Microsoft 365のSPF・DKIM・DMARC設定方法｜完全ガイド

Microsoft 365（旧Office 365）でメールを使っている企業向けに、SPF・DKIM・DMARCの設定方法を解説します。正しく設定することで、なりすましメールを防ぎ、配信率を向上させましょう。

設定前の確認

必要な権限

• Microsoft 365 管理者権限
• DNSレコードの編集権限（ドメイン管理者）

設定の順序

1. SPF → 2. DKIM → 3. DMARC

の順番で設定します。

SPF設定

手順1: 現在のSPFレコードを確認

RiskLensでドメインを診断するか、以下のコマンドで確認:

# Mac/Linux
dig txt example.com +short

# Windows
nslookup -type=txt example.com

手順2: Microsoft 365用SPFレコードを作成

基本形:

v=spf1 include:spf.protection.outlook.com -all

他のサービスも使用している場合:

v=spf1 include:spf.protection.outlook.com include:_spf.google.com -all

手順3: DNSにTXTレコードを追加

DNS管理画面で以下のTXTレコードを追加:

主要なDNSプロバイダでの設定:

お名前.com

1. ドメイン管理 → DNS設定
2. TXTレコード追加
3. ホスト名: 空欄、値: SPFレコード

AWS Route 53

1. Hosted zones → ドメイン選択
2. Create Record → TXT
3. Record name: 空欄、Value: SPFレコード

Cloudflare

1. DNS → Add record
2. Type: TXT、Name: @、Content: SPFレコード

手順4: 反映を確認

DNS反映まで最大48時間かかりますが、通常は数分〜数時間です。

dig txt example.com +short

DKIM設定

Microsoft 365では管理センターから有効化できます。

手順1: Microsoft 365管理センターにアクセス

1. admin.microsoft.com にログイン
2. 「セキュリティ」→「ポリシーとルール」→「脅威ポリシー」
3. 「メール認証設定」→「DKIM」を選択

手順2: ドメインを選択してCNAMEレコードを確認

DKIMを有効にするドメインを選択すると、追加すべきCNAMEレコードが表示されます。

セレクター1:
selector1._domainkey.example.com → selector1-example-com._domainkey.example.onmicrosoft.com

セレクター2:
selector2._domainkey.example.com → selector2-example-com._domainkey.example.onmicrosoft.com

手順3: DNSにCNAMEレコードを追加

手順4: Microsoft 365でDKIMを有効化

CNAMEレコードが反映されたら:

1. 管理センターでドメインを選択
2. 「このドメインのメッセージに DKIM 署名を追加する」をオンに
3. 「有効」をクリック

よくあるエラー

「CNAMEレコードが見つかりません」エラー:

• DNS反映に時間がかかっている（最大48時間待つ）
• ホスト名のスペルミス
• レコードタイプが間違っている（TXTではなくCNAME）

DMARC設定

SPFとDKIMの設定完了後にDMARCを設定します。

手順1: DMARCポリシーを決定

手順2: DMARCレコードを作成

初期設定（監視モード）:

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com

最終目標:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; fo=1

手順3: DNSにTXTレコードを追加

手順4: レポートを監視

p=noneで1-2週間運用し、DMARCレポートで問題がないことを確認してから、ポリシーを強化します。

設定後の確認

RiskLensで総合診断

設定完了後、RiskLensでドメインを診断:

1. トップページでドメインを入力
2. 「診断する」をクリック
3. メール認証セクションで結果を確認

理想的な状態:

• SPF: 設定済み（pass）
• DKIM: 設定済み（pass）
• DMARC: p=reject で設定済み

テストメール送信

Gmailアドレス宛にテストメールを送信し、ヘッダーを確認:

1. メールを開く
2. 「その他」→「メッセージのソースを表示」
3. Authentication-Results を確認

Authentication-Results: mx.google.com;
    dkim=pass header.d=example.com;
    spf=pass smtp.mailfrom=example.com;
    dmarc=pass action=none header.from=example.com

サブドメインの設定

Microsoft 365でサブドメインを使用している場合の設定:

SPF（サブドメイン用）

mail.example.com.  TXT  "v=spf1 include:spf.protection.outlook.com -all"

DMARC（サブドメインポリシー）

親ドメインのDMARCレコードで sp タグを設定:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@example.com

または、サブドメイン個別に設定:

_dmarc.mail.example.com.  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

よくあるトラブルと解決方法

1. メールが迷惑メールに入る

確認ポイント:

• SPFにinclude:spf.protection.outlook.comが含まれているか
• DKIMが有効になっているか
• DMARCポリシーが厳しすぎないか（p=noneから始める）

2. DKIMが有効にならない

確認ポイント:

• CNAMEレコードが正しく設定されているか
• DNS反映を待つ（最大48時間）
• onmicrosoft.comドメインのスペルが正しいか

3. 外部送信サービスからのメールが失敗

マーケティングオートメーションやCRMからメールを送信している場合:

1. SPFに外部サービスのincludeを追加:

v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all

1. 外部サービスでDKIM署名を設定

4. 転送メールがDMARC失敗

メール転送時にSPFとDKIMが壊れることがあります:

対策:

• 転送ではなくリダイレクト設定を使用
• ARC（Authenticated Received Chain）対応のサービスを使用

Microsoft 365固有の注意点

カスタムドメインの追加確認

DKIM設定前に、カスタムドメインがMicrosoft 365に正しく追加されているか確認:

1. 管理センター → 設定 → ドメイン
2. ドメインのステータスが「正常」であること

複数ドメインの管理

複数のドメインでメールを送信する場合、各ドメインで個別にDKIMを有効化する必要があります。

ハイブリッド環境

オンプレミスのExchangeとMicrosoft 365を併用している場合:

• 両方のサーバーからの送信をSPFに含める
• オンプレミスでもDKIM署名を設定

まとめ

Microsoft 365でのメール認証設定手順:

設定完了後は、RiskLensで定期的に診断して、設定が正しく維持されているか確認しましょう。