エックスサーバーでDKIM・SPF・DMARCを設定する方法

準備：手順に入る前のチェック

この章では「いきなりスイッチをONにしたのに直らない」を防ぐために、設定前に最低限確認しておきたいポイントを整理します。送信ドメイン認証は、“どのドメインから送っているか”と、“DNSを誰が管理しているか”で手順が変わります。ここを押さえておくだけで、設定のやり直しや事故（正規メールが届かなくなる等）をかなり減らせます。

前提チェック（重要）

次の条件に当てはまるほど、この記事の手順どおりに進めればOKです。

• エックスサーバーで独自ドメインを使っている（ドメイン設定済み）
• DNS（ネームサーバー）もエックスサーバー側で管理している

※もしネームサーバーが ns1.xserver.jp 〜 ns5.xserver.jp になっていれば、基本的にエックスサーバー側でDNSをコントロールできる状態です。

※他社DNSを使っている場合は、DMARCなどのDNSレコード追加を「DNSを管理している側」で実施する必要があります（エックスサーバーの画面でONにしても、実際のDNSに反映されないため）。

加えて、ここも確認しておくとスムーズです。

「どこから送信しているか」

• エックスサーバーのメールサーバー（WEBメール／メールソフト）から送っている
• それとも、Gmail（Google WorkspaceやGmailのSMTP）経由で「自分の独自ドメインっぽく」送っている

※Gmail経由で送る場合、SPFに「Gmail許可（include:_spf.google.com）」を追加する設計が用意されています。

「送信に使うFromアドレスのドメイン」

DMARCは、SPF/DKIMで認証されたドメインが、メールのFromヘッダのドメインと整合（アライメント）している必要があります。

例：info@example.comで送るなら、example.com側でSPF/DKIM/DMARCを整えるイメージです。

サーバーパネルにログインする

1. エックスサーバーの「サーバーパネル」にログインします
2. ログイン後、画面上部に「新デザインに切り替え」などが表示される場合は、新デザイン側に切り替えてください

※本記事は「新サーバーパネル」基準で説明します（公式マニュアルも新旧で分かれています）。

注意：エックスサーバーは「設定しやすい」だけで、「自動で安全になる」わけではありません。

エックスサーバーでは、SPFやDKIMが自動設定されるケースが多く、管理画面からON/OFFできる点は大きなメリットです。
ただし、これはあくまで「エックスサーバーのメールサーバーから送信する場合」を前提とした設計です。

GmailのSMTPを使って送信している場合や、問い合わせフォーム・外部配信サービスを併用している場合は、SPFやDKIM、DMARCの整合（アライメント）が崩れ、正規メールでも迷惑メール扱いされることがあります。

そのため本記事では、「スイッチをONにする」だけでなく、実際にどこから送信されているかを確認し、設定後に必ず動作確認するところまでを前提として解説しています。

エックスサーバーのSPF設定方法（設定手順）

この章では「エックスサーバー SPF 設定方法 / 設定手順」で検索してきた人が最短で迷わないように、標準設定の確認→必要ならGmail許可→必要ならカスタム設定という順番で整理します。

SPFは「このドメインからメールを送ってよい送信元（サーバー）をDNSで宣言する仕組み」です。エックスサーバーでは、通常はドメイン設定時にSPFレコードが自動追加されるため、基本は“確認”で済むことが多いです。

SPF設定を確認・ONにする手順

新サーバーパネルの場合、公式手順は次の流れです。

1. 左メニュー（またはカテゴリ）で「メール」を開く
2. 「SPF設定」をクリック
3. 対象ドメイン（またはサブドメイン）の行を探す
4. SPF設定が「OFF」になっていれば、表示の「OFF」をクリックして有効化する（ONにする）
5. 一覧に「標準設定」などが表示されれば完了

左メニューのSPF設定をクリックします。

SPF設定がONになっていることを確認します。

SPFレコードは具体的に何が入る？

エックスサーバーのSPF設定をONにすると、DNSにTXTレコードが追加されます。公式マニュアルでは、次のような形式が例示されています（sv*** 等は利用環境により異なります）。

v=spf1 ... include:spf.sender.xserver.jp ~all

この「include:spf.sender.xserver.jp」は、エックスサーバーのメール送信に関するSPF設定を参照する意図を示します。

Gmail経由で送るなら「Gmail許可」も確認する

「独自ドメインのメールをGmailのSMTP（Google Workspace等）から送る」運用の場合、SPF側でGmailを許可しておくと整合が取りやすくなります。エックスサーバーではSPF設定画面に「Gmail許可」スイッチが用意されており、有効化するとSPFに include:_spf.google.com が追記されます。

ただし、外部サービスの include を増やしすぎると「10回制限」に引っかかることがあるため、他にも外部送信がある場合は特に注意してください。

手順（新サーバーパネル）は次のとおりです。

1. 「SPF設定」を開く
2. 設定内容が「標準設定」のドメインを選ぶ
3. 「Gmail許可」の「OFF」をクリックしてONにする
4. 一覧に「標準設定+Gmail許可」などが表示されれば完了

外部サービスを使うなら「カスタム設定」も選択肢

問い合わせフォームの通知を外部SMTPで送る、メルマガ配信サービスやCRMから送るなど、第三者サービスを追加する場合は、SPFを「カスタム設定」で編集する場面が出てきます。

ただし追記すれば終わりではなく、SPFは「1ドメイン1本」かつ「DNS参照は最大10回」など制約があるため、追加のしかた次第で permerror になり、逆に「届かない」原因になります。必ずテスト送信で検証してください。

エックスサーバーはカスタム編集機能を提供していますが、カスタム設定で入力したSPFの挙動はサポート対象外という注意書きがあります（＝編集は自己責任なので、必ずテスト送信で検証が必要）。

SPFの注意点（よくあるミス）

SPFで事故りやすいポイントはここです。ここを記事内で丁寧に書いておくと、FAQへの流入にも強くなります。

SPF（v=spf1）は同一ドメインに複数置けません

SPFレコードは「単一のTXTレコード文字列」として表現され、同じオーナー名に複数のSPFレコードは許可されません。

→ もし2つ以上入っているなら、1つに統合する必要があります。

DNSルックアップ回数の上限（10回）に注意

SPF評価では、include / a / mx / ptr / exists / redirect などDNS問い合わせを発生させる要素の総数を10回に制限する必要があり、超えると permerror になります。

→ 外部サービスを増やしすぎると、SPFが壊れて「届かない」原因になります。

反映に時間がかかることがある

エックスサーバー公式マニュアルでも、SPF設定がサーバーに反映されるまで「数分〜数時間」かかる場合があると案内されています。

エックスサーバーのDKIM設定方法（設定手順）

この章では「エックスサーバー DKIM 設定方法 / 設定手順」を狙って、操作手順と、つまずきポイント（他社ネームサーバー時）をセットでまとめます。

DKIMはメールに電子署名を付与して、受信側が「改ざんされていない」「ドメインが偽装されていない」ことを検証する仕組みです。Gmail宛てに送る場合も、SPFまたはDKIMの設定が最低要件になっているため、未設定なら早めに有効化しておくのが安全です。

DKIM設定を確認・ONにする手順

新サーバーパネルの公式手順はシンプルです。

1. 「メール」カテゴリから「DKIM設定」を開く
2. DKIM設定を追加するドメインの「設定状況」が「OFF」なら、そこをクリックしてONにする
3. 「ON」になったら完了

左メニューの「DKIM設定」をクリックします。

DKIM設定がONになっていることを確認します。

他社ネームサーバーを利用している場合の注意点

ネームサーバー（DNS）が他社側にある場合、サーバーパネルでONにしただけでは、他社DNSにDKIMレコードが追加されません。このケースでは、エックスサーバーのDKIM設定画面でONにしたあと、他社DNS側にDKIMレコードを追加する必要があります。

エックスサーバー公式マニュアルでは、DKIM設定一覧の「表示」ボタンから、追加に必要なDKIMレコード情報を確認することができます。。

エックスサーバーのDMARC設定方法（設定手順）

この章は「エックスサーバー DMARC 設定方法 / 設定手順」流入のメインになります。DMARCは“最後の仕上げ”で、受信側に「SPF/DKIMで認証できなかったメールをどう扱うか（何もしない／迷惑メール／拒否）」を指示し、レポートも受け取れる仕組みです。

Gmailの送信者ガイドラインでは、すべての送信者にSPFまたはDKIMを求め、さらに1日5,000件以上送る送信者にはDMARCも求めています（DMARCの最小ポリシーは p=none でも可、と明記されています）。

そして重要なのが、DMARCは「SPFまたはDKIMがpassしているだけ」ではなく、Fromヘッダのドメインとの整合（アライメント）が関係する点です。

DMARC設定の手順（初心者向けのおすすめ設定）

エックスサーバー公式マニュアルに沿った、初心者向けの安全な導入手順は次のとおりです。

1. 「メール」カテゴリから「DMARC設定」を開く
2. 設定したいドメインの右端にある「編集」をクリック
3. DMARCポリシーは、まず「何もしない」を選択
4. レポート設定をONにして、通知先メールアドレスを指定する
5. 「設定する」をクリックして完了

左メニューのDMARC設定をクリックします。

「編集」をクリックします。

レポート設定をONにして、通知先メールアドレスを指定します。

ポイントは、いきなり強いポリシー（拒否など）にしないことです。エックスサーバー公式マニュアルでも、導入開始時は「何もしない」＋レポートONで状況を確認し、段階的に強めることが推奨されています。

レポート通知先メールアドレスの注意点

DMARCのレポート通知先はDNSレコードに記載されるため、外部から参照可能になります。そのため、通知先は外部に見えても問題ないメールアドレスにするよう、エックスサーバー公式マニュアルでも注意喚起されています。

おすすめは、次のような「レポート専用アドレス」を作る運用です。

• dmarc-report@あなたのドメイン（受信専用でOK）
• 受信したレポートは普段見ないなら、別アドレスへ転送してもOK（まずは届くことが大事）

DMARCを強めるのはいつ？

DMARCのポリシー（p）には none / quarantine / reject があり、仕様上は reject はSMTPトランザクション中に拒否するのが望ましいとされています。

ただし最初から強くしすぎると、設定ミスや想定外の送信経路（外部サービス等）で「正規メールまで弾く」事故になります。だからこそ、エックスサーバー公式も「何もしない」から段階導入を推奨しています。

実務的にはこの順が安全です。

1. 何もしない（まず現状把握）
2. 迷惑メールとして配送する（怪しいものは隔離）
3. メールを配送しない（なりすましを強く止める）

設定できたか確認する方法

この章は「設定したつもりなのに直らない」を潰すために厚めに書く価値があります。Google側も、DMARC等のトラブルシューティングで「メッセージヘッダーの確認」を推奨しています。

また、Postmaster Toolsを使うと、SPF/DKIM/DMARCのパス率（Authentication dashboard）を集計で追えます。大量送信をしている／今後増える見込みがあるなら、この導線も記事内に入れておくと親切です。

まずは動作確認（おすすめ）

1. 自分の独自ドメインメールから、Gmail宛にテスト送信する（件名に「認証テスト」など分かる文言を入れる）
2. Gmail側で該当メールを開き、「メッセージのソース」を表示する
3. ヘッダー内のAuthentication-Resultsを探し、spf=pass / dkim=pass / dmarc=pass のようになっているか確認

DMARCは「SPFまたはDKIMがpassしている」だけではなく、Fromドメインとの整合（アライメント）が重要です。よくあるのが、外部サービスから送っていて「SPFはpassでもFromが合っておらずDMARCがfail」になるケースです。

注意：spf=pass や dkim=pass が表示されていても、「問題なし」とは限りません。

DMARCは、SPFやDKIMが pass しているかどうかだけでなく、それらで認証されたドメインが、メールの From ヘッダのドメインと一致しているか（アライメント）を評価します。

そのため、「SPFは pass している」「DKIMも pass している」にもかかわらず、Fromドメインと整合していない場合は、dmarc=fail になります。

特に、外部サービスやGmailのSMTP経由で送信している場合、「pass が出ているのに迷惑メールに入る」原因の多くは、このアライメント不一致です。

必ず dmarc=pass になっているか、または DMARCポリシーを p=none にしてレポートで挙動を確認してください。

外部ツールでの確認（任意）

「DNSにちゃんと入っているか」を外部から確認したい場合は、以下のようなチェックツールが便利です。

• SPF：SPF Record Check（例：MXToolbox）
• DMARC：DMARC Record Checker（例：dmarcian）

DNS反映にはタイムラグがあるので、設定直後に見えなくても焦らず少し待って再チェックします（SPFは数分〜数時間かかることがある旨が公式に記載されています）。

よくある質問

DKIM・SPF・DMARCの設定に関しては、「これで本当に大丈夫？」「何か注意点はある？」といった不安を感じる方も多いと思います。ここでは、実際によく聞かれる疑問を中心にまとめました。

SPF/DKIMが最初からONでした。何もしなくていい？

基本はOKです。エックスサーバーでは、ドメイン追加時にSPFレコードを自動で追加するため、SPFは「自分で追加しないでよい」と公式マニュアルでも明記されています。

ただし、外部のメール配信サービスや別のSMTPを併用している場合は、SPFに追記が必要になることがあります（次の質問も参照）。

Gmail（Google Workspace等）をSMTPとして使って送信しています。SPFはどうすればいい？

エックスサーバーのSPF設定には「Gmail許可」機能があり、有効化すると include:_spf.google.com が追記されます。Gmail経由で「自ドメインっぽく」送る運用なら、ここを確認するのが早いです。

外部のメルマガ配信・フォーム送信サービスを使っています。SPFは上書きしていい？

上書きではなく、1つのSPFに統合が原則です。SPFレコードは複数置けません。エックスサーバー側で「カスタム設定」により編集できますが、カスタム設定で入力した内容の挙動はサポート対象外、と明記されています。必ずテスト送信で検証してください。

SPFを編集したら「permerror」っぽい挙動になりました。原因は？

典型原因は次の2つです。

• v=spf1 が複数ある（SPFが2本立っている）
• DNSルックアップ上限（10回）を超えている（SPF評価ではDNS問い合わせを発生させる要素の総数を10回に制限し、超えると permerror になります。）

DKIMをONにしたのに、Gmailで dkim=fail になります

まずは「本当にDKIMが署名されている送信経路か」を確認します。DKIMは“送信時に署名される”ため、外部サービスから送っている場合、そのサービス側のDKIM設定が別途必要なことがあります。

また、DNSが他社側にある場合、エックスサーバーのDKIMをONにしたあと他社DNSへDKIMレコード追加が必要です（DKIM設定一覧の「表示」から確認できます）。

DMARCは必ず必要？

Gmailの要件上は、少なくとも「SPFまたはDKIM」は必須で、さらに1日5,000通超の送信者にはDMARCが求められます。

ただし実務的には、小規模でもDMARCを入れておくと「なりすまし対策」「将来の要件強化への備え」になるため、初手は 何もしない（p=none） で導入するのがおすすめです（エックスサーバー公式も段階導入を推奨）。

DMARCをいきなり「メールを配送しない」にしても大丈夫？

おすすめしません。

DMARCの「reject（メールを配送しない）」は、なりすまし対策として最も強力ですが、運用状況を把握しないまま有効化すると「正規メールまで拒否される」事故が起きやすい設定です。

特に次のようなケースがある場合、reject にすると影響が大きくなります。

• GmailのSMTP（Google Workspace等）経由で送信している
• 問い合わせフォームや外部配信サービス（メルマガ、CRM等）を併用している
• 送信経路が複数あり、SPF/DKIMのアライメントが揃っていない

安全な手順は、none → quarantine → reject の段階導入です。まずは「何もしない（p=none）」＋レポートONで、どの送信がfailしているかを把握し、問題がないことを確認できた段階で quarantine、さらに最終的に reject へ移行するのが確実です。

DMARCレポートが届きません。設定ミスですか？

届かない＝即ミスとは限りません。レポートは受信側の実装・方針にも依存します。まず確認したいのは次の3点です。

• レポート通知がONになっているか
• 通知先メールアドレスが受信できる状態か（迷惑メールへ入っていないか）
• テスト送信が少量すぎないか（送信量が少ないとレポートが出ないケースもあります）

DMARCの通知先アドレスは何でもいい？

注意が必要です。通知先アドレスはDNSレコードに記載され、外部から参照可能になるため「外部に見えても問題ないアドレス」にするよう、エックスサーバー公式マニュアルで注意喚起されています。

設定の反映はどれくらい時間がかかりますか？

SPFについては、エックスサーバー公式が「数分〜数時間ほど」かかる場合があると明記しています。DNS全般はTTL等でタイムラグが出るため、焦らず時間を置いて再チェックしましょう。

「DNS（ネームサーバー）がエックスサーバー管理じゃない」と言われました。どこを見ればいい？

ドメイン側のネームサーバー設定を見て、ns1.xserver.jp〜ns5.xserver.jp が入っているか確認します（公式にもネームサーバー一覧が示されています）。

他社のNS（例：Cloudflareやドメイン会社のNS）なら、SPF/DKIM/DMARCのTXTレコードはそのDNS側で追加する必要があります。

まとめ：迷惑メール対策は「DKIM・SPF・DMARC」が土台

送信ドメイン認証は、いまや「できればやる」ではなく、“ちゃんと届くための前提条件”になりつつあります。Gmailでは、2024年2月1日以降、すべての送信者にSPFまたはDKIMを求め、条件によってはDMARCも求めています。

エックスサーバーは、サーバーパネルにSPF設定・DKIM設定・DMARC設定が用意されていて、基本はスイッチ操作＋編集で進められます。特にSPFはドメイン追加時に自動追加される（＝多くの場合は確認で済む）点が、初心者にとって大きなメリットです。

時期によってお得なキャンペーンが実施されていることもあるので、これからメール環境を整えたい方は、そうしたタイミングを活用するのも一つの選択肢です。