり」と判定する
たとえるなら、会社の「所在地リスト」のようなものです。
届いた手紙の消印住所が、事前に届け出ている住所と一致するかどうかを確認するイメージです。
SPFのメリットと注意点
SPFは3つの認証技術の中でもっとも導入が容易で、DNSにテキストレコードを1行追加するだけで設定できます。
ただし、SPFはあくまで「送信サーバー」を確認するだけなので、メール本文が途中で改ざんされていないかまでは検証できません。
また、メールが転送された場合、転送先のサーバーが元のSPFレコードに含まれていないため、認証に失敗するケースがあります。
DKIMとは? ― メールの改ざんを防ぐ「電子署名」
DKIM(DomainKeys Identified Mail)は、メールに電子署名を付与することで、送信元の正当性とメール内容の改ざんがないことを証明する技術です。
SPFが「送信サーバー」を確認するのに対して、DKIMは「メールそのもの」に着目しているのが大きな違いです。
DKIMの仕組みをもう少し詳しく
DKIMの認証は、以下のような流れで行われます。
①送信側が「秘密鍵」と「公開鍵」のペアを作成する
②公開鍵をDNSに登録し、秘密鍵は送信サーバー側に保管する
③メール送信時に、秘密鍵を使ってメールヘッダや本文から電子署名を生成し、メールに付与する
④受信側サーバーがDNSから公開鍵を取得し、電子署名を検証する
⑤署名が正しければ「正規のメールで改ざんなし」と判定する
たとえるなら、会社の「印鑑(実印)」のようなものです。
送信者が押した印鑑が、印鑑登録されているものと一致するかを確認し、さらに書類の内容が書き換えられていないかもチェックできます。
DKIMのメリットと注意点
DKIMの大きなメリットは、メール転送時にも認証が有効な点です。
SPFは転送で失敗しがちですが、DKIMの電子署名はメール自体に付いているため、転送先でも検証できます。
一方で、DKIMの導入はSPFに比べてやや複雑です。
鍵の生成やDNSへの公開鍵の登録、メールサーバーへの秘密鍵の設定など、技術的な手順が必要になります。
DMARCとは? ― SPFとDKIMを束ねる「司令塔」
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、SPFとDKIMの認証結果をもとに、認証に失敗したメールをどう扱うかを指示する仕組みです。
SPFやDKIMは単体では「認証に失敗した場合にどうするか」を指示できません。
DMARCは、この判断基準を送信側が明確に宣言できるようにした技術です。
DMARCの3つのポリシー
DMARCでは、認証に失敗したメールに対して以下の3つのポリシー(処理方針)を設定できます。
| ポリシー | 動作 | 用途・特徴 |
| none(監視) | そのまま受信する | まずは状況を把握したい場合に使う。導入初期に推奨。 |
| quarantine(隔離) | 迷惑メールフォルダに振り分ける | 正規のメールが誤判定されないか確認しながら段階的に導入。 |
| reject(拒否) | メールを受信しない | 最も強力。なりすましメールを完全にブロックする。 |
DMARCの「アライメント」とは?
DMARCにはもう一つ重要な機能があります。
それが「アライメント(整合性チェック)」です。
SPFやDKIMで認証されたドメインと、メールソフト上に表示される送信元アドレス(Fromアドレス)のドメインが一致しているかを確認します。
たとえば、SPFの認証には通ったものの、実際のFromアドレスが別のドメインだった場合、DMARCのアライメントチェックで不合格となります。
これにより、SPFやDKIM単体では見抜けない巧妙ななりすましも検出できるのです。
DMARCのレポート機能
DMARCには、認証結果のレポートを送信側に送る機能もあります。
これにより、自社ドメインを使ったメールがどのくらい正しく認証されているか、不正なメールがどこから送られているかを把握できます。
このレポートを活用すれば、設定の見直しや未把握の送信元の特定に役立てることができます。
SPF・DKIM・DMARCの違いを比較
3つの認証技術の役割と特徴を表にまとめると、以下のようになります。
| 項目 | SPF | DKIM | DMARC |
| 正式名称 | Sender Policy Framework | DomainKeys Identified Mail | Domain-based Message Authentication, Reporting, and Conformance |
| 何を確認するか | 送信サーバーのIPアドレス | メールの電子署名 | SPF/DKIMの結果+ドメインの整合性 |
| たとえるなら | 会社の住所確認 | 会社の印鑑照合 | 不審な郵便物の取扱いルール |
| メール転送への強さ | 弱い(転送で失敗しやすい) | 強い(署名はメールに付属) | SPF/DKIMに依存 |
| 改ざん検知 | できない | できる | DKIMを通じて可能 |
| 導入の容易さ | 簡単(DNS設定のみ) | やや複雑(鍵の管理が必要) | SPF/DKIM設定後に追加 |
3つの技術はそれぞれ役割が異なり、どれか1つだけでは万全ではありません。
SPFとDKIMで認証の基盤を作り、DMARCでポリシーを設定するという3段階の組み合わせが効果的です。
なぜ今、設定が必須になっているのか?
2024年2月から、Googleは1日5,000通以上のメールを送信する事業者に対して、SPF・DKIM・DMARCの3つすべての設定を必須としました。
5,000通未満の送信者でも、SPFまたはDKIMのいずれかの設定が求められています。
MicrosoftのOutlookでも同様に、送信ドメイン認証が未設定のメールは迷惑メール判定を受けやすくなっています。
また、NTTドコモなど国内の通信キャリアでも、送信ドメイン認証が未導入のメールに対して「なりすましメール警告表示」を行う動きが広がっています。
つまり、SPF・DKIM・DMARCの設定は、もはや「やったほうがいい」ではなく、「やらないとメールが届かなくなる」時代になっているのです。
導入の進め方 ― 段階的に対応しよう
SPF・DKIM・DMARCの導入は、以下の順序で段階的に進めるのがおすすめです。
ステップ1:SPFの設定
まずはDNSにSPFレコードを登録します。
自社で利用しているメールサーバーやメール配信サービスのIPアドレスを確認し、SPFレコードに追加しましょう。
ステップ2:DKIMの設定
次に、DKIM用の鍵ペアを生成し、公開鍵をDNSに登録します。
メールサーバーまたは配信サービス側で秘密鍵を設定し、送信メールに電子署名が付与されるようにします。
ステップ3:DMARCの設定(まずはnoneから)
SPFとDKIMが正常に動作していることを確認したら、DMARCポリシーを設定します。
最初は「p=none」(監視モード)で始め、レポートを確認しながら、段階的に「quarantine」「reject」へ強化していきましょう。
いきなり厳しいポリシーを設定すると、正規のメールまでブロックされてしまう可能性があるため、慎重に進めることが大切です。
よくある質問(Q&A)
Q1. SPF・DKIM・DMARCのうち、どれか一つだけ設定すれば大丈夫ですか?
いいえ、1つだけでは不十分です。
SPFは送信サーバーの確認のみ、DKIMは改ざん検知のみと、それぞれカバーする範囲が異なります。
3つを組み合わせることで初めて、なりすましメールを総合的に防止できます。
特にGmailでは、大量送信者に対して3つすべての設定が必須とされています。
Q2. 設定を間違えるとメールが届かなくなりますか?
はい、設定ミスがあるとメールの不着トラブルが発生する可能性があります。
特にSPFレコードに正規の送信元を記載し忘れた場合や、DMARCポリシーをいきなりrejectに設定した場合にトラブルが起きやすいです。
まずはDMARCをnone(監視モード)で始めて、レポートで状況を確認しながら段階的に進めましょう。
Q3. 自社にIT担当者がいなくても導入できますか?
SPFの設定はDNSにテキストレコードを追加するだけなので、比較的簡単に対応できます。
ただし、DKIMやDMARCの設定にはある程度の技術的知識が必要です。
レンタルサーバーやメール配信サービスによっては、管理画面から簡単に設定できるものもあります。
不安な場合は、セキュリティに詳しい専門業者に相談することをおすすめします。
Q4. DMARCのレポートはどう活用すればいいですか?
DMARCレポートは、自社ドメインを使ったメールの認証結果をまとめたものです。
正規のメールが正しく認証されているかの確認や、自社ドメインを悪用した不正メールの送信元の特定に活用できます。
レポートはXML形式で届くため、専用の解析ツールを使うと読みやすくなります。
まとめ
SPF・DKIM・DMARCは、なりすましメールから自社と取引先を守るための基本的なセキュリティ対策です。
SPFは「送信サーバーの身元確認」、DKIMは「メールの電子署名による改ざん防止」、DMARCは「認証失敗時の処理方針の指示」と、それぞれ異なる役割を持っています。
2024年以降、GmailやOutlookなど主要なメールサービスがこれらの設定を必須化しており、未対応のままではメールが届かなくなるリスクが高まっています。
まだ対応がお済みでない方は、まずSPFの設定から始めてみてはいかがでしょうか。
段階的に進めることで、無理なくメールセキュリティを強化できます。
メール認証の設定やセキュリティ対策についてお困りのことがあれば、お気軽にご相談ください。