Google Workspace セキュリティドメイン向け SPF・DKIM・DMARC 設定

企業サイトがプロフェッショナルに見えても、メールドメインが簡単になりすまされる状態のままでは信頼面に穴が残ります。SPF、DKIM、DMARC は、誰が送信を許可されているか、失敗時にどう扱うべきかを受信側に示し、その穴を埋めます。

セキュリティを重視する会社にとって、これは任意の仕上げではありません。contact、support、security、privacy、legal、sales などのメールボックスを公開している場合、公開された信頼面そのものの一部です。

• まず運用メールボックスを作成します。dmarc@example.com のような DMARC レポート用メールボックスも含めます。
• Google Workspace など、実際に送信するサービスに対して SPF を公開します。
• Google Workspace の DKIM 署名を有効化し、DKIM TXT レコードを公開します。
• DMARC は p=none とレポート有効化から開始し、強制適用前に失敗を観測します。
• 正当な送信元がアラインメントできてから quarantine または reject に進めます。

確認は DNS と実際のメッセージヘッダーの両方で行うべきです。DNS はレコードの存在を確認します。メッセージヘッダーは、本番の送信経路から送られたメールが実際に SPF、DKIM、DMARC のアラインメントを通過しているかを示します。

• SPF には、そのドメインから本当に送信するサービスだけが含まれている。
• DKIM は現在の selector を使い、受信メッセージで pass を示している。
• DMARC レポートが監視対象のメールボックスに届いている。
• 将来のメールツール追加で到達性を壊さないよう、ポリシーが文書化されている。

レポートが安定してきたら、DMARC を段階的に厳格化します。最も強い最終状態は reject ですが、適切なタイミングはニュースレター、トランザクションメール、CRM、サポートツールが同じドメインから送信しているかによって変わります。