Infra Ops Hub

SPF / DKIM / DMARC 完全ガイド

最終更新: 2026-04-17 · 検証環境: Google Workspace / Resend / Amazon SES

結論

  • SPF は「どの IP からの送信を許可するか」
  • DKIM は「送信時に署名を付ける」
  • DMARC は「SPF/DKIM の結果を踏まえて拒否/隔離するか決める」
  • 3 つすべてが揃うことで、なりすまし対策と到達率が向上する

どういう場面で必要か

Gmail / Yahoo! メール / iCloud 等の主要プロバイダは、大量送信者に対して SPF + DKIM + DMARC を必須化しています。 法人利用 / ECサイト / サービス通知メールを送るすべての運用者が対象です。

実務で見るポイント

  • SPF の終端は ~all(ソフト) → 安定後 -all(ハード)へ
  • DKIM セレクタはプロバイダ指定に従う(Google: google、Resend: resend 等)
  • DMARC は p=none で開始し、RUA レポートを観察しつつ quarantine → reject
  • BIMI は任意だが、受信側でブランドロゴが表示されるので Phase 2 以降に検討

よくある失敗

  • SPF レコードを複数 TXT で作成(1 ドメインに 1 つが正解)
  • +all 終端(誰でも送信可能、悪用リスク)
  • DMARC を p=reject にした瞬間、自社サービスのメールまで弾く
  • 送信元サブドメイン(mail.example.com)を DMARC で単独設定せず、親の設定が継承されない

関連ツール

関連比較