SPF/DKIM/DMARCレコードチェッカー
ドメインを入力するだけでSPF・DMARC・DKIMレコードをリアルタイムに検索し、なりすましメール対策の設定状況を診断します。
Tips
- SPF・DKIM・DMARCはこの順番で設定するのが定石です。まずSPFとDKIMを整備し、最後にDMARCで受信側への指示を明確化しましょう。
- DMARCは最初からp=rejectにせず、まずp=noneでレポートを収集し、正当な送信経路をすべて把握してから段階的に強化すると事故を防げます。
- SPFのinclude先が多いドメインは「10レイヤー・255文字制限」に達しDNSルックアップが失敗することがあるため、不要なincludeは定期的に整理しましょう。
- このツールは代表的なDKIMセレクターのみを試すため、「見つからない」と出ても実際に使われているセレクターが違うだけの場合があります。
- Gmail・Outlookなど主要な受信サーバーは2024年以降SPF・DKIM・DMARCの整備を大量送信者に義務化しているため、メルマガ配信を行うドメインは特に優先して確認しましょう。
よくある質問
余談ですが ― なりすましメール対策の三本柱ができるまで
SPF・DKIM・DMARCはそれぞれ別の時期・別の背景で生まれた技術です。最初に登場したSPF(2003年ごろ)は「どのIPアドレスからならこのドメイン名でメールを送ってよいか」を宣言する仕組みで、迷惑メール業者が送信元アドレスを詐称する手口への対抗策として広まりました。しかしSPFはメール転送(フォワーディング)に弱く、転送されると送信元IPが変わってしまい認証が壊れるという弱点がありました。
その弱点を補ったのがDKIM(2007年ごろに標準化)です。SPFのようにIPアドレスで判断するのではなく、メール本文とヘッダーの一部に電子署名を付与し、受信側がDNSに公開された公開鍵で署名を検証する仕組みのため、転送されても署名さえ壊れなければ認証が通ります。
ただしSPFとDKIMはあくまで「認証に失敗した」ことを検出できるだけで、失敗したメールをどう扱うか(配送する・迷惑メール扱いにする・拒否する)は受信サーバー任せでした。この「受信側への指示」を統一する目的で2012年に策定されたのがDMARCです。DMARCはさらに、認証結果を送信ドメインの管理者にレポートとして送り返す仕組み(rua=)も備えており、自社ドメインが不正利用されていないかを継続的に監視できるようになりました。
2024年にGoogleとYahooが大量送信者(1日5,000通以上)向けにSPF・DKIM・DMARCの整備を事実上の必須要件としたことで、この三本柱は一部の大企業だけでなく、メルマガやシステム通知メールを送るあらゆる事業者にとって無視できない基礎知識になりました。