〜シリーズ振り返り+自社ドメインを守るための実践ステップ〜
シリーズ全体の振り返り
本シリーズでは、迷惑メール対策を3つのレベルに分けて解説してきました。
| レベル | アプローチ | キーアクション |
|---|---|---|
| 初心者編 | 違和感に気づく | 差出人・文面・リンク・日本語をチェック |
| 中級者編 | 具体的に確認する | URLを読む・添付を疑う・公式で確認 |
| 上級者編 | 仕組みで判断・対策する | ヘッダー確認・SPF/DKIM/DMARCで自社を守る |
初心者編・中級者編は「自分が騙されない」ための知識でした。一方、上級者編では視点が変わり、「自社ドメインがなりすましに悪用されない」という送信側の責任が登場しました。
このまとめ編では、上級者編で解説したSPF/DKIM/DMARCを、実際に自社で導入するための実践ステップを整理します。
大前提:「対応していないだけ」のケースが圧倒的多数
SPF/DKIM/DMARCは、すでに Google Workspace、Microsoft 365、主要なレンタルサーバーのメール機能などで対応済みです。にもかかわらず未対応の企業が多い最大の理由は、技術的な制約ではなく、「管理者が設定していないだけ」というケースが圧倒的多数を占めます。
逆に言えば、設定する意思さえあれば、ほとんどの会社は今日からでも始められます。
自社ドメインを守るための5ステップ
ステップ1:メールサービスがSPF/DKIMに対応しているか確認
まず、自社で使っているメールサービスが SPF/DKIM/DMARC に対応しているかを確認します。主要なサービスはまず対応していますが、古い格安サーバーや一部のレガシーなメールサービスでは未対応のケースもあります。
もし未対応であれば、後述するGmail/Yahooの要件にも対応できないため、メールサービスの乗り換え自体を検討すべきタイミングと言えます。
ステップ2:SPF/DKIMを設定する
使用しているメールサービスのマニュアルに従って、DNSにSPFレコードとDKIMレコードを追加します。
ステップ3:メルマガ・フォーム自動返信など”別サービス”も漏れなく対応
意外と見落とされがちなのが、自社ドメインを使ってメールを送信している”別のサービス”です。例えば、
- メルマガ配信サービス(Mailchimp、配配メール 等)
- 顧客管理ツールやMAツール
- 問い合わせフォームの自動返信メール
- ECサイトの注文確認メール
これらが自社ドメインを差出人として送信している場合、それぞれのサービス側でもSPF/DKIM/DMARCに対応する設定が必要です。これを忘れると、メルマガや自動返信メールだけがDMARC認証に失敗し、相手に届かなくなる、という事態が発生します。
「自社ドメインを使って、どこから・どんなメールが送られているか」をすべて洗い出すことが、DMARC運用の第一歩であり最大の山場でもあります。
ステップ4:DMARCを p=none から始める
いきなり p=reject にすると、正規のメールまで届かなくなるリスクがあります。まずは p=none(モニタリングのみ)で運用を開始し、レポートで配信状況を把握しましょう。
ステップ5:段階的に quarantine → reject へ強化
レポートで「正規のメールはすべてpassしている」「なりすましメールだけがfailしている」状態が確認できたら、ポリシーを段階的に強化していきます。reject まで到達してはじめて、DMARCはなりすまし対策として実効性を持ちます。
2024年以降、DMARC設定は事実上”必須”に
2024年から、GmailとYahooは「大量送信者(1日5,000通以上)」に対してDMARC設定を義務化しました。これは大企業だけの話ではなく、メルマガを配信している中小企業や、フォームから自動返信メールを送っている会社も対象になり得ます。
DMARCが未設定のままだと、自社からの正規メールが届かなくなる可能性もあるため、規模を問わず早めの対応が推奨されます。
おわりに:見分けるから、守るへ
全4回にわたって、迷惑メールの「見分け方」から、自社ドメインを「守る方法」までを解説してきました。
迷惑メール対策は、自分が被害に遭わないための”守り”だけでなく、自社ドメインが攻撃者の道具として悪用されないための”攻めの守り”でもあります。取引先や顧客の元に「あなたの会社の名前を騙ったメール」が届いたとき、信用を失うのは攻撃者ではなく自社です。
SPF/DKIM/DMARCの設定は、自社のブランドと信用を守るための、現代における基本的なセキュリティ対策と言えるでしょう。
本シリーズが、社内の情報セキュリティ研修や、メール運用の見直しのきっかけになれば幸いです。