SPF・DKIM・DMARCとは？メール認証の基礎と設定方法を解説

メールのなりすまし（スプーフィング）は、フィッシング詐欺やビジネスメール詐欺（BEC）の主要な手口です。この記事では、なりすましを防ぐための3つの重要なメール認証技術について解説します。

メール認証が必要な理由

メールは、送信元アドレスを簡単に偽装できるという根本的な問題を抱えています。悪意のある第三者があなたの会社のドメインを騙ってメールを送信し、取引先や顧客を騙す可能性があります。

メール認証を正しく設定することで：

• なりすましメールを検知・ブロックできる
• 自社ドメインの信頼性を守れる
• メールの到達率が向上する
• Googleなど主要サービスのセキュリティ要件を満たせる

SPF（Sender Policy Framework）とは

SPFは、「どのサーバーがこのドメインからメールを送信できるか」を定義する仕組みです。

SPFの仕組み

1. ドメイン所有者がDNSにSPFレコードを登録
2. 受信側サーバーがメール受信時にSPFレコードを確認
3. 送信元IPアドレスが許可リストにあるかチェック
4. 許可されていなければ、なりすましの可能性ありと判断

SPFレコードの例

v=spf1 include:_spf.google.com include:sendgrid.net -all

この例では：

• v=spf1: SPFバージョン1を使用
• include:_spf.google.com: Google Workspaceからの送信を許可
• include:sendgrid.net: SendGridからの送信を許可
• -all: 上記以外からの送信は拒否

SPF設定のポイント

• 使用しているメールサービスをすべてincludeに追加する
• 最後は-all（厳格）または~all（ソフトフェイル）で終わる
• ルックアップ数は10回以内に収める

DKIM（DomainKeys Identified Mail）とは

DKIMは、メールに電子署名を付与し、改ざんされていないことを証明する仕組みです。

DKIMの仕組み

1. 送信サーバーがメールヘッダと本文からハッシュ値を生成
2. 秘密鍵で署名し、メールヘッダに付与
3. 受信サーバーがDNSから公開鍵を取得
4. 署名を検証し、改ざんがないか確認

DKIMレコードの例

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQ...

• v=DKIM1: DKIMバージョン1
• k=rsa: RSA暗号を使用
• p=...: 公開鍵

DKIM設定のポイント

• 鍵の長さは2048ビット以上を推奨
• セレクタ名は推測されにくいものを使用
• 定期的に鍵のローテーションを行う

DMARC（Domain-based Message Authentication）とは

DMARCは、SPFとDKIMの結果を基に、認証に失敗したメールの処理方法を指定する仕組みです。

DMARCの仕組み

1. 受信サーバーがSPFとDKIMの認証を実行
2. DMARCポリシーを確認
3. 認証失敗時はポリシーに従って処理（何もしない/隔離/拒否）
4. ドメイン所有者にレポートを送信

DMARCレコードの例

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; pct=100

• v=DMARC1: DMARCバージョン1
• p=reject: 認証失敗メールを拒否
• rua=mailto:...: 集計レポートの送信先
• pct=100: ポリシー適用率100%

DMARCポリシーの段階的な導入

重要: いきなりp=rejectを設定すると、正当なメールもブロックされる可能性があります。まずはp=noneで監視し、レポートを確認しながら段階的に強化しましょう。

RiskLensで簡単チェック

SPF、DKIM、DMARCの設定状況は、RiskLensで簡単に確認できます。

1. トップページでドメインを入力
2. 「診断する」をクリック
3. メール認証の設定状況と改善点を確認

設定に問題があれば、具体的な改善方法も提示されます。

まとめ

3つすべてを正しく設定することで、メールセキュリティが大幅に向上します。まずは現在の設定状況を確認し、不足があれば順番に設定していきましょう。