1. SPFレコード、DKIMレコード、DMARCレコードとは
1-1. メール認証の仕組みをやさしく解説
みなさんは、毎日たくさんのメールを送っていますよね。でも、そのメールが本当に安全に届いているか気になりませんか?
メール認証の仕組みを理解するために、まずは郵便物を例に考えてみましょう。差出人の住所と名前が書かれた手紙なら、誰が送ったものかすぐにわかりますよね。
SPF、DKIM、DMARCという3つのレコードは、メールの世界での差出人確認の仕組みなんです。SPFは会社の住所、DKIMは会社の印鑑、DMARCは郵便物の受取規則のようなものだと考えてください。
この3つのレコードを正しく設定することで、「このメールは本当にあなたの会社から送られてきたものです」という証明になります。なりすましメールを防いで、大切なお客様にメールを確実に届けるために、とても重要な役割を果たしているんです。
これから、それぞれのレコードについて、やさしく詳しく説明していきますね。専門用語は極力使わず、誰でもわかるように解説していきます。
1-2. なぜいまメール認証が大切なの?
最近、有名企業をかたったなりすましメールが増えています。「注文確認」「お支払い確認」など、お客様が開きたくなるような件名で送られてくることが多いんです。
実は2023年、日本での偽メール被害は過去最高を記録しました。なりすましメールによって、大切な個人情報が盗まれたり、お金を騙し取られたりする被害が後を絶ちません。
そんな中、Googleなどの大手メールサービスは、メール認証の設定を強く推奨するようになりました。認証設定がないメールは、迷惑メールとして扱われやすくなっているのです。
特にECサイトを運営している会社にとって、メール認証は今や必須と言えます。注文確認や発送通知など、大切なメールがお客様に確実に届かないと、売上にも影響してしまいます。
安全なメール配信の証となるSPF、DKIM、DMARCの設定。お客様との大切なコミュニケーションを守るため、しっかりと設定していきましょう。
2. メール認証レコードを設定しないとどうなるの?
2-1. なりすましメールの被害にあうかも
「お客様の注文履歴に不審な動きがあります」「アカウントの緊急確認が必要です」。こんなメールが、あなたの会社の名前で送られているかもしれません。
メール認証レコードを設定していないと、悪意のある第三者があなたの会社になりすまして、お客様にメールを送ることができてしまうのです。
特に怖いのは、本物そっくりのメールが簡単に作れてしまうこと。差出人アドレスも会社のドメインを使って偽装できるため、受信者は本物のメールだと思い込んでしまいます。
なりすましメールの多くは、フィッシングサイトへの誘導や、マルウェアの添付が目的です。お客様の大切な情報が盗まれたり、ウイルスに感染したりする可能性があります。
一度なりすまし被害が発生すると、会社の信頼回復には多大な時間と労力がかかります。お客様と会社の両方を守るため、メール認証の設定は急ぐべき対策なのです。
2-2. メールが迷惑フォルダに入りやすくなる
「メールが届いていないというお客様からの問い合わせが増えている...」こんな悩みを抱えているECサイト運営者の方は多いのではないでしょうか?
実は、GmailやYahoo!メールなどの主要なメールサービスでは、メール認証の設定が不十分なメールを迷惑フォルダに振り分けやすくなっています。
たとえば注文確認メールが迷惑フォルダに入ってしまうと、お客様は注文が完了したのかどうか不安になってしまいます。カスタマーサポートへの問い合わせも増えてしまうでしょう。
特にGoogleは2024年からメール認証の基準を厳格化すると発表しています。SPF、DKIM、DMARCの設定がないメールは、より厳しくチェックされるようになるのです。
大切なメールを確実にお客様の受信フォルダに届けるために。メール認証の設定は、いまやECサイト運営の基本中の基本と言えます。
2-3. 会社の信頼が下がってしまう
会社のメールに認証設定をしないことは、お店の入り口に鍵をかけ忘れるようなものです。今は誰でもメールの安全対策が大切だと知っているので、これができていないと「この会社は危なっかしい」と思われてしまいます。
特に大きな会社は、取引先を選ぶときに「ちゃんと安全対策をしているか」を確認します。メール認証をしていないと「この会社とは取引は難しいかな…」と判断されるかもしれません。一度このように信頼を失うと、取り戻すのはとても大変です。
2-4. お客様のメール到達率が下がる
メール認証をしていないと、せっかく送ったメールが相手に届かない問題が起きやすくなります。例えば、お客様への大切なお知らせが「迷惑メール」として扱われたり、そもそも受信拒否されたりしてしまうのです。
これは、最近のGmailやOutlookなどのメールサービスが、認証のないメールを「あやしいメール」として判断するためです。つまり、お客様に確実にメールを届けるためには、メール認証の設定が必要不可欠というわけです。
2-5. セキュリティ事故が起きるかも
メール認証をしていないと、悪い人があなたの会社になりすまして、いたずらのメールを送ることができてしまいます。例えば、お客様や取引先に「口座情報が変わりました」というウソのメールを送り、お金をだまし取るような事件が実際に起きています。
こういった事故が起きると、会社の大切な情報が漏れたり、お金の被害が出たりするだけでなく、「この会社は危ない」という評判が広まってしまい、取り返しがつかなくなることもあります。
3. SPFレコードのしくみと設定方法
3-1. SPFレコードってどんなもの?
SPFレコードは、「このメールは本当にうちの会社から送ったものですよ」という確認ができる仕組みです。郵便でいうと、会社の公式レターヘッドのようなものです。
具体的には、「このIPアドレス(メールサーバーの住所)から送られてきたメールだけが、うちの会社の正式なメールです」というルールを設定します。これにより、悪い人が会社のメールを勝手に使うことができなくなります。
3-2. SPFレコードの登録手順
SPFレコードの設定は、DNSという電話帳のようなシステムに登録する作業です。最初は難しく見えるかもしれませんが、順番に従って進めれば簡単にできます。
具体的には、「v=spf1」から始まる特別な文字列を登録します。この文字列には「このIPアドレスからのメールを許可する」という情報が書かれています。例えば、Gmailを使っている場合は「include:_spf.google.com」という部分を入れます。
レコード例
v=spf1 ip4:XXX.XXX.XXX.XXX include:_spf.google.com ~all3-3. よくあるSPFレコードの設定ミス
SPFレコードの設定でよくあるミスは、メールを送信するサーバーの情報が不完全なことです。例えば、会社で使っているGmailの設定は入れたけど、他のメール配信サービスの設定を忘れてしまう、というケースがよくあります。
また、「~all」や「-all」という終わりの部分の設定を間違えるケースも多いです。この部分は「登録していないサーバーからのメールをどう扱うか」を決める大切な設定なので、注意が必要です。
4. DKIMレコードのしくみと設定方法
4-1. DKIMレコードってどんなもの?
DKIMレコードは、メールに会社の「電子サイン」を付ける仕組みです。手紙で例えると、封筒に会社の印鑑を押すようなものです。このサインがあれば、途中で誰かがメールの内容を書き換えていないかどうかがすぐにわかります。
この仕組みは、鍵の仕組みを使っています。会社だけが持っている特別な鍵でメールにサインをして、受け取った人は公開されている別の鍵を使ってそのサインが本物かを確認できます。
4-2. DKIMレコードの登録手順
DKIMレコードの設定には、まず2つの鍵を作ります。1つは会社だけが持つ「秘密の鍵」、もう1つは誰でも見られる「公開鍵」です。これは、金庫の鍵と同じような仕組みです。
次に、その公開鍵をDNSに登録します。長い文字列で「v=DKIM1」から始まる特別な情報を入れます。この設定が終わると、自動的にメールに電子サインが付くようになり、受け取った人は公開鍵を使ってそのサインが本物かを確認できます。
レコード例
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4...4-3. よくあるDKIMレコードの設定ミス
DKIMの設定でよく見かけるミスは、鍵の長さを短くしすぎることです。短い鍵は簡単に解読されてしまう可能性があるため、最低でも1024ビット以上の長さが必要です。
また、公開鍵をDNSに登録するときに、改行が入ってしまうミスもよくあります。このミスがあると、メールの電子サインが正しく確認できなくなってしまいます。他にも、セレクタ名(鍵の名前)を間違えると、せっかくの設定が無駄になってしまいます。
5. DMARCレコードのしくみと設定方法
5-1. DMARCレコードってどんなもの?
DMARCは、SPFとDKIMという2つの認証が失敗したときに、「そのメールをどう扱うか」というルールを決める仕組みです。例えば「認証に失敗したメールは全部削除して」とか「迷惑メールフォルダに入れて」といった指示を設定できます。
また、DMARCには「不審なメールが来たときに報告してもらう」機能もついています。これにより、誰かが会社になりすましてメールを送ろうとしていないか、常にチェックすることができます。
5-2. DMARCレコードの登録手順
DMARCの設定は、会社のドメイン名の前に「_dmarc.」をつけた特別な場所に登録します。例えば、会社のドメインが「example.com」なら「_dmarc.example.com」という場所です。
登録する内容は「v=DMARC1」から始まる文字列です。この中に「認証に失敗したメールをどうするか」という指示(p=none、p=quarantine、p=reject)と、「報告先のメールアドレス」を書きます。最初は緩めの設定から始めて、様子を見ながら厳しくしていくのがおすすめです。
レコード例
v=DMARC1; p=none; rua=mailto:report@example.com5-3. よくあるDMARCレコードの設定ミス
- ポリシー(p=)の設定が適切でない
- レポート送信先の設定漏れ
- サブドメインの設定漏れ
DMARCの設定でよくあるミスは、最初から厳しすぎるルールを設定してしまうことです。例えば、いきなり「認証に失敗したメールは全部拒否」(p=reject)と設定すると、正常なメールまで届かなくなってしまう可能性があります。
もう一つよくあるミスは、報告メールの受信先を設定し忘れることです。報告メールを受け取れないと、誰かが会社のメールになりすまそうとしているのを見つけることができません。また、サブドメイン(mail.example.comなど)の設定を忘れるミスも多いです。
6. メール認証レコードの設定方法
6-1. 専門業者に依頼すべき?自分でできる?
メール認証の設定は、DNS設定について基本的な知識があれば自分でもできる作業です。ドメインを管理しているレジストラの管理画面からDNS設定が行えます。
ただし、ドメイン管理を外部事業者に委託している場合は、その事業者に依頼していただく必要があります。
6−2.自分でやる場合、どうやって設定する?
各レジストラには、SPFレコード・DKIMレコード・DMARCレコード設定に関するヘルプページが用意されています。代表的なレジストラのヘルプページを紹介します。
お名前ドットコム 「Gmailのガイドライン変更に伴いDMARC/SPF/DKIMを設定したい」
https://help.onamae.com/answer/20690
バリュードメイン「SPFレコードの設定方法(Gmail送信エラー対策)」
https://www.value-domain.com/userguide/manual/modspf
7. メール認証レコードの設定後の確認方法
メール認証レコードが正しく設定されているか確認する方法として、下記のツール利用をおすすめします。弊社でも実務でお客さまの登録状況確認に利用しています。
層がが簡単で登録状況の確認がしやすいです。
https://mxtoolbox.com/SuperTool.aspx
7-1. SPFレコードの確認方法
7-2. DKIMレコードの確認方法
7-3. DMARCレコードの確認方法
8.EC IntelligenceにおけるSPF・DKIM・DMARCレコード対応について
EC IntelligenceではSFP・DKIM・DMARCレコードの設定に標準対応しています。
メール送信に利用するドメインが決まりましたら、シナブル社にご連絡いただくことで、設定に必要なレコードをご案内します。
そのレコードを使って、ご利用企業さまで設定を行っていただきます。
以上が送信メール認証に必要な、SPF・DKIM・DMARCレコードの設定に関する説明でした。
