ドメインのメール認証チェックリスト
最終更新: 2026-04-24 · 所要 7 分
結論
- 新規ドメイン / 乗り換え直後は SPF + DKIM + DMARC を最低限設定
- 送信基盤が複数なら用途別にサブドメイン分離
- DMARC は p=none → quarantine → reject へ段階的に
- BIMI は最後(p=reject + VMC 取得後)
どういう場面で必要か
ドメインを新規取得したか、乗り換え直後で、メール認証を最短で整えたい時。
実務で見るポイント
- Step 1: SPF を 1 行に統一、Lookup 10 回以下(/tools/spf-generator)
- Step 2: DKIM を送信サービス指定セレクタで追加、できれば 2 セレクタでローテーション
- Step 3: DMARC p=none + rua= 設定、RUA で 2 週間観測(/tools/dmarc-generator)
- Step 4: SPF/DKIM 失敗を潰してから p=quarantine(pct=25 → 100)
- Step 5: p=reject 到達、サブドメインは sp= で別管理
- Step 6: BIMI 導入(p=reject 済 + VMC 証明書)
- Step 7: Infra Ops Hub Monitor でドメイン期限監視、/tools/mail-deliverability で定期確認
よくある失敗
- SPF を 2 行にしてしまう(1 ドメイン 1 行が正)
- DKIM セレクタを本番運用中に 1 つだけにする(ローテ不可)
- DMARC を速い段階で p=reject → 正常メールも弾く
- BIMI 先行設定 → 効果なし(p=reject と VMC 必須)
チェックリスト
- [ ] /tools/mail-deliverability で A ランク
- [ ] SPF 1 行 + Lookup 10 未満
- [ ] DKIM 複数セレクタ動作
- [ ] DMARC RUA レポート受信中
- [ ] DMARC p=quarantine または p=reject
- [ ] サブドメイン sp= で別ポリシー
- [ ] Infra Ops Hub Monitor にドメイン監視
よくある質問
スタートアップでも DMARC p=reject まで必要?
Gmail / Yahoo の大量送信基準では事実上必須。個人の少量送信でも設定しておくとなりすまし対策に。
Google Workspace / M365 のアカウント運用ではどうする?
いずれもサービス側で DKIM / SPF 設定支援があります。DMARC は別途。
BIMI は費用対効果あり?
VMC 証明書で年数百ドル。BtoC のブランド表示メリットはありますが、必須ではありません。
法人向けにまとめて診断してほしい
/business/mail-auth-audit(準備中)で法人向け一括診断を受け付け予定。