DMARCの設定方法:p=noneからp=rejectへ(2026年版ガイド)
2026年版DMARC設定完全ステップバイステップガイド。p=noneのモニタリングからp=quarantineを経てp=reject適用へ移行する方法を解説。GmailとApple MailでBIMIロゴを表示するための必須条件です。
DMARC。ステップバイステップ。
DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、BIMIの絶対的な前提条件です。p=noneに設定されたドメインでは、SVGファイルがどれほど完璧に構成されていても、GmailやApple Mailでロゴが表示されることはありません。本ガイドでは、初期導入から完全な適用までの全行程を解説します。
前提条件
DMARCレコードを作成する前に、以下が既に設定されていることを確認してください:
- SPFレコード — あなたのドメインの代わりにメールを送信する権限を持つメールサーバーを指定する、apexドメインのTXTレコード。例:
v=spf1 include:_spf.google.com -all - DKIMレコード — 受信サーバーがメール署名を検証するために使用する公開鍵をDNSに公開したもの。メールプロバイダーが生成します。
- DNSアクセス — ドメインのDNSゾーンへの書き込みアクセス(Cloudflare、Route 53、GoDaddy、またはレジストラのコントロールパネル)。
DMARCが機能するには、SPFまたはDKIMの少なくとも一方が正しく設定され、From:ドメインとアライメントされている必要があります。
ステップ1:モニタリングレコードの作成(p=none)
まずモニタリング専用ポリシーから始めます。これにより、メール配信に影響を与えることなく認証失敗を記録できます。
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=none; rua=mailto:[email protected]; pct=100"
タグリファレンス:
| タグ | 必須 | 説明 |
|---|---|---|
| v=DMARC1 | はい | プロトコルバージョン。最初に記述する必要があります。 |
| p=none | はい | ポリシー:モニタリングのみ、アクションは実行されません。 |
| rua=mailto: | 推奨 | 集計レポートの送信先メールアドレス。 |
| pct=100 | 任意 | ポリシー適用対象のメールの割合(デフォルト:100)。 |
このレコードを公開し、DNS伝播のため48〜72時間待機してください。
ステップ2:集計レポートの確認
集計レポート(RUA)は、通常、送信元ごとに1日1回、XML添付ファイルとして届きます。レポートには以下の情報が含まれます:
- あなたのドメインを名乗ってメールを送信したIPアドレス
- SPFとDKIMが合格したか失敗したか
- 各送信元から送信されたメッセージ数
確認すべきポイント: SPFまたはDKIMアライメントに失敗している正規の送信サービス(ESP、CRM、チケットシステム、マーケティングプラットフォームなど)は、適用に移行する前に修正する必要があります。アライメント失敗が解決されないままp=rejectに移行すると、正規のメールがブロックされます。
個別のDKIM/SPF設定が必要な一般的な送信元:Mailchimp、Salesforce、HubSpot、Zendesk、SendGrid、Google Workspace、Microsoft 365。
ステップ3:p=quarantineへの移行
すべての正規送信元が認証に合格したら、失敗したメッセージを隔離するようポリシーを更新します:
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=25"
まずpct=25から始め、失敗メッセージの25%のみに隔離ポリシーを適用します。1〜2週間モニタリングしてください。正規のメールが隔離されていなければ、pct=100に引き上げます。
ステップ4:p=rejectへの移行
完全な適用です。認証されていないメッセージは即座に拒否され、配信されません。
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100"
これがBIMIの最低要件です。 GmailとApple Mailは、ドメインにpct=100のp=quarantineまたはp=rejectが設定されていない限り、BIMIレコードを処理しません。p=noneのポリシーはBIMIにとって存在しないのと同じであり、他の設定がどれほど正確であってもロゴは表示されません。
なぜp=noneではBIMIがブロックされるのか
BIMI仕様では、ロゴを表示する前に、送信ドメインが適用済みのDMARCポリシーを持っていることをメールボックスプロバイダーが確認することを要求しています。その理由は、ロゴが信頼性のシグナルだからです。なりすまし対策を適用していないドメインのロゴを表示してしまうと、攻撃者がフィッシングメールに認証済みロゴを表示できてしまいます。p=noneは適用がないため、プロバイダーはBIMIレコードを処理しません。
アライメント:ほとんどのガイドが省略する重要な詳細
DMARCは、認証されたドメインがFrom:ヘッダーのドメインとアライメントしている場合にのみ合格となります。アライメントには2つのモードがあります:
- 緩和(デフォルト): 組織ドメインが一致する必要があります。
mail.example.comはexample.comとアライメントします。 - 厳格: 完全に同じドメインが一致する必要があります。
mail.example.comはexample.comとアライメントしません。
BIMIの場合、特別な理由がない限り緩和アライメント(adkim=r; aspf=r)を使用してください。厳格アライメントは、サブドメインやサードパーティ送信サービスで失敗を引き起こします。
完全なレコードリファレンス
_dmarc.yourdomain.com IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; rua=mailto:[email protected]; pct=100"
| タグ | 値 | 意味 |
|---|---|---|
| p=reject | Reject | 認証されていないメールをブロック |
| sp=reject | Reject | サブドメインに同じポリシーを適用 |
| adkim=s | Strict | DKIMアライメントは完全一致が必要 |
| aspf=s | Strict | SPFアライメントは完全一致が必要 |
| rua= | Email | 集計レポートの送信先 |
| pct=100 | 100% | すべてのメールに適用 |
次のステップ
ドメインがp=rejectに到達したら:
- BIMI SVGを生成する — makeBIMI™を使用して、W3C SVG Tiny P/S準拠のロゴファイルを作成します。無料で、アカウント登録は不要です。
- DMARC監査を実行する — makeBIMI Domain Auditツールで、DMARC、SPF、BIMIレコードのステータスをリアルタイムで確認できます。
- 証明書を取得する — Gmailでロゴを表示するには、VMCまたはCMCが必要です。veriBIMI℠は、DMARC適用管理、SVG準備、CA申請を含む証明書取得プロセス全体を仲介します。