ZDNETをフォロー: Googleで優先ソースとして追加 します

ZDNETの主要なポイント

• ドメインを保護し、メールをスパムから守るためのDNSレコードが三つあります
• これらをすべて実行すると、完全な保護が得られます 
• それらはまた、ドメインが乗っ取られるのを防ぎます

多くの仕事のメールを送り、何も返信がない場合、あなたのメールはほぼ間違いなく誰かのスパムフォルダに入っている可能性があります. 

これが起こる理由はいくつかあり、必ずしもあなたのメールの内容とは関係ありません。最も一般的なのは、あなたのドメインが認証されていない可能性があります。これにより、受信サーバーはあなたのメッセージを静かにスパムフォルダに格納するための十分な理由を持っています. 

また：燃焼メールはどうしてあなたのインボックスを保護できるか - 設定するのは簡単で無料です

この罠が人々を驚かせることは予想以上に多く、本物の良いメールコンテンツを持つチームも含まれます。幸いなことに、SPF、DKIM、DMARCという3つのDNSレコードを含む簡単な修正方法があります。これらは一緒にインターネットに対してあなたのメールが正当であることを証明し、またあなたのドメインがサイバー犯罪者によって乗っ取られ、メールであなたを偽装されるのを防ぐことで保護します。

GmailとYahooは2024年2月に大量送信者に対してこれらの認証要件を施行し始めました。これに続き、Microsoftは2025年5月にOutlook.com、Hotmail、Live.comにも同じ要件を追加しました。これらをまだ設定していない場合、それらはもはや任意ではありません.

SPF、DKIM、DMARCが実際に何をするのか

各々の3つのプロトコルは、メール認証における異なる脆弱性に対応しています。SPFは、あなたのメールを送信しているサーバーがそのような行為を許可されているかどうかを確認します。DKIMは、送信中のメッセージに暗号学的な署名を追加し、中継中に変更されていないことを確認します. 

DMARCは、両方のチェックが失敗した場合に受信サーバーに何をするかを指示するポリシーを公開することで、これらを結びつけ、認証レポートをあなたにルーティングします。

本当に全部の三つが必要です。SPFだけでは、受信者がインボックスで見る「From」アドレスの偽造を防ぐことができません。DKIMだけでは、不正なサーバーから送信されたメールを見つけることはできません。全部の三つを運用する時、あなたは配信問題とドメインスプーフィングの両方に対して完全なカバーを得ます.

1. SPF: 自分の代わりに送信するサーバーを承認します

SPF（送信ポリシーフレームワーク）は、あなたのドメインを代表してメールを送信する権限を持つすべてのIPアドレスとメールサーバーをリストするDNS TXTレコードです。受信者のメールサーバーがあなたから来たと主張するメッセージを受け取ったとき、それが送信サーバーのIPとそのレコードを照合します。IPがリストにない場合、メッセージは失敗します.

また： 私はインボックスの散乱を片付けるための好きなメールのトリックがあります - 自動的に

設定を行うには、ドメインレジストラ（GoDaddy、Cloudflare、Namecheapなど）にログインし、ドメインのルートにTXTレコードを追加します。それがどのように機能するかはこちらです： 

1. まず、メールサービスからSPF値を取得します。Google Workspace、Microsoft 365、およびほとんどのプラットフォームは、ドメイン認証ページでコピー＆ペーストする必要がある正確なレコード値を提供します。Google Workspaceの場合は、次のようになります：v=spf1 include:_spf.google.com ~all. 

2. 複数のサービスを通じてメールを送信する場合、それらを同じレコードに積み重ねる必要があります。例えば  v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all. 

3. ドメインのDNSレコードを管理するプラットフォームにログインしてください。これはGoDaddy、Cloudflare、Namecheap、Route 53などです。DNSページで新しいTXTレコードを作成し、ホストを@（ルートドメイン）に設定し、前のステップからSPF値を貼り付けます。

それほど簡単です！ドメインにはSPF TXTレコードが1つのみで、DNS検索は10回までです。最初のレコードを編集する代わりに2番目のSPFレコードを作成すると、両方とも無効になります。したがって、承認された送信者リストを手薄く保ちましょう. 

2. DKIM：すべてのメールに改ざん防止の署名を追加

DKIM（ドメインキー認証メール）は公開鍵暗号化を使用して送信するメッセージに署名します。あなたのメールサーバーは保持しているプライベートキーを使用して署名を添付し、受信者はあなたがDNSに公開した一致する公開鍵でそれを検証できます。もしメールがあなたのサーバーと受信者のインボックスの間でどこかで変更された場合、その署名チェックが失敗します.

また： このシンプルなメールのトリックで、面倒なマーケティングスパムから私を守ってくれる（それに、無料でできる)

Google Workspace、Microsoft 365、SendGridなどの大手メールプラットフォームは、あなたにDKIMキーペアを生成してくれる。あなたの仕事は、それが提供する公開キーをコピーして、あなたのドメインのDNS設定に新しいTXTレコードとして貼り付けること。 

正確な設定手順は、あなたのメールプロバイダーやドメインレジストラによって異なりますが、ここでは一般的な概要を説明します。 

1. Google Workspace、Microsoft 365、SendGrid、Mailchimpなどのメールサービスプロバイダーは、ドメイン認証設定ページにナビゲートするとDKIMレコードを生成します。例えば、Google Workspaceを使用する場合、これはApps内にあります。> Google Workspace > Gmail は Google 管理コンソールで。新しいレコードを作成するためにクリックして、これらの値をまずコピーしてください。 

2. 次に、ドメインレジストラーの DNS 設定ページにナビゲートし、以前 SPIF を設定する際にやったように新しい TXT レコードを作成します。提供者によっては、TXT レコードではなく CNAME レコードとしてこれを追加する必要がある場合もあるので、メール提供者のドキュメントを参照してください。 

3. メールプロバイダーから取得したホスト名とレコード値を新しいDNSレコードに貼り付けます。タイプミスがないことを確認してください。これがドメインのセキュリティに影響を与える可能性があるためです。

4. 今度は、あなたのメールプロバイダーの認証設定に戻ってください。これはあなたのドメインに対してDKIM署名を有効にする場所です。Google Workspaceでは、管理者コンソールの「メールを認証する」ページに戻り、「認証を開始する」をクリックして行います。DNSレコードがあなたのドメイン全体に広がるまでに時間がかかるため、24〜48時間後にこれを行う必要があることを忘れないでください。 

DKIMは転送されたメッセージのために特に有用です。転送はIPアドレスが変わるためSPFが壊れることが多く、DKIM署名は通常無事に残ります。つまり、SPFだけでは失敗した場合でも転送されたメールは認証を通過できるということです. 

3. DMARC: 認証が失敗した場合に起こることをルールで設定

DMARC（ドメインベース メッセージ認証、レポート、および準拠）は、SPFとDKIMを強制できるポリシー層です。それがなければ、チェックに失敗を検知した受信サーバーは次に何をするかの指示がないし、あなたは何が失敗しているかやその理由についても透明性がありません。それを動かす方法はこちらです：

1. まず、DMARCレポート専用のインボックスを作成します。例えば、reports@yourdomain.comのようなものです。 

2. ほとんどのメールプロバイダーはダッシュボードでDMARCジェネレーターを提供していますが、MXToolboxやDMARCLYのようなサードパーティサービスも使用できます。 

3. 新しいTXTレコードを追加します。ホスト名は_dmarc_と読み取る必要があります。DMARCジェネレーターから直接レコード値を貼り付けます。 

4. 専用インボックスで2〜4週間にわたって、いかなる障害報告も確認してください。これにより、配信率を向上させるために対応が必要なメールボックスの問題が明らかになります。

また： 私はNordVPNの無料詐欺チェッカーを本物のフィッシングメールでテストしました。その結果はこちらです

他の二つと同様に、DMARCはTXTレコードであり、今回_dmarc.yourdomain.comに追加されました。シンプルな始めのレコードはこのようになります：v=DMARC1; p=none; rua=mailto:reports@yourdomain.com。p=noneの設定では、受信サーバーは失敗したメッセージに対して何も行いませんが、指定したアドレスに集約レポートを送信します。それらのレポートは、どのサービスがあなたの代わりに送信しているかと、それらが認証をパスしているかを示します。

数週間のレポートを確認し、正当なメールが正常に送信されていることを確認したら、ポリシーを厳しくします。失敗したメッセージをスパムにルーティングするためにp=quarantineに移動し、最終的にp=rejectに移動して完全にブロックします. 

レポートを確認する前に直ちにp=rejectに移動することは、私が見る最も一般的な実装ミスであり、結果としてあなた自身のマーケティングや取引メールがブロックされることになります。

なぜあなたはただ一つを選べないのですか

各プロトコルには、他のものが埋める隙間があります。SPFは送信サーバーをチェックしますが、受信者が実際に見る「From」アドレスはチェックしませんので、攻撃者はSPFを通過しながらもあなたのドメインを偽装できます。DKIMはメッセージの整合性を検証しますが、署名ドメインが表示される送信者と一致するかどうかをチェックしません。 

DMARCはこれらの要素間の整合性を強制し、整合性が取れていない場合に選択したポリシーを適用します。

組み合わせた配信能力の向上は測定可能です。Validityの2025年メールベンチマークレポートによると、適切に認証されたドメインは、認証されていないドメインよりもインボックス配置率が約60ポイント高いことがわかります。冷たいアウトレーチキャンペーンやバッチニュースレターを実行している誰にとっても、そのギャップは結果を生むキャンペーンと完全に消えるキャンペーンの違いです.

あなたの記録が機能しているかどうかをどう検証するか

DNSの変更は、世界中に広がるのに通常15分から48時間かかります。その期間が過ぎると、無料のツールですぐにすべてが正しく設定されているかどうかを確認できます。MX Toolboxには、SPF、DKIM、DMARCそれぞれの別のチェックがあります。また、テストメールをcheck@dmarcly.comに送信して確認することもできます。これはあなたのドメインの完全な認証レポートを返信します.

それに: 2026年のベストメールホスティングサービス：専門家がテスト・レビュー

あなたのDMARC総合レポートは最も価値のある継続的なサインです。DMARCレコードを公開した1～2日以内に、指定したアドレスにレポートが届き始めます。それらはあなたのドメイン名の下でメールを送信しているすべてのサーバーと、それぞれが認証を通過しているか失敗しているかを示します。定期的にそれを読むことは、設定ミスを早期に見つける最良の方法であり、配信率に影響を与える前に、あるいはドメインがフィッシングキャンペーンで悪用される前にそれを防ぐことができます。