DMARC(ディーマーク)とは?仕組みと設定手順|メール到達率を守る完全マニュアル

DMARCは、SPFやDKIMの認証結果をもとに、なりすましメールへの対応方針を決める仕組みです。正しく設定することで、ドメインの信頼性を守り、安全なメール配信環境を構築しやすくなります。
「SPFとDKIMの設定は終わったけれど、DMARCって何?設定しないとどうなるの?」
BtoBのメールマーケティングやインサイドセールス部門の担当者様から、最近最も多く寄せられるご相談です。
結論から言うと、DMARC(ディーマーク)の設定を後回しにするのは非常に危険です。なぜなら、2024年以降のGmail等の厳しいセキュリティ基準では、DMARCが設定されていないドメインからの大量配信(1日5,000件以上)はブロックの対象となり、大切な営業メールやメルマガが顧客の受信トレイに届かなくなってしまう(到達率の急落)リスクがあるからです。
専門知識がなくても大丈夫です。この記事の通りに進めれば、DNSにたった1行のテキストを追加するだけで、自社のドメインレピュテーション(信用スコア)を強固に守り、高い到達率を維持するインフラが完成します。
「SPFとDKIMは設定したけれど、DMARCの設定方法が分からない」「Gmailの送信者ガイドラインに対応しないとメールが届かなくなると聞いて焦っている」という企業の担当者様向け。
DMARC(ディーマーク)の仕組みや必要性、DNSへのTXTレコード追加手順を、非エンジニアにも分かりやすくマニュアル化しました。「p=none(監視モード)」から安全にスタートし、正規の営業メールをブロックさせることなく、なりすまし被害だけを根絶するベストプラクティスを解説します。
目次
DMARC(ディーマーク)とは?なりすましを防ぐ「最後の砦」
DMARCは、SPFやDKIMの認証に失敗した「なりすましメール(偽物)」を、受信サーバーがどう処理すべきか(通す・隔離する・弾く)を送信元が自ら指示する「取り扱い指示書」です。
DMARC(Domain-based Message Authentication, Reporting, and Conformance:読み方「ディーマーク」)とは、SPFとDKIMの2つの認証結果を利用して、自社ドメインのなりすましを防止する仕組みです。
現実世界に例えてみましょう。あなたの会社に、あなた(社長)の名前を騙った偽物の営業マンが勝手に訪問営業をしているとします。訪問先の受付(Gmailなどの受信サーバー)は、その人が本物か偽物か判断に迷っています。
この時、あなたが事前に「もし私の身分証(SPF)や実印(DKIM)を持っていない偽物が来たら、追い返してください(拒否)」という明確なルールをまとめた指示書を受付に渡しておく仕組みがDMARCです。
なぜ今、Gmail送信者ガイドラインでDMARCが必須になったのか?
これまで、なりすまし対策は「SPF」と「DKIM」を設定すれば十分と言われていました。しかし、この2つには「偽物だと分かった後の処分方法が決まっていない」という致命的な弱点がありました。結果として、受信側の判断によっては偽物のメールがそのまま相手に届いてしまうことがあったのです。
この抜け穴を完全に塞ぎ、フィッシング詐欺からユーザーを守るための「最後の砦」として、GoogleやYahoo!が送信者ガイドラインを改定し、DMARCの設定を強く要求するようになりました。
図解でスッキリ!SPF・DKIM・DMARCの違いと関係性
検索でも非常によく調べられる「SPF・DKIM・DMARCの違い」を整理しましょう。これらは別々のものではなく、「3つ組み合わせて初めて完成するセキュリティシステム」です。
| 認証技術 | 役割のイメージ | 具体的な機能と守る領域 |
|---|---|---|
| ① SPF | 「身分証明書」 (許可された場所から来たか) |
送信元の「IPアドレス」をDNSのリストと照合し、許可された正規のサーバーから送られているかを確認します。 |
| ② DKIM | 「封蝋(デジタルの印鑑)」 (途中で書き換えられていないか) |
メールに「電子署名」を付与し、配送途中で中身や添付ファイルが改ざんされていないことを数学的に証明します。 |
| ③ DMARC | 「取り扱い指示書」 (偽物だった場合どうするか) |
SPFやDKIMの認証に失敗したメールを「そのまま通す」「迷惑フォルダに入れる」「弾く」のいずれにするかを指示し、その結果をレポートとして受け取ります。 |
※DMARCは、SPFとDKIMの仕組みを利用して合否を判定します。そのため、必ず先にSPFとDKIMの設定を完了させてからDMARCの設定を行ってください。

図解:営業メールの安全性と到達率を高めるには、SPF・DKIM・DMARCを組み合わせて運用することが重要です。送信元確認、改ざん防止、失敗時のポリシー設定をそろえることで、なりすまし対策と信頼性向上につなげやすくなります。
DMARCの要「3つのポリシー(pタグ)」の仕組み
DMARCを設定する際、最も重要なのが「ポリシー(pタグ)」の決定です。「認証に失敗した怪しいメールをどう処理するか」を以下の3段階から選びます。
- ① p=none(何もしない / 監視モード):
認証に失敗しても、普段通りメールを届けます。まずは「自社の正規の営業メールが誤ってブロックされないか」を様子見(テスト)するための、導入時の必須設定です。 - ② p=quarantine(隔離する):
認証に失敗したメールを「迷惑メールフォルダ」に強制的に振り分けます。少しセキュリティを高めた状態です。 - ③ p=reject(拒否する):
認証に失敗したメールを受信サーバーの入り口で完全にブロックし、相手に届けません。なりすまし被害をゼロにするDMARCの究極の目標地点です。
万が一、自社のSPF/DKIM設定にミスがあった場合、あるいはメール転送の仕様によって、正しい営業メールまで全て「なりすまし」と判定され、ブロックされてしまいます。必ず none(監視) → quarantine(隔離) → reject(拒否) と、数週間〜数ヶ月かけて段階的にレベルを上げていくのがプロの安全な運用手法です。

図解:DMARCでは、認証に失敗したメールに対して「監視のみ(p=none)」「隔離(p=quarantine)」「拒否(p=reject)」の3つのポリシーを設定できます。段階的に運用することで、なりすまし対策を強化しながら安全なメール配信環境を整えやすくなります。
【実践】DMARCレコードの設定手順(TXTレコードの書き方)
DMARCの導入に専用のシステム購入は不要です(費用はかかりません)。自社のドメインを管理しているDNSサーバー(お名前.com、エックスサーバー、AWS Route53など)に、テキスト(TXTレコード)を1行追加するだけで完了します。
Step 1:DNSレコード(TXTレコード)を作成する
まずは、以下のテンプレートをコピーして、ご自身の環境に合わせて修正してください。
■ ホスト名(サブドメイン): _dmarc
(※どのドメイン管理会社でも必ず `_dmarc` を指定します。`_dmarc.example.com` のようになる形です。)
■ TYPE(種別): TXT
■ VALUE(値・内容): v=DMARC1; p=none; rua=mailto:admin@your-company.com;
(※ admin@your-company.com の部分を、自社でDMARCレポートを受け取りたいメールアドレスに変更してください。)
v=DMARC1:DMARCのバージョン宣言です(必須・変更不可)。p=none:最初は必ず監視モードの none にします。rua=mailto:...:世界中の受信サーバーから「あなたのドメインを使ったメールの認証結果レポート(XMLデータ)」を受け取るためのアドレスです。
Step 2:DNSサーバーに登録し、正しく反映されたか確認する
自社のドメイン管理画面にログインし、Step1のTXTレコードを追加して保存します。
設定がインターネット上に反映されるまで数十分〜最大48時間かかります。反映後、MxToolbox(DMARC Check Tool)などの無料オンラインツールに自社ドメインを入力し、「DMARC Record Published」が緑色のPASSで表示されれば無事完了です。
設定に不安がある方は、プロの配信インフラをご活用ください
「SPFやDKIMの連携がうまくいかない」「DNSの設定ミスでホームページが見れなくなるのが怖い」とお悩みですか?
FAXDM屋のメール配信システムは、到達率98%を誇る強固なインフラを完備。さらに、2019年以降に蓄積された約20万件の配信停止リスト(オプトアウト)を事前に自動除外するため、スパム判定のリスクを最小限に抑えます。送信ドメイン認証の個別サポートもご相談可能です。
導入後の注意点:DMARCレポートの活用
DMARC設定(`rua`タグ)を完了すると、指定したアドレス宛に「DMARCレポート」というXML形式のデータファイルが毎日届くようになります。
このレポートを分析ツール(DMARCianやPostmarkなど)に読み込ませることで、「自社の正規のメール配信システムがちゃんと認証をクリアしているか」「海外の謎のサーバーから自社ドメインを騙ったなりすましメールが送られていないか」をグラフで可視化できます。
数週間〜数ヶ月監視し、正規の営業メールが100%認証に成功していることを確認できたら、ポリシーを p=quarantine や p=reject へ引き上げて、セキュリティ体制を完成させましょう。
まとめ|DMARCで自社ブランドと到達率を守り抜く
DMARCについての要点は以下の通りです。
- DMARCは、なりすましメールの「処分方法」を受信側に指示する強力なセキュリティルール。
- 導入には、SPFとDKIMの設定が完了していることが大前提となる。
- DNSにTXTレコードを1行追加するだけで設定でき、費用は無料。
- 事故を防ぐため、必ず
p=none(何もしない監視モード)から安全にスタートする。
SPF、DKIM、そしてDMARC。この3つを正しく設定することは、特定電子メール法の遵守とともに、もはやBtoBメールマーケティングにおいて「やっておいた方がいいこと」ではなく「商談を獲得するための必須のスタートライン」です。
正しい設定を行い、自社ドメインのレピュテーションを守り抜いてください。
👉 あわせて読みたい:認証技術のおさらいと総合ガイド
DMARCに関するよくある質問(FAQ)
Q1. DMARCの設定に費用はかかりますか?
A. DMARCレコードの設定自体(DNSへのTXTレコード追加)には費用は一切かかりません。無料で設定可能です。ただし、送られてくるDMARCレポート(XMLファイル)を分かりやすいグラフで可視化・分析するための「外部の解析ツール」を導入する場合は、そのツールの利用料が発生することがあります。
Q2. 設定したら、普通の営業メールも届かなくなりませんか?
A. ポリシー(pタグ)を p=none(監視モード)にしている限り、メールがDMARCの影響で拒否されたり隔離されたりすることはありません。まずは none で運用してレポートを確認し、正規のメールがきちんとSPF/DKIM認証をクリアしているか確かめてから、段階的にポリシーを引き上げれば安全に導入できます。
Q3. 個人向けのGmail(@gmail.com)でも設定できますか?
A. いいえ、DMARCは「自社独自のドメイン(@your-company.comなど)」をお持ちの企業や事業主様向けの設定です。無料のGmailやYahooメールなどのフリーアドレスは、プロバイダー側(Googleなど)が自社で管理・設定しているため、ユーザー側で設定・変更することはできません。
Q4. サブドメインからメールを送る場合、設定はどうなりますか?
A. 親ドメイン(例: example.com)のDNSにDMARCを設定すると、初期状態ではそのルールがサブドメイン(例: mail.example.com)にも自動的に適用(継承)されます。もしサブドメインだけ別のポリシーにしたい場合は、TXTレコード内に sp=(サブドメインポリシー)というタグを追加して個別に指示を出します。
本記事の参照・出典に関する情報
DMARCレコードの技術仕様や公的な導入ガイドラインについては、以下の信頼できるリファレンスを参照しています。
Comment