Troubleshoot
DMARC=reject 導入後に自社メールが弾かれる時の対処
最終更新: 2026-04-24
症状
DMARC ポリシーを reject に上げてから、一部の自社送信メールが迷惑判定 / 拒否される
- transactional メール(パスワードリセット等)は届く
- マーケティングメール配信サービス経由だけ届かない
- 採用管理 SaaS(Greenhouse 等)からのメールが拒否
- RUA レポートに大量の fail
想定される原因
- 1
第三者サービスの SPF 未登録
Salesforce / HubSpot / SendGrid 等の送信 IP が SPF に含まれていない。
確認: /tools/spf-generator で送信元サービスの include を列挙
- 2
DKIM セレクタ未設定
DKIM 署名は入っているが、DNS 側のセレクタが未登録で検証失敗。
確認: dig TXT selector._domainkey.yours.com
- 3
サブドメインに sp=reject 適用
親の p= を sp= で分けていないため、サブドメインからの送信も reject。
確認: DMARC レコードの sp= を確認
- 4
Alignment strict(s)
aspf=s / adkim=s だと From と送信ドメインの完全一致が必要で、relaxed より厳しい。
確認: DMARC TXT の aspf= / adkim=
対処手順
- 一時的に p=quarantine または pct=50 に戻して緊急回避
- RUA レポートで失敗しているサービス・サブドメインを特定
- /tools/spf-generator で抜けていた送信元を include
- /tools/dmarc-generator で sp= を見直し(サブドメインは別ポリシーに)
- 対象サービスの送信ドメインを別サブドメインに分離
- 再度 p=reject へ段階的に戻す
よくある質問
一時的にすべて許可したい
p=none に戻すか、pct=0 で適用率を 0 にすれば実質 none と同等。
SPF の Lookup 10 制限に引っかかる
/guides/spf-too-many-lookups でサブドメイン分離 or SPF Flattening。