「先方に送った見積もりのメールが、相手の迷惑メールフォルダに入っていて気づかれなかったんです。大事な商談だったのに」——先日、社員二十名ほどの会社の営業担当の方から、こんな相談を受けました。同じ会社からは少し前にも別の相談が来ていて、それは「自社の名前をかたった不審なメールが顧客に届いて、問い合わせが入った」というものでした。一見すると無関係な二つのトラブルですが、原因はほぼ同じ場所にあります。自社ドメインのメールに、送信ドメイン認証が正しく設定されていないことです。
独自ドメインで会社のメールを運用している中小企業ほど、この問題は静かに進行します。普段は問題なく届いているように見えるので気づきにくく、ある日「重要なメールが届かなかった」「自社になりすまされた」という形で表面化します。本記事では、なぜ届かず・なりすまされるのかを切り分けたうえで、Google Workspaceでのメール認証設定を事故なく進める順番を、受託で伴走する立場から整理します。
「届かない」と「なりすまされる」は同じ根から生える
まず、二つのトラブルが同じ根を持つことを押さえます。
受信側のメールサーバー、とりわけGmailは、届いたメールが「本当にそのドメインから送られたものか」を機械的に検証しています。検証の手がかりが、送信ドメイン認証と呼ばれる仕組みです。これが整っていないドメインからのメールは、受信側から見ると「名乗っている差出人が本物かどうか確かめられない」状態に映ります。確かめられないメールは、安全側に倒して迷惑メール扱いにされやすい。これが「届かない」の正体です。
同時に、認証が無いドメインは、第三者が差出人をかたって送る、いわゆるなりすましに対して無防備になります。攻撃者が「あなたの会社のドメイン」を差出人に詐称しても、受信側にはそれを見破る根拠がありません。結果、顧客や取引先に偽メールが届く。これが「なりすまされる」の正体です。
つまり、送信ドメイン認証は「自社のメールを届ける」ための仕組みであると同時に、「自社をかたる偽メールを止める」ための仕組みでもあります。一つの設定で守りと攻めの両方が効く。逆に言えば、ここが空いていると両方の穴が同時に開きっぱなしになります。
SPF・DKIM・DMARCはそれぞれ別の仕事をしている
送信ドメイン認証は、よく三つの略語でまとめて語られます。SPF、DKIM、DMARCです。名前が似ているうえに「全部設定しましょう」とだけ言われがちで、それぞれが何をしているのかが曖昧なまま放置されているケースが本当に多いです。役割を分けて押さえます。
| 仕組み | やっていること | これが無いと |
|---|---|---|
| SPF | どのサーバーから送ってよいかをDNSに宣言する | 別サーバーからの送信が偽物と区別できない |
| DKIM | メールに電子署名を付け、改ざんと差出人を保証する | 途中で書き換えられても気づけない |
| DMARC | SPF/DKIMに失敗したメールをどう扱うか方針を指定する | 認証に失敗しても受信側が何もできない |
SPFは「このドメインのメールは、ここに挙げたサーバーから出ます」という宣言です。Google Workspaceを使っているなら、Googleの送信サーバーを許可する一行をDNSに加えます。DKIMは送信時にメールへ電子署名を付け、受信側がその署名で「確かにこのドメインが送り、途中で改ざんされていない」と検証できるようにする仕組みです。
そして要になるのがDMARCです。DMARCは、SPFやDKIMの検証に失敗したメールを受信側にどう扱ってほしいかを、ドメイン側から指示する仕組みです。指示は三段階あり、none(何もしない・観測だけ)、quarantine(迷惑メール隔離)、reject(受信拒否)と強めていけます。GmailをはじめとするメールサービスはDMARCの設定を前提とし始めており、なりすましに対しては隔離を実際に適用し始めています。SPF/DKIMが「認証の材料」だとすれば、DMARCは「材料が揃わなかったときにどうするかを決めるルール」です。
いきなりrejectにすると、自社のメールが消える
ここが受託の現場で最もつまずく落とし穴なので、先に書いておきます。
「なりすましを止めたいなら、DMARCをいちばん強いrejectにすればいいんですよね」——気持ちは分かりますが、これを最初からやると高い確率で事故ります。多くの中小企業は、独自ドメインのメールを純粋に自社サーバーからだけ送っているわけではありません。会計ソフトからの請求書送付、予約システムからの自動通知、メール配信サービスからのお知らせ、外部の問い合わせフォーム。こうした「自社ドメインを差出人にして送っている外部サービス」が、たいてい複数あります。
これらのサービスがSPFやDKIMにきちんと登録されていない状態でDMARCをrejectにすると、認証に失敗したそれらのメールが受信側で容赦なく拒否されます。請求書が顧客に届かない、予約確認が送られない、といった業務メールがまるごと消える事故になります。なりすましは止まったが、自社の正規メールも止まった、では本末転倒です。
正しい順番は、まずnoneで始めることです。noneはメールの扱いを一切変えず、認証の結果だけをレポートとして集める観測モードです。これで「自社ドメインを使って、どこから、どれだけメールが出ているか」の実態をまず可視化します。そのうえで、正規の送信元をSPF/DKIMに一つずつ登録して認証を通るようにし、漏れが無くなったのを確認してからquarantine、最終的にrejectへと段階的に上げていく。守りを固める作業は、いきなり門を閉めるのではなく、誰が正規の出入り業者かを把握してから締めるのが鉄則です。
Google Workspace管理者として、どこを触るか
実際の設定は、Google Workspace管理コンソールとDNS(ドメインを管理しているサービス)の二か所をまたぎます。ここも混乱しやすいので整理します。
DKIMの有効化は管理コンソール側の作業です。管理コンソールでドメインのDKIM鍵を生成し、表示されたレコードをDNSに登録して認証を開始します。SPFとDMARCはDNS側にレコードを追加する作業が中心です。どちらもDNSを書き換えるため、ドメインを取得した業者や管理画面のログイン情報が手元にあるかが、作業のスムーズさを大きく左右します。中小企業の受託でいちばん時間を食うのが、実はこの「ドメインの管理権限が誰の手元にあるか分からない」問題だったりします。
設定したら、効いているかを必ず確認します。Googleが提供するPostmaster Toolsを使うと、自社ドメインから送ったメールの認証通過率や、迷惑メール率の推移を観測できます。DMARCのレポートと合わせて見れば、「どの送信元が認証に失敗しているか」が具体的に分かるので、rejectへ上げてよいかの判断材料になります。設定して終わりではなく、レポートを見ながら段階を上げる運用までがワンセットです。メール周りの守りを広く点検したい場合は、Google Workspaceのセキュリティチェックリストの記事も合わせて確認すると、認証以外の抜け(共有設定や二段階認証など)も洗い出せます。
なお、受信するメール側、つまり巧妙化する偽メールから自社の従業員を守る話は、送信ドメイン認証とは別軸のテーマです。AIで精巧になったフィッシングメールへの防御はAIフィッシング防御とメール認証の記事で扱っています。本記事の「自社が正しく届き・かたられない」設計と、あちらの「届いた偽メールを見抜く」設計は、両輪で初めて会社のメールが安全になります。
事例: 配信停止と再開を繰り返していた商社の段階導入
具体例を挙げます。社員三十名ほどの商社(社名は伏せます)から、「メール配信サービスからのお知らせが、お客様のところで迷惑メールになったり届かなかったりして安定しない。なりすましメールの相談も顧客から来ている」という相談を受けました。
調べると、状況ははっきりしていました。独自ドメインのメールは、社内のGoogle Workspaceからの送信に加えて、メール配信サービスと会計ソフトの二つの外部サービスからも送られていました。ところがSPFには配信サービスしか登録されておらず、会計ソフトは未登録。DKIMは一部しか有効化されておらず、DMARCに至っては設定そのものがありませんでした。認証の土台が穴だらけだったのです。
そこで、いきなり締めずに観測から始めました。まずDMARCをnoneで設置し、Postmaster ToolsとDMARCレポートで、どの送信元が認証を通り、どれが落ちているかを二週間ほど観測しました。すると会計ソフトと、過去に使っていた問い合わせフォームの送信元が認証に失敗していると分かったので、それぞれをSPF/DKIMに登録し直して認証を通します。漏れが無くなったのを確認してからDMARCをquarantineに上げ、さらに数週間の観測で問題が出ないことを見届けてからrejectへ引き上げました。
結果、配信メールの到達が安定し、顧客から来ていたなりすましの相談も止まりました。いちばん効いたのは、強い設定を入れたこと自体ではありません。いきなり門を閉めず、正規の送信元を全部把握してから締めたことです。順番を守ったおかげで、自社の業務メールを一通も巻き込まずに守りを固められました。
まず「自社ドメインで誰が送っているか」を一覧にする
メール認証に着手するなら、設定をいじる前に一つだけやってください。自社ドメインを差出人にしてメールを送っている送信元を、すべて書き出すことです。社内のメール、会計ソフト、予約・通知システム、メール配信サービス、問い合わせフォーム——心当たりを一覧にするだけで、DMARCをrejectまで上げたときに何が巻き込まれるかが見えてきます。
この一覧ができていれば、認証設定は段階的に・安全に進められます。逆に、送信元を把握しないままDMARCを強くすると、なりすましは止まっても自社の正規メールが消えるという、別の事故を呼び込みます。届けるための設定と、かたられないための設定は同じ仕組みですから、一度整えれば守りと到達率の両方が一気に良くなります。順番さえ間違えなければ、メール認証は中小企業にとって費用対効果の高い守りです。
自社のメールが迷惑メールに入りやすい、なりすましの相談が顧客から来た、独自ドメインの送信元をきちんと把握できていない——そうしたお悩みがあれば、グリームハブのIT・Google Workspace無料相談からお気軽にご相談ください。送信元の棚卸しからSPF/DKIM/DMARCの段階導入、Postmaster Toolsでの効果確認まで、自社の正規メールを止めずに守りを固める進め方をご一緒します。メール運用そのものを見直したい方はGmailの業務活用の記事、Google Workspace全体の全体像を知りたい方はGoogle Workspaceとはの記事も合わせてご覧ください。
