BLOG ベアメールブログ
2026.04.28 (火)
転送メールでDMARCがNGになるのはなぜ? 原因とポリシー強化の手順を解説
最終更新日:2026.04.28
DMARCはなりすまし対策として有用な技術ですが、「転送メールが認証エラー(fail)になる」という課題に直面するケースは少なくありません。正規のメールであるにもかかわらず、転送されたことで認証に失敗し、不正なメールとして扱われてしまうのです。
本記事では、転送によってSPFやDKIMの認証が失敗する仕組みを整理し、なぜDMARCがNGになるのかを解説します。また、ARCなどの関連技術の概要や、転送メールの影響を踏まえてDMARCポリシーを安全に強化する実務的な手順についても紹介します。
目次
転送メールでDMARCがNGになる原因は?
まず、転送メールでDMARCがNGになる主な原因を整理します。
転送による送信元IPアドレスの変更(SPFがfailになる)
SPFは、メールを送信したサーバーのIPアドレスが、送信元ドメインで許可されているかを確認する仕組みです。メールが転送されると、受信側からは転送サーバーが送信元として見えるため、元のドメインで許可されたIPアドレスと一致しなくなります。
その結果、正規のメールであってもSPFはfailとなります。DMARCは、SPFまたはDKIMの認証結果に基づいて判定されるため、DKIMの認証結果が利用できない場合、DMARCもNGとなります。
SPFの概要については、以下の記事で詳しく解説しています。
SPFレコードとは? 書き方・設定手順・確認方法まで完全ガイド|ベアメールブログ
転送時の書き換えによるDKIM署名の破損(DKIMがfailになる)
DKIMは、メール送信時に電子署名を付与し、受信側が署名を検証することで、内容が改ざんされていないかを確認する仕組みです。
転送サーバーが単にメールを受け渡すだけであれば、DKIM署名は維持されます。しかし、転送時にメール本文やヘッダに変更が加えられると、送信時の内容を基に作成された署名と一致しなくなるため、検証に失敗します。例えば、メーリングリストを経由した際に、件名にプレフィックスが追加されたり、本文の末尾に案内文が追記されたりするケースがこれに該当します。
その結果、DKIMはfailとなり、SPFの認証結果が利用できない場合、DMARCもNGとなります。
DKIMの概要については、以下の記事で詳しく解説しています。
DKIMとは? 仕組みから導入方法までわかる入門ガイド|ベアメールブログ
転送時の署名追加によるアライメント不一致(DMARCがfailになる)
DMARCでは、SPFまたはDKIMのいずれかが認証に成功し、かつ認証に用いたドメインが、メールに表示されているヘッダFromのドメインと一致している必要があります。この確認の仕組みを「アライメント」と呼びます。
転送時に、転送サーバーが独自のDKIM署名を付与した場合、署名のドメイン(d=)がヘッダFromのドメインと一致しなくなります。
この場合、DKIMの認証自体は成功していても、アライメントを満たさないためDMARCの判定には利用されません。SPFでもアライメントを満たしていない場合、DMARCはfailとなります。
アライメントの概要については、以下の記事で詳しく解説しています。
DMARCのアライメントとは? SPF・DKIMアライメントをPassするためのポイント|ベアメールブログ
転送メールでもDMARCがNGになりにくいケース
転送メールはDMARCで認証に失敗しやすいものの、すべてがNGになるわけではありません。転送の方法や仕組みによっては、認証結果が保持されたり、受信側で正規のメールとして扱われたりすることもあります。ここでは、転送メールでもDMARCがNGになりにくい主なケースを整理します。
ARCが設定されている場合
ARC(Authenticated Received Chain)は、メールが転送される際に、転送前の認証結果(SPF・DKIM・DMARC)をヘッダに記録し、後続のサーバーに伝える仕組みです。これにより、最終的な受信サーバーは、転送の途中でSPFやDKIMが失敗していても「転送前の時点では正しく認証されていた」という情報を基に、メールの扱いを判断できます。
ただし、すべての転送サーバーや受信サーバーがARCに対応しているわけではありません。また、その評価方法も受信側の実装やポリシーに依存します。そのため、送信側でARCの効果をコントロールすることはできない点に注意が必要です。
ARCの仕組みについては、以下の記事で詳しく解説しています。
メールのARCとは? ARCの仕組み、設定が必要なケースを解説|ベアメールブログ
転送時にDKIM作成者署名が保持される場合
DKIM署名には、メール送信者のドメインで署名を付与する「作成者署名」と、メール配信サービスなど第三者のドメインで署名を付与する「第三者署名」の2種類があります。
送信時に作成者署名が付与され、転送の過程でメールの本文やヘッダが変更されずに署名がそのまま保持される場合、受信側でもその署名を正しく検証できます。この場合、DKIMアライメントもクリアします。
SPFが失敗していても、DKIMによってDMARCの要件を満たすため、転送メールであっても正常に配送される可能性があります。
DKIMの作成者署名と第三者署名について、詳しくは以下の記事で解説しています。
DKIMとは? 仕組みから導入方法までわかる入門ガイド|ベアメールブログ
転送メールを見分けてDMARCポリシーを安全に強化する手順
転送メールはDMARCで認証に失敗するケースがあるため、状況を正しく把握できていないままポリシーを強化すると、正規のメールまで届かなくなるおそれがあります。ここでは、転送メールの影響を見極めながら、DMARCポリシーを安全に強化するための手順を解説します。
DMARCポリシー強化の進め方については、以下の記事で詳しく解説しています。
DMARCポリシー設定ガイド|「none」から「reject」へ強化する理由と進め方|ベアメールブログ
1. 転送メールか不正メールかを確認する
まず、DMARCで認証に失敗しているメールを洗い出し、転送によるものなのか、それとも不正メールなのかを切り分けます。
転送メールの場合、エンベロープfromのドメインが転送サーバーのものに書き換わっている可能性があります。一方、なりすましなどの不正メールでも、エンベロープfromが見慣れないドメインになることがあるため、これだけで判断することはできません。
そのため、送信元IPアドレスやドメインの情報をあわせて確認することが重要です。例えば、海外の不審なIPアドレスから送信されている場合や、ブラックリストに登録されている場合は、不正メールの可能性があるため注意が必要です。
2. 転送による認証失敗への対応を行う
次に、転送による認証失敗への対策を行います。転送メールの認証失敗を完全になくすことは難しいものの、発生をある程度抑えることは可能です。
具体的には、送信時に自社ドメインのDKIM作成者署名が付与されるように設定します。複数のメール配信サービスやシステムを併用している場合は、経路によって署名が付与されていないケースがないかを確認しましょう。なお、送信環境によってはDKIM作成者署名の付与に制約があるケースもあります。
作成者署名が付与されていると、メールが転送されてもDKIMアライメントを満たしやすくなります。ただし、転送の過程でヘッダや本文が変更された場合は、署名の検証に失敗するため、DKIM認証がfailとなる点に注意が必要です。
3. DMARCポリシーを段階的に引き上げる
正規メールの認証失敗を解消し、転送による影響も把握できたら、DMARCポリシーを「none」から「quarantine」「reject」へと段階的に引き上げます。ただし、転送メールが存在する環境では、ポリシー強化により意図しない影響が出る可能性があります。社内外の関係者に対して、メールが届かなくなる可能性があることを事前に周知し、影響を確認しながら進めることが重要です。
安全にポリシーを強化するために、以下の点に注意しましょう。
- pct(パーセンテージ)タグだけで判断しない
pctタグを用いることでポリシーの適用割合を制御できますが、割合を絞っていても、その中に重要な業務メールが含まれていれば、ビジネスへの影響は避けられません。割合だけでなく、どの送信元・用途のメールが認証に失敗しているのかを把握したうえで判断する必要があります。 - 認証失敗の許容範囲をあらかじめ定義する
転送メールの性質上、すべてのメールで認証を成功させることは困難です。どれくらいの割合まで許容するのかを事前に決めておくことで、ポリシー引き上げの判断基準を明確にできます。 - 把握していない配信経路がないか確認する
特に大規模な組織では、情シス部門が把握していないSaaSや部門独自の配信経路が存在することがあります。これらに対応できていないままポリシーを強化すると、正規メールが突然届かなくなるといったトラブルにつながります。
転送メールの切り分けとDMARCポリシー強化には「迷惑メールスコアリング」がおすすめ
DMARCレポートは、各メールサービスから個別にXML形式で送られてくるため、そのままでは内容を把握しづらく、手作業で集計するのは現実的ではありません。特に、転送メールと不正メールの切り分けを行う場合、送信元IPアドレスや認証結果を基にレコード単位で確認する必要があり、運用負荷が大きくなりがちです。
ベアメールの「迷惑メールスコアリング」では、複雑なDMARCレポートを自動で集計し、グラフや表で分かりやすく可視化する「DMARC分析機能」を提供しています。SPF・DKIM・アライメントの認証状況を簡単に把握できるほか、送信元IPアドレスや認証結果などの条件でフィルタリングすることも可能です。これにより、転送による認証失敗と不正メールの切り分けや、対処が必要なメールの特定を行いやすくなります。
DMARCポリシーを効率的に強化し、安定したメール配信環境を整備したい方におすすめです。詳細については、以下の資料をご確認ください。
まとめ
本記事では、転送メールでDMARCがNGになる原因について解説しました。転送によってSPFやDKIMの認証が崩れることで、正規のメールでもDMARCに失敗するケースがあります。安定したメール配信環境を維持するためには、認証失敗の原因を切り分けたうえで、適切な対策を行い、DMARCポリシーを段階的に強化することが重要です。
