Infra Ops Hub

ドメインのメール認証チェックリスト

最終更新: 2026-04-24 · 所要 7 分

結論

  • 新規ドメイン / 乗り換え直後は SPF + DKIM + DMARC を最低限設定
  • 送信基盤が複数なら用途別にサブドメイン分離
  • DMARC は p=none → quarantine → reject へ段階的に
  • BIMI は最後(p=reject + VMC 取得後)

どういう場面で必要か

ドメインを新規取得したか、乗り換え直後で、メール認証を最短で整えたい時。

実務で見るポイント

  • Step 1: SPF を 1 行に統一、Lookup 10 回以下(/tools/spf-generator)
  • Step 2: DKIM を送信サービス指定セレクタで追加、できれば 2 セレクタでローテーション
  • Step 3: DMARC p=none + rua= 設定、RUA で 2 週間観測(/tools/dmarc-generator)
  • Step 4: SPF/DKIM 失敗を潰してから p=quarantine(pct=25 → 100)
  • Step 5: p=reject 到達、サブドメインは sp= で別管理
  • Step 6: BIMI 導入(p=reject 済 + VMC 証明書)
  • Step 7: Infra Ops Hub Monitor でドメイン期限監視、/tools/mail-deliverability で定期確認

よくある失敗

  • SPF を 2 行にしてしまう(1 ドメイン 1 行が正)
  • DKIM セレクタを本番運用中に 1 つだけにする(ローテ不可)
  • DMARC を速い段階で p=reject → 正常メールも弾く
  • BIMI 先行設定 → 効果なし(p=reject と VMC 必須)

チェックリスト

  • [ ] /tools/mail-deliverability で A ランク
  • [ ] SPF 1 行 + Lookup 10 未満
  • [ ] DKIM 複数セレクタ動作
  • [ ] DMARC RUA レポート受信中
  • [ ] DMARC p=quarantine または p=reject
  • [ ] サブドメイン sp= で別ポリシー
  • [ ] Infra Ops Hub Monitor にドメイン監視

よくある質問

スタートアップでも DMARC p=reject まで必要?

Gmail / Yahoo の大量送信基準では事実上必須。個人の少量送信でも設定しておくとなりすまし対策に。

Google Workspace / M365 のアカウント運用ではどうする?

いずれもサービス側で DKIM / SPF 設定支援があります。DMARC は別途。

BIMI は費用対効果あり?

VMC 証明書で年数百ドル。BtoC のブランド表示メリットはありますが、必須ではありません。

法人向けにまとめて診断してほしい

/business/mail-auth-audit(準備中)で法人向け一括診断を受け付け予定。

関連ツール・比較・ガイド

DNS / Mail

このテーマの関連ページ