会社メールが迷惑メール判定される原因とSPF・DKIM設定
この記事の要点
- 迷惑メール判定の主因はSPF・DKIM・DMARCという送信ドメイン認証の未設定
- 直し方はDNSにTXTレコードを追加し、テスト送信でpass表示を確認する流れ
- DMARCはp=noneの監視から始め、レポートを見て段階的に強める
取引先に送った見積書や請求書のメールが、相手の迷惑メールフォルダに入っていた。返信が来ないと思ったら「見てませんでした」と言われた。そんな経験はありませんか。

会社のメールが迷惑メール判定されるとき、まず設定すべきはSPF・DKIM・DMARCの3つです。この3つは「そのメールが本当にあなたの会社のドメインから送られたものか」を受信側が確認するための仕組みで、まとめて送信ドメイン認証と呼ばれます。
なぜ今これが重要なのかというと、GmailやOutlookなどの受信側サービスが送信ドメイン認証を重視するようになっているからです。認証が不十分なメールは迷惑メール扱いされやすく、少量送信の一般的な会社メールでも、認証を設定しておくほうが受信トレイに届きやすくなります。
ポイント。3つは役割が違うので、どれか1つではなく3点セットで設定します。
- SPF:送信を許可したサーバーの一覧
- DKIM:改ざんされていない証明の電子署名
- DMARC:認証に失敗したメールをどう扱うかの指示
それぞれが何をする仕組みなのか、まず全体像を表で押さえておきましょう。ここが分かると、あとの手順がぐっと理解しやすくなります。
| 認証 | ひとことで言うと | 設定する場所 | 役割 |
|---|---|---|---|
| SPF | 送信を許可したサーバーの名簿 | DNS(TXTレコード) | 許可したサーバー以外からの送信を見分ける |
| DKIM | メールに付ける電子署名 | DNS(TXT/CNAME)+送信サーバー | 途中で改ざん・なりすましされていない証明 |
| DMARC | 失敗時の扱いの指示書 | DNS(TXTレコード) | 認証に失敗したメールを隔離・拒否するか決める |
言い換えると、SPFとDKIMで「本物であること」を証明し、DMARCで「偽物だったらどうするか」を決める、という関係です。この3つがそろって初めて、GmailやOutlookが安心してあなたのメールを受信トレイに入れてくれます。
設定作業そのものは、DNSという「ドメインの設定台帳」にいくつかの文字列を登録するだけです。プログラミングは必要ありません。次の章で、実際の登録内容まで具体的に見ていきましょう。
Contents / 目次
SPF・DKIM・DMARCの設定手順を4ステップで解説

設定は「送信元の棚卸し→SPF→DKIM→DMARC」の順番で進めます。この順番を守るのが失敗しないコツです。いきなりDNSをいじる前に、まず自社がどこからメールを送っているかを整理するところから始めます。
ステップ1。メールの送信元をすべて洗い出す
最初にやるのは、自社のドメインからメールを送っている経路をすべて書き出すことです。ここが抜けると、後でそのメールだけ迷惑メール判定されるという厄介な状態になります。
次のような送信元がないか確認しましょう。意外と多くの経路からメールが出ているものです。
- メールソフト(Outlook等):Google WorkspaceやMicrosoft 365など、日常のメールを送っているサービス
- ホームページの問い合わせフォーム:WordPressやレンタルサーバーから自動送信されるメール
- メール配信システム:メルマガや一斉配信に使っているサービス(SendGrid、Mailchimpなど)
- 会計・予約などの外部ツール:請求書や予約確認を自社ドメイン名で送っているツール
この棚卸しリストが、次のSPF設定の材料になります。使っている各サービスの公式ヘルプで「SPF」や「送信ドメイン認証」を検索すると、指定すべき記述が案内されているので、それを控えておきましょう。
ステップ2。SPFレコードをDNSに登録する
SPFは、DNSにTXTレコードを1つ追加するだけで設定できます。ドメインを管理しているサービス(お名前.com、XServer、Cloudflareなど)の管理画面で、DNSレコードを編集するメニューを開きます。
登録する値は次のような形です。「include:」の後ろには、使っているサービスの公式ヘルプで案内されているSPF指定値を入れます。
v=spf1 include:(サービスの公式ヘルプで案内される値) ~all
複数の送信元がある場合は、includeを並べて1行にまとめます。2つのサービスから送るなら次のようになります。
v=spf1 include:(サービス1の値) include:(サービス2の値) ~all
末尾の記号には意味があります。~all(ソフトフェイル)は「許可外は疑わしい扱い」、-all(ハードフェイル)は「許可外は拒否」です。 最初は事故を防ぐため~allから始め、送信元を出しきった自信がついたら-allに強める、という進め方が安全です。
SPFレコードの注意点
- 1つのドメインにSPFレコードは1つだけしか有効になりません
- すでにSPFがある場合は、新しく作らず既存の1行にincludeを追記して統合してください
- includeを増やしすぎるとDNSの参照回数が多くなり、認証が失敗することがあります。使っていないサービスの記述は削除しておきましょう
ステップ3。DKIMを有効化して公開鍵を登録する
DKIMは、送信サービス側で「署名をオンにする」操作と、DNSに「公開鍵を登録する」操作の2つがセットです。まず使っているメールサービスの管理画面でDKIMを有効化すると、DNSに登録するための鍵の文字列(またはCNAME用の値)が発行されます。
発行された値を、SPFと同じようにDNSのTXTレコード(サービスによってはCNAMEレコード)として登録します。鍵の長さを選べる場合は、より長い(強度の高い)ものを選んでおくと安全です。
ここで一番多い失敗が、鍵の文字列をコピーするときに改行やスペースが混ざることです。鍵は1文字でも欠けたり余計な空白が入ったりすると検証に失敗します。メモ帳などを経由せず、正確にコピー&ペーストしてください。
なお、具体的な有効化メニューの名称やボタンの位置はサービスごとに違い、変更されることもあります。正確な操作場所は、使っているサービスの公式ドキュメントで「DKIM」を確認してください。
ステップ4。DMARCをp=noneの監視モードで登録する
最後にDMARCを登録します。DMARCは、SPFやDKIMの認証に失敗したメールを受信側にどう扱ってほしいかを伝える指示書です。いきなり強い設定にすると正規のメールまで消えてしまうので、まずは何もブロックしない監視モード(p=none)から始めます。
DNSに、ホスト名を「_dmarc」にしたTXTレコードとして次の値を登録します。
v=DMARC1; p=none; rua=mailto:dmarc@example.com
ruaのアドレスは、認証結果のレポートを受け取るための自社メールアドレスに置き換えてください。この状態でしばらく運用すると、どのメールが認証をパスして、どれが失敗しているかがレポートで見えるようになります。
問題がないことを確認できたら、p=quarantine(迷惑メールフォルダに隔離)、最終的にp=reject(拒否)へと段階的に強めます。 この段階を踏むことが、自社の正規メールを巻き込まないための一番のポイントです。
設定後は必ずテスト送信で確認する
3つを登録したら、GmailやYahoo!メールなど普段と違うアドレス宛にテストメールを送り、正しく認証されているか確認します。確認は次のチェックリストで行いましょう。
- SPF:受信したメールのヘッダーで「spf=pass」と表示されるか
- DKIM:同じく「dkim=pass」と表示されるか
- DMARC:「dmarc=pass」と表示されるか
- Fromの一致:宛先に見える差出人ドメインと、認証されたドメインが一致しているか
Gmailの場合、受信したメールの「メッセージのソースを表示」から、これらのpass表示を確認できます。 無料の診断ツールにドメイン名を入れて、SPF・DKIM・DMARCの設定状況をまとめてチェックする方法もあります。 GmailやMicrosoftが求める要件は、Googleのメール送信者のガイドライン(Gmailヘルプ)で公式に確認できます。 設定前に一度目を通しておくと、抜けが減ります。
ホームページの問い合わせフォームからのメールが届かない場合は、送信方法そのものを見直すと解決することもあります。WordPressサイトなら、WordPressでメールが届かない。WP Mail SMTPのGmail設定手順もあわせて確認してみてください。
設定するとどう変わるか。到達率と信頼性への効果

効果は到達率だけではありません。DMARCを強めに設定しておくと、第三者があなたの会社のドメインを騙って送るなりすましメールが受信側でブロックされるようになります。つまり、取引先が「あなたの会社名を装ったフィッシングメール」を受け取るリスクを下げられるのです。
これは会社の信頼を守るという意味でも大きな効果があります。AIの進化でフィッシングメールが本物と見分けづらくなっている今、ドメイン認証は「うちのメールは本物です」と証明する土台になります。
成功している企業に共通するのは、設定を一度やって終わりにせず、DMARCレポートを定期的に見て送信元の変化に気づける体制を持っていることです。新しい配信ツールを導入したときにSPFへの追記を忘れない、といった小さな運用が到達率を安定させます。
よくある失敗と回避法

送信ドメイン認証は、設定したつもりでも細かいミスで機能しないことがよくあります。現場で実際によく見かける失敗を3つ挙げ、それぞれの防ぎ方を紹介します。
失敗1。配信ツールの送信元をSPFに入れ忘れる
一番多いのがこれです。日常のメールはGoogle Workspaceで送っているのでSPFに入れたけれど、後から導入したメルマガ配信ツールや予約システムの送信元を追記し忘れる、というパターンです。
この状態だと、日常のメールは届くのに配信ツールからのメールだけが迷惑メール判定される、という分かりにくい症状になります。防ぐには、ステップ1の棚卸しでメール送信元をすべて洗い出し、新しいツールを追加するたびにSPFへの追記を運用ルールにすることです。
失敗2。SPFレコードを2つ作ってしまう
1つのドメインにSPFレコードは1つしか有効になりません。 ところが、新しいサービスを追加するときに既存のSPFに気づかず、もう1行別のSPFを作ってしまうことがあります。
こうなると両方が無効と判断され、認証そのものが働かなくなります。防ぎ方はシンプルで、追加のときは新規作成せず、必ず既存の1行にincludeを追記して統合することです。設定前に今あるTXTレコードを一覧で確認する習慣をつけましょう。
失敗3。DMARCをいきなりp=rejectにする
早く効果を出したくて、最初からp=reject(拒否)に設定してしまうケースです。SPFやDKIMの設定にまだ漏れがある状態でrejectにすると、自社の正規メールまで相手に拒否されてしまいます。
特にメール転送が絡むと、正規メールでも認証が失敗することがあるため危険です。必ずp=noneの監視モードから始め、レポートで正規メールがすべてpassしていることを確認してから、quarantine、rejectへと段階的に上げてください。 急がば回れが結果的に一番早く安全です。
現場の落とし穴。自社でやる範囲とプロに任せる範囲
ここまで手順を読んで「自分でもできそう」と感じた方も、いくつか注意しておきたい現場のリアルがあります。教科書には書かれにくい、つまずきやすい部分を正直にお伝えします。
まず、DNSの反映には時間がかかります。設定を保存してもすぐには反映されず、TTLというキャッシュの設定によっては数時間かかることもあります。 「登録したのにpassにならない」と焦って設定を何度も書き換えると、かえって混乱します。登録後は半日ほど待ってから確認するくらいの余裕を持ちましょう。
次に、DMARCレポートの読み解きは意外と難しいという点です。レポートはXML形式という機械向けの形式で届くため、そのまま開いても何が書いてあるか分かりません。専用の分析ツールを使うか、慣れた人に見てもらわないと、せっかく監視モードにしても「問題があるのか分からない」状態になりがちです。
そして、判断が分かれるのがDMARCをどこまで強めるかです。p=rejectまで上げれば守りは固くなりますが、送信元の棚卸しが不完全なまま上げると、大事な取引先へのメールが突然届かなくなる事故につながります。この「どこまで上げるか」の見極めは、自社のメール送信の全体像を正確に把握できているかにかかっています。
自社で対応しやすいのは、送信元が1〜2種類とシンプルで、DNSの管理画面に自分でログインできる場合です。逆に、複数の配信ツールや部署ごとに別々のツールを使っている、DNSを誰が管理しているか分からない、といった状況なら、無理に一人で進めず整理から手伝ってもらう方が、事故もなく結果的に早く済みます。
メールが届くかどうかは、ドメインやサーバーの管理状態とも密接に関わります。あわせてドメイン・SSL期限切れでサイト停止を防ぐ中小企業の更新管理も確認しておくと、メールとサイトの両方をまとめて守る体制が整います。
よくある質問
SPFとDKIMはどちらか片方だけでも大丈夫ですか
両方設定しておくのがおすすめです。メール転送などで片方の認証が崩れることがあるため、両方を設定しておくと、どちらかが有効な状態を保ちやすく、迷惑メール判定のリスクを下げられます。基本は3点セットで設定しましょう。
設定したのにまだ迷惑メールに入ります。なぜですか
DNSの反映待ち、配信ツールの送信元がSPFに未登録、鍵のコピー時に空白が混入、などが典型的な原因です。まずテスト送信でspf=passとdkim=passが出ているかを確認し、passしていない項目から順に見直してください。
設定にはお金がかかりますか
SPF・DKIM・DMARCの設定自体はDNSへの登録なので、追加費用なしで対応できるケースがほとんどです。ただしDMARCレポートの分析ツールや代行を使う場合は、そのサービスの料金がかかります。まずは無料の範囲で基本設定から始められます。
DNSの管理画面がどこか分かりません
ドメインを契約した会社(お名前.comやXServerなど)の管理画面にDNS設定のメニューがあります。どこで契約したか分からない場合は、ドメイン名で検索できる「Whois」情報から管理会社を確認できます。不明なときは契約書やメールの控えも手がかりになります。
会社のメールが迷惑メール判定される問題は、送信ドメイン認証を正しく設定すれば多くが解決します。まずは送信元の棚卸しとSPFの確認から始めてみてください。
ここまで読んで、送信元が多くて棚卸しが難しそう、DMARCレポートを読める人が社内にいない、と感じた方もいるはずです。そんなときは無理に一人で抱え込まず、まずは現状を整理するだけでも構いません。コレットラボのAIを活用したサイト制作・運用の伴走支援では、メール到達率の改善やドメイン周りの整理もお手伝いしています。気になった方はAI業務システム化の詳細はこちらから、お気軽にご相談ください。
30分の無料相談
現状をお聞きし、優先順位を一緒に整理します。
予約する →