はじめに
「そのメール、本当に取引先からですか?」
請求書詐欺やBEC(Business Email Compromise)が急増するいま、メールのなりすまし対策は中小企業にとって避けて通れない課題です。その切り札となるのが SPF・DKIM・DMARC。専門用語に見えますが、役割を整理すれば理解は難しくありません。3分で全体像をつかみましょう。
基本の仕組み
- SPF(Sender Policy Framework)
自社ドメインから送信できるサーバーを指定。許可されていないサーバーからの送信は「偽物」と判定されます。 - DKIM(DomainKeys Identified Mail)
メールに電子署名をつけ、受信者が「改ざんされていないか」を検証できる仕組み。 - DMARC(Domain-based Message Authentication, Reporting & Conformance)
SPFとDKIMの結果を統合し、受信者に「そのメールをどう扱うか」を指示。さらに、なりすましの状況をレポートとして受け取れます。
この三つを組み合わせれば、外部からの偽装メールを大幅に減らせます。
よくある失敗(落とし穴)
「導入したのにトラブルが増えた」──そんな声も少なくありません。原因は次のような運用ミスです。
- SPFの範囲を広げすぎる:外部委託サーバーを一括許可した結果、不正送信まで通してしまう。
- DKIM鍵の管理がずさん:鍵を更新せず放置し、漏洩や検証エラーにつながる。
- DMARCを初手からrejectに設定:正規メールまで弾かれて業務に混乱が生じる。
共通するのは“設定して終わり”と思い込むことです。
導入の流れ(実践ステップ)
安全に導入するなら、以下のステップを踏むのが現実的です。
- SPFを最小限で設定
本当に必要な送信元だけを許可。安易に「+all」は避ける。 - DKIMを導入し、鍵を定期的に更新
使い回しは厳禁。クラウドサービス利用時は自動ローテーションの有無を確認。 - DMARCは段階的に適用
最初はnoneでレポート収集 → 問題がなければquarantine→ 最終的にreject。
これが王道の移行パターンです。
まとめ
SPF・DKIM・DMARCは、単独では効果が限定的。三位一体で導入し、運用をモニタリングすることが本当の防御力につながります。中小企業にとっては、取引先からの信用を守る“メールの防衛線”と言えるでしょう。
