SPF / DKIM / DMARC 完全ガイド
最終更新: 2026-04-17 · 検証環境: Google Workspace / Resend / Amazon SES
結論
- SPF は「どの IP からの送信を許可するか」
- DKIM は「送信時に署名を付ける」
- DMARC は「SPF/DKIM の結果を踏まえて拒否/隔離するか決める」
- 3 つすべてが揃うことで、なりすまし対策と到達率が向上する
どういう場面で必要か
Gmail / Yahoo! メール / iCloud 等の主要プロバイダは、大量送信者に対して SPF + DKIM + DMARC を必須化しています。 法人利用 / ECサイト / サービス通知メールを送るすべての運用者が対象です。
実務で見るポイント
- SPF の終端は
~all(ソフト) → 安定後-all(ハード)へ - DKIM セレクタはプロバイダ指定に従う(Google:
google、Resend:resend等) - DMARC は
p=noneで開始し、RUA レポートを観察しつつquarantine → rejectへ - BIMI は任意だが、受信側でブランドロゴが表示されるので Phase 2 以降に検討
よくある失敗
- SPF レコードを複数 TXT で作成(1 ドメインに 1 つが正解)
+all終端(誰でも送信可能、悪用リスク)- DMARC を
p=rejectにした瞬間、自社サービスのメールまで弾く - 送信元サブドメイン(
mail.example.com)を DMARC で単独設定せず、親の設定が継承されない