Outlook.com のメール認証義務化：2025年5月、あなたのメールの不達を防ぐために

Microsoft は、Outlook.com などのメールサービスに向けて、SPF・DKIM・DMARCの設定を義務付ける新たなルールを発表しました。これは大量にメールを送信する送信者側に対して、これらのメール認証技術の設定を義務化するという内容です。設定が不十分な場合 Outlook 側でメールが受信拒否されたり、迷惑メールとして処理される可能性があります。このルールは、2025年5月より施行される予定です。

送信元ドメインには、SPF（Sender Policy Framework）・DKIM（DomainKeys Identified Mail）・DMARC（Domain-based Message Authentication, Reporting & Conformance）の3つのメール認証設定を行う必要があります。これらの設定に対応していないメールは、迷惑メールフォルダへの振り分けや、将来的には完全な受信拒否の可能性があります。

送信元のIPアドレスがそのドメインからの送信を許可されているかどうかを検証する仕組みです。ドメインのDNSにSPFレコードを正しく設定し、使用しているメールサーバーのIPアドレスを明示する必要があります。

送信元ドメインで生成した電子署名をメールに付与し、受信側で検証することでメールの改ざんやなりすましを防止します。送信されるメールはDKIM署名を持ち、受信側で認証（DKIM＝pass）される必要があります。

SPFまたはDKIM（理想としては両方）の認証結果に基づき、受信したメールをどのように処理するか、というポリシーを定義する仕組みです。

また Microsoft は、送信者の「品質と信頼」の維持する目的で、以下の4つの項目への準拠も求めています。

EasyDMARCというサイトの中で、組織のドメインに対しての簡易IPアドレスチェックが可能です。EasyDMARCのSPFチェックは、組織のドメインに設定されているSPFレコードをDNSから取得して、その内容を診断します。

SPFレコードの有効性（Valid/Invalid）やDNSルックアップ数（9/10 ^※1）、許可された送信元（IP/サービス）数、そしてその他検出された潜在的な問題などが確認できます。

^{※1 SPFのルックアップが無制限に行われると、DNSに対する過剰なアクセスが発生し、DoSやDDoSなどの攻撃に近い状態を招く可能性があります。また、メール配送の遅延や、メールサーバーのパフォーマンス低下といった影響も懸念されるため、RFCでは「SPFのDNSルックアップ回数は最大10回まで」と明確に定められています。}

特に、include を用いて他ドメインのSPFレコードを参照しているケースでは、不要な記述がないかを見直し、SPFレコードの構成を効率化することが重要です。

最後に、2025年5月に施行される Outlook.com のメールサービスにおける認証強化に対するあなたの企業の対応状況を確認しましょう。

☐自社ドメインにSPFが設定されているか確認
☐自社ドメインにDKIMが設定されているか確認
☐自社ドメインにDMARCが設定されているか確認

^{※未設定または形式が古い場合は、メールサーバー管理者やベンダーに相談してください。}

☐配信停止リンクが付いてるか確認（特にメルマガを送っている場合は要チェック）
☐なりすましっぽい「差出人名」になっていないか確認
☐開封されていないアドレス宛てに何カ月も送り続けていないかチェック
☐新規リストはオプトイン（同意取得）済みかチェック