会社でGmailを利用していると、取引先から送ったメールが相手に届かない、または迷惑メールフォルダに振り分けられることがあります。その原因として多いのが、送信ドメインのSPF・DKIM・DMARCの設定不備です。これらの認証結果は、受信したGmailのメールヘッダーを確認すればすぐに分かります。本記事では、Gmail上で実際にSPF・DKIM・DMARCの結果を確認する手順と、結果の読み解き方、よくある失敗パターンを解説します。これを読めば、問題の切り分けがスムーズになり、IT管理者への報告も的確に行えるようになります。
【要点】この記事で確認すること
- 最初に見る場所: Gmailで受信したメールの「メッセージのソース」または「ヘッダーを表示」。
- 切り分けの軸: 受信側(Gmail)で見える認証結果は送信ドメインの設定状態を示す。正常な場合は一律「pass」、異常時は「softfail」「fail」「neutral」「none」など。
- 注意点: DNSの設定変更は管理者しかできない。自分で変更せず、結果をスクリーンショットで保存して管理者に伝えること。
ADVERTISEMENT
目次
SPF・DKIM・DMARCの基本と役割
まず、SPF(Sender Policy Framework)は、送信元ドメインのDNSに「このIPアドレスからの送信を許可する」というレコードを設定することで、なりすましを防ぐ仕組みです。DKIM(DomainKeys Identified Mail)は、送信メールに電子署名を付与し、受信側でその署名を検証することで改ざんの有無を確認します。DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPFとDKIMの認証が失敗した場合のポリシー(破棄・隔離・なし)を指定し、レポートを送ることもできます。これらの設定が正しく行われていないと、Gmailは送信メールを信頼せず、迷惑メール扱いしたり拒否したりします。
Gmailでヘッダーを表示して認証結果を確認する手順
Gmailのブラウザ版を例に、メールヘッダーを開く手順を説明します。スマートフォンアプリでも同様の操作が可能ですが、ヘッダー情報の見やすさではブラウザ版がおすすめです。
- Gmail(ブラウザ版)を開き、確認したいメールを開きます。
- メール上部の三点リーダー(その他)をクリックし、「メッセージのソースを表示」を選択します。
- 新しいタブに生のメールヘッダーと本文が表示されます。上部の「Authentication-Results」という行を探します。
- Authentication-Results行には、SPF、DKIM、DMARCの各結果が「spf=pass」「dkim=pass」「dmarc=pass」のように書かれています。実際の値は「pass」「fail」「softfail」「neutral」「none」「temperror」「permerror」などです。
- それぞれの値と、その後に続く「smtp.mailfrom=」「header.d=」「header.from=」などの詳細情報も確認します。たとえば「spf=pass (google.com: domain of example.com designates 192.0.2.1 as permitted sender)」という表記です。
- 必要に応じて、Authentication-Results全体をコピーし、テキストエディタに貼り付けて保存します。管理者に見せる場合はスクリーンショットも有効です。
なお、オンラインツールを使えば、メールヘッダーを貼り付けるだけで視覚的に判定してくれるものもあります。ただし、機密情報を含むメールはツールに貼り付けないように注意してください。
認証結果の読み解き方と正常・異常の見分け方
Authentication-Results行に表示される値は、以下のように判断します。
SPFの結果
「pass」は送信元IPがSPFレコードで許可されている状態です。「softfail」は許可されていないが、ポリシーが「~all」の場合に使われ、Gmailでは通常迷惑メールになります。「fail」は「-all」設定でSPFに違反しているため、多くの場合拒否されます。「neutral」はドメインがSPFレコードを持たない、または「?all」の場合に表示されます。「none」はSPFレコード自体が存在しない状態です。「temperror」はDNS一時エラー、「permerror」はレコードの構文エラーを示します。
DKIMの結果
「pass」は電子署名が正しく検証された状態です。「fail」は署名と本文の不一致(改ざんの可能性)または公開鍵の不一致。「neutral」は署名が存在しない、もしくは検証できない場合。「none」はDKIM署名自体がない場合です。まれに「temperror」や「permerror」も発生します。
DMARCの結果
「pass」はSPFとDKIMの両方またはどちらかが整合し、アライメント(ドメイン一致)も取れている状態です。「fail」はSPFまたはDKIMの認証が通らず、アライメントも取れない場合に表示されます。DMARCレコードが存在しない場合は「none」と表示されますが、Gmailは判断を保留します。「temperror」と「permerror」も存在します。
状況別比較表
| 認証 | 正常な値 | 異常な値の例 | 典型的な原因 |
|---|---|---|---|
| SPF | pass | softfail, fail, neutral, none | 送信元IPが許可リストにない、使用中のメールサーバーがSPFレコードに含まれていない |
| DKIM | pass | fail, neutral, none | DKIM署名の秘密鍵と公開鍵の不一致、セレクタの誤り、署名対象ヘッダーの改ざん |
| DMARC | pass | fail, none | SPFまたはDKIMの認証失敗、アライメント不一致、DMARCレコード未設定 |
よくある失敗パターンと対処法
ここでは、実際に現場でよく見られるパターンを三つ挙げます。
パターン1:SPFがsoftfailになる
自社のドメインでSPFレコードを設定しているが、送信に使っているメールサーバーのIPがレコードに含まれていない場合です。特にOffice 365やGoogle Workspaceなど複数のサービスを使っているときに起こります。対処方法は、DNS管理画面でSPFレコードに正しいIPまたはinclude:行を追加します。ただし、SPFレコードは10回のDNSルックアップ制限があるため、includeの数が多すぎるとレコードが無効になることもあります。
パターン2:DKIMがneutralになる
DKIM署名がメールに含まれていない場合、またはDNSに公開鍵が存在しない場合にneutralになります。多くのメール配信サービスでは自動的に署名を付与しますが、自前のメールサーバーの場合は設定が漏れていることがあります。公開鍵のTXTレコードには、セレクタ名やアルゴリズムの指定が必要です。管理者は、DKIMレコードのセレクタが正しく、鍵ペアが一致しているかを確認してください。
パターン3:DMARCがfailになる
SPFまたはDKIMの認証が失敗しているか、アライメント(SPFの場合はFromドメインとMail Fromドメインの一致、DKIMの場合は署名ドメインとFromドメインの一致)が取れていない場合です。たとえば、Fromアドレスがexample.comでも、Mail Fromがthirdparty.comだとSPFアライメントが崩れます。この場合、DMARCポリシーがquarantineやrejectだと受信拒否されます。対処法は、送信元を統一するか、DKIMの署名ドメインをFromドメインと一致させることです。
管理者に伝えるべき情報
認証結果を確認したら、以下の情報を整理して管理者に伝えると、問題解決が早まります。
- 問題のメールの日時、送信元、送信先。
- Authentication-Results行の全文(スクリーンショットまたはテキストコピー)。
- FromアドレスとMail Fromアドレスが異なる場合、その差異。
- 使用しているメール送信サービス(Gmail、Outlook、自社サーバーなど)。
- Gmailでの振る舞い(迷惑メールに入った、エラーメールが返ってきた、何も届かないなど)。
管理者はこれらの情報をもとにDNSレコードの修正やメール設定の見直しを行います。自分でDNSを変更する必要はなく、変更には権限が必要なため、必ず管理者に依頼してください。
よくある質問
Q1. Gmailで確認できるのは受信側の情報だけですか?
はい。送信側のDNS設定は直接確認できません。Gmailに表示されるのは受信側が検証した結果です。設定状況を確認するには、nslookupやdigコマンド、オンラインのDNSチェッカーを使ってください。
Q2. 自分でDMARCレコードを追加してもいいですか?
会社のドメインDNSは管理者が管理していることが一般的です。誤った設定をすると全社のメールが影響を受けるため、自分で変更せずに管理者に依頼しましょう。
Q3. Authentication-Resultsが表示されないメールがあります。
Gmail以外からのメールや、古いメールでは認証結果が付与されていない場合があります。また、迷惑メールフォルダにあるメールでもヘッダーは確認できます。
Q4. SPFとDKIMはpassなのにDMARCがfailになる理由は?
アライメントが取れていない可能性があります。SPFの場合はMail FromとFromドメイン、DKIMの場合は署名ドメインとFromドメインが一致しているか確認してください。
まとめ
Gmailでメール認証の結果を確認するには、メールヘッダーの「Authentication-Results」行を見るだけです。SPF、DKIM、DMARCの各項目が「pass」であれば問題はありません。異常時は、結果の値から具体的な原因を推測し、管理者に正確な情報を伝えることで迅速な対応が期待できます。DNS設定の変更は必ず管理者に依頼し、自分では行わないように注意してください。この記事の手順を活用して、メール到達性のトラブルシューティングに役立ててください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Gmail・Googleアカウントの人気記事ランキング
- 【Gmail】Googleからの本物のセキュリティ通知か見分ける方法
- 【Googleアカウント】本人確認が必要ですと出る時の端末と場所の確認
- 【Googleアカウント】Google Playだけログインできない時のアカウント確認
- 【Gmail】Gmailのカテゴリタブとラベルを使い分ける整理術
- 【Googleアカウント】パスキーでログインできない時の代替ログイン手順
- 【Googleアカウント】パスワードを忘れた時の再設定と注意点
- 【Googleアカウント】会社アカウントと個人アカウントを分けたい時の運用方法
- 【Googleアカウント】確認コードが届かない時の電話番号とメール確認
- 【Googleアカウント】共有PCにログイン情報を残した時の削除手順
- 【Googleアカウント】古い端末に残ったGoogleアカウントを安全に削除する方法