Gmailのブルーチェックマークについて書きましたが、「誰でも付けられるの?」と思う人もいるでしょう。簡単に説明します。
メールにブルーチェックマークを付けるには、法人登記の情報が必要なため、対象は法人や団体(企業・学校・自治体など)に限られます。通常はプロバイダがDKIM・SPF・DMARCを設定していますが、Google Workspace を独自ドメインで利用している場合は設定が必要です。
ブルーチェックマークを付けるまでの手順は以下の通りです。
| 項目 | 目的 | 作業 | |
|---|---|---|---|
| 1 | DKIMの設定 | メールに電子署名を付け、送信者の正当性と改ざんを防ぐ | Google管理画面でレコードを生成して DNSに設定 |
| 2 | SPFの設定 | 送信サーバーを指定し、なりすましを防ぐ | DNSにTXTレコードを設定 |
| 3 | DMARCの設定 | SPFとDKIM認証失敗時の対応を決める | DNSにTXTレコードを設定 |
| 4 | VMCの取得 | 認定局が発行するデジタル証明書で企業の信頼性を証明する | 商標ロゴを提出し、審査を経て証明書を取得 |
| 5 | BIMIの設定 | ロゴとVMCで正規の送信者であることを示す | DNSにSVG形式のロゴURLと証明書のURLを設定、DNSの修正 |
1.DKIMの設定
DKIMの設定は、前の投稿で説明しましたのSPF設定を先に行ってもかまいません。
2.SPFの設定
SPFは、送信を許可するサーバーを指定して、なりすましや不正メールの送信を防ぐためのものです。
設定するには、DNSに以下を入力します。
| サブドメイン | 種別 | 内容 |
|---|---|---|
| @ | TXT | v=spf1 include:_spf.google.com ~all |
@は、ドメイン管理会社によっては省略します。
「v=spf1 include:_spf.google.com ~all」は、Googleのメールサーバーから送信されたメールを正当とみなす設定です。
ちなみにロリポップとムームードメインを利用している場合、SPFが「ロリポップ」に設定されていると失敗します。ムームーDNS画面の「カスタム設定のセットアップ情報変更」設定1で、SPFを「利用しない」にしましょう。
3.DMARCの設定
DMARCは、SPFやDKIMの認証に失敗したメールをどのように処理するかを決める設定です。
DNSに次のように入力します。
| サブドメイン | 種別 | 内容 |
|---|---|---|
| _dmarc | TXT | v=DMARC1; p=quarantine; rua=mailto:xxxxx@example.co.jp; pct=100 |
「このドメインからのメールがSPFまたはDKIM認証に失敗した場合は、受信側で迷惑メールとして隔離して、認証結果レポートをxxxxx@example.co.jpに送信してください。」という意味です。
「p=quarantine」は自分のドメインを使ってなりすまして送られたメールを、受信側で迷惑メールとするという意味で、「pct=100」は認証に失敗したメールの100%に適するという意味です。
拒否をする場合は、「p=reject」にします。その際、正常なメールまで拒否してしまう可能性があるため、「v=DMARC1; p=reject; pct=5; rua=mailto:xxxxx@example.co.jp」と入力し、全体の5%のメールだけを拒否して様子を見ながら運用するのがおすすめです。
赤字の部分には、レポートを受け取るメールアドレスを入力します。大量のレポートを受け取る場合もあるため、他のメールと混ざらないように、DMARC用のメールアドレス(同一ドメイン内がおすすめ)を作成するとよいです。
ここまで設定したら、他のメールアドレス宛にメールを送信してヘッダーを確認してみましょう。Gmailの場合は、メールを開いて、右上の「三点リーダー」→「原文を表示」をクリックすると表示できます。SPF、DKIM、DMARCが「PASS」になっていれば成功です。
4.VMC(認証マーク証明書)の取得
VMCは、自社ロゴと企業の信頼性を証明するデジタル証明書です。
まず商標登録しているロゴが必要です。そのロゴと企業情報を認証局が確認し、証明書を発行します。
VMCは、以下の認証局または代理事業者で取得できます。
DigiCert(認証局)
Entrust(認証局)
GMOグローバルサイン
さくらインターネット
GMOブランドセキュリティ
料金は、たとえばGMOグローバルサインは年間で180,000円、さくらインターネットは269,500円です(2025年10月7日時点)。毎年支払うことになります。
ロゴを商標登録していない場合は、申請および登録費用も必要です。
5.BIMIの設定
証明書を取得したら、DNSにBIMIの設定を行います。BIMIは、商標登録されたロゴをメールに表示させて、なりすまし対策とブランド認知の向上を図る仕組みです。
| サブドメイン | 種別 | 内容 |
|---|---|---|
| default._bimi | TXT | v=BIMI1; l=https://example.co.jp/logo.svg; a=https://example.co.jp/example.co.jp-vmc.pem |
商標登録しているロゴをSVG形式でアップロードし、そのURLを青字の部分に入力します。
SVGといっても、SVG Portable/Secure(SVG-P/S) に準拠したファイルです。CanvaのようなデザインツールのSVG変換とは異なります。disicertのサイトを見ると、ファイルを開いて会社名を入力するようにと記載されています。
赤字の部分はVMCのファイルです。発行されたVMCをサーバーにアップロードして、そのURLを入力します。当然サイトはSSL化(https対応)されていると思いますが、BIMIの設定にはアドレスが「https」から始まっていることが条件です。
DKIM・SPF・DMARCはメール送信者を技術的に認証するための国際標準規格で、BIMIはそれらの認証を満たしていることを証明できる仕組みです。予算に余裕のある企業は、なりすまし防止や信頼性向上につながるので導入するとよいでしょう。
コメントを残す