エックスサーバーでSPF/DKIM/DMARCを設定する方法

エックスサーバーはSPF・DKIM・DMARCの設定をサーバーパネルから一元管理できる国内レンタルサーバーです。メール認証の3要素には次の役割があります。

• SPF: 送信を許可するIPアドレスをDNSで宣言する。なりすましメールのIP不一致を検出する。
• DKIM: メールに電子署名を付け、送信元ドメインの正当性と改ざんがないことを証明する。
• DMARC: SPF/DKIMが失敗したときに受信側が取るべきアクション（何もしない・隔離・拒否）を宣言する。レポートを受け取ることもできる。

Googleは2024年2月より、1日5,000通以上の送信者にSPF・DKIM・DMARCの設定を義務付けています。送信量が少なくても設定しておくことで、スパムフォルダへの振り分けリスクを下げられます。

参考: Google Email sender guidelines

サーバーパネルにログインし、「メール」カテゴリから「SPF設定」を開きます。

サーバーパネルのメニュー例（実際の画面は時期によって異なる場合があります）

対象ドメインを選択すると、SPF設定の一覧が表示されます。独自ドメイン追加時にエックスサーバーのSPFレコードが自動設定されている場合があります。まず現在の設定を確認してください。

SPF設定一覧画面の例

SPF詳細設定画面の例

エックスサーバーのサーバーのみから送信する場合、標準的なSPFレコードは以下のようになります。

v=spf1 +a:ドメイン名 +mx ~all

Gmail許可（Google Workspace等を経由して送信する場合）

GmailやGoogle WorkspaceのSMTP経由で送信する場合は、include:_spf.google.com を追加します。

v=spf1 +a:ドメイン名 +mx include:_spf.google.com ~all

サーバーパネルにGmailを許可するチェックボックスがある場合は、チェックを入れるだけで自動的にincludeが追加されます。

参考: エックスサーバー FAQ Gmail送信設定

SPF設定の注意点

• SPFには DNSルックアップ10回 の上限があります。includeを多く追加するとpermerrorになる場合があります。
• ~all（ソフトフェイル）から始め、運用が安定したら -all（ハードフェイル）への変更を検討してください。
• DNSをエックスサーバー以外（Cloudflare等）で管理している場合は、そちらのDNSに直接TXTレコードを追加する必要があります。

サーバーパネルの「メール」カテゴリから「DKIM設定」を開きます。対象ドメインを選択し、DKIMを有効化してください。

DKIM設定画面の例

エックスサーバーの場合、DKIMを有効化するとサーバー側で鍵ペアが生成され、エックスサーバーのDNSに必要なTXTレコードが自動追加されます。

DKIMが正しく設定されているかは、テストメールのヘッダーで DKIM=pass となっていることを確認するか、DNSJPのDKIMチェックツールで検証できます。

参考: エックスサーバー公式 DKIM設定マニュアル

サーバーパネルの「メール」カテゴリから「DMARC設定」を開きます。

DMARC設定メニューの例

対象ドメインを選択するとDMARC設定画面が表示されます。

DMARC設定一覧画面の例

DMARC編集画面の例

DMARCポリシー（p=）には以下の3つのオプションがあります。

• none（何もしない）: 認証に失敗しても配信は通常どおり行われる。まず状況を把握したい場合の出発点。RUAレポートアドレスを設定してレポートを受け取ることを推奨。
• quarantine（隔離）: 認証失敗メールを迷惑メールフォルダに振り分ける。SPF・DKIMが安定して通っていることを確認してから移行する。
• reject（拒否）: 認証失敗メールを受信側が拒否する。最も強固な設定。quarantineで運用しながら誤検知がなければ移行を検討する。

参考: エックスサーバー公式 DMARC設定マニュアル

設定を安全に進めるための推奨ステップを示します。

1. サーバーパネルのSPF設定でエックスサーバーのSPFが設定されているか確認する。未設定なら追加する。
2. Google WorkspaceやGmailのSMTP経由で送信する場合は、include:_spf.google.com が含まれているか確認する。
3. DKIM設定を有効化する。DNSが他社管理の場合は表示される公開鍵TXTレコードを手動で追加する。
4. テストメールをGmailに送り、メールヘッダーでSPF=pass、DKIM=passを確認する。
5. DMARC設定を p=none で有効化し、RUAアドレス（レポート受け取り先メール）を設定する。
6. 1〜2週間RUAレポートを確認し、想定外の送信元がないことを確認する。
7. 問題がなければ p=quarantine → p=reject の順にポリシーを強化する。

エックスサーバーでサーバーを利用していても、DNSをCloudflare・お名前.com・他のサービスで管理している場合、サーバーパネルでの設定変更はDNSに自動反映されません。

具体的には以下のレコードをDNS管理会社側で追加します。

• SPF: TXTレコード（ホスト名: @またはドメイン名）
• DKIM: TXTレコード（ホスト名: default._domainkey.ドメイン名 など、サーバーパネルに表示される値）
• DMARC: TXTレコード（ホスト名: _dmarc.ドメイン名）

参考: エックスサーバー公式 SPF設定マニュアル

設定後の動作確認として、Gmailにテストメールを送信してヘッダーを確認する方法が簡単です。

1. エックスサーバー上のドメインのメールアドレスからGmailにメールを送信する。
2. 受信したGmailを開き、右上の「…」メニューから「メッセージのソースを表示」を選択する。
3. Authentication-Results: の行を確認し、spf=pass・dkim=pass・dmarc=pass となっていれば正常です。

ツールを使って確認する場合は、以下のDNSJP診断ツールが便利です。

• DNSの管理場所を確認していない: ネームサーバーがエックスサーバー以外に設定されている場合、サーバーパネルでの操作だけではDNSに反映されません。まずWHOISやエックスサーバーパネルでネームサーバーの向き先を確認してください。
• SPFが二重に設定されてしまう: TXTレコードに複数のSPFレコードが存在すると permerror になります。SPFレコード（v=spf1 で始まる）は必ず1つだけにしてください。
• DMARCを急に reject にしてしまう: none → quarantine → reject の順に段階を踏まず一気に reject にすると、自社メールが届かなくなるリスクがあります。各ステップでRUAレポートを確認してから移行してください。
• DKIMの反映に時間がかかる: DNSのTTL設定によっては、DKIMのレコードが世界中のDNSサーバーに反映されるまで数時間〜24時間かかることがあります。設定後すぐに確認できなくても、しばらく待ってから再確認してください。

エックスサーバーでのSPF/DKIM/DMARC設定は、サーバーパネルから比較的簡単に行えます。設定の流れをまとめます。

1. SPF設定: サーバーパネルの「メール > SPF設定」からエックスサーバーのSPFを有効化。Gmail経由送信があれば include:_spf.google.com も追加。
2. DKIM設定: サーバーパネルの「メール > DKIM設定」からDKIMを有効化。DNS他社管理の場合は表示された公開鍵TXTレコードを手動追加。
3. DMARC設定: サーバーパネルの「メール > DMARC設定」から p=none で開始し、RUAアドレスを設定。
4. 動作確認: Gmailへのテストメール送信とヘッダー確認で spf=pass・dkim=pass・dmarc=pass を確認。
5. 段階的強化: RUAレポートを見ながら quarantine → reject へポリシーを移行。

• エックスサーバー公式 SPF設定マニュアル
• エックスサーバー公式 DKIM設定マニュアル
• エックスサーバー公式 DMARC設定マニュアル
• エックスサーバー FAQ Gmail送信設定
• Google Email sender guidelines