Defaults.Exposed

Defaults.Exposed修正Guides

Mailchimp、Brevo、Klaviyo のメールが DMARC で失敗する?本物のドメイン認証をオンにする(2026)

公開日 2026-07-08

データは 2026-06-29 時点 · メソドロジー v7。 261 百万採点済みドメインを対象とした集計センサスデータ。採点方法を参照。

ニュースレタープラットフォームは、あなたのドメインとして認証せずにあなたのドメイン「から」送信すると DMARC で失敗する。修正はプラットフォームのカスタムドメイン認証(DKIM CNAME と、提供されている場合はカスタムバウンスドメイン)だ。このギャップは一般的だ:Defaults.Exposed の 261,086,232 ドメインのセンサス(2026-06-29)によると、SendGrid を認可する 740,321 ドメインのうち、DMARC を適用しているのはわずか 18.0% だ。

修正は DNS レコードを数件とプラットフォームの設定で10分だ。以下に:なぜプラットフォームの共有認証が 2024 年 2 月に十分でなくなったか、Mailchimp、Brevo、Klaviyo、SendGrid でオンにすべき設定、修正ステップの順序 — フリーメールの From アドレスからの移行を含む(DNS レコードではどうにもならない)を示す。

プラットフォームがすべて確認済みと言っているのに、なぜニュースレターメールが DMARC で失敗するのか?

プラットフォームがあなたではなく自分自身を認証したからだ。デフォルトでは、ESP は自社のバウンスドメインを Return-Path に付けてキャンペーンを送り、多くの場合 DKIM も自社ドメインで署名する。受信側は SPF を From ヘッダーではなく Return-Path(RFC5321.MailFrom)ドメインに対して評価するため、SPF はクリーンに合格する…プラットフォームのドメインで。

DMARC は SPF や DKIM が抽象的に合格したかどうかを気にしない。From アドレスのドメインに対してどちらかが合格したかどうかを問う — その一致をアライメントと呼ぶ。ESP の SPF 合格は自社のバウンスドメインであり、あなたのものではない;カスタムドメイン DKIM なしで、署名は自社ドメインであり、あなたのものではない。何もアライメントしないため、あなたの From ドメインは DMARC で失敗する — プラットフォームのダッシュボードは緑のチェックを表示するが、プラットフォームの立場からは認証は機能しているからだ。カスタムドメイン認証(あなたのドメインとして DKIM 署名)をオンにすることが全体の修正だ。完全なアライメントの仕組みについては、DMARC が失敗するが SPF と DKIM は合格するを参照。

2024 年 2 月に何が変わったか?

Google と Yahoo がバルク送信者要件の適用を開始した:From ドメインのアライメントされた認証、公開された DMARC ポリシー、ワンクリック配信停止、スパム率の制限。共有インフラの近道 — ESP の認証に乗り、どこからでも送信する — が機能しなくなった。ニュースレター送信者への2つの結果:

完全な要件セットは、Google と Yahoo の送信者要件に関するデータ記事にある。

Mailchimp、Brevo、Klaviyo、SendGrid でその設定は何という名前か?

すべてのプラットフォームが同じ機能を異なる名前で持っている。常に生成されるのは DNS のための小さな CNAME レコードのセットだ — メニューに何と書いてあっても、それが見分け方だ。

プラットフォーム機能名(概略)DNS に追加するもの注意
Mailchimpドメイン認証DKIM CNAME(k2._domainkeyk3._domainkeyDKIM のみのアライメント — Mailchimp はもう SPF インクルードを使わない;追加しない
Brevoドメインを認証DKIM CNAME セット + 確認レコード設定時に Brevo のドキュメントで現在のレコードセットを確認する
Klaviyo専用送信ドメインDKIM CNAME + バウンス(Return-Path)サブドメイン専用ドメインが SPF アライメントも提供する
SendGridドメイン認証(自動セキュリティ)CNAME セット(DKIM + return-path)SPF インクルード不要 — CNAME がカバーする

注目すべき2つのパターン。第一に、これらのプラットフォームはどれも SPF レコードへの include: の追加を望んでいない — 最新の ESP 認証は CNAME 委任であり、残った include は DNS ルックアップ予算を無駄に消費するだけだ。第二に、CNAME 委任は機能だ:プラットフォームが委任された名前の後ろで DKIM キーをローテーションし、あなたが再び DNS を触ることはない。

ニュースレターの DMARC 失敗をステップバイステップで修正するには?

  1. DNS を変更する前に defaults.exposed で無料スキャンを実行する。 ドメインのライブの SPF、DKIM、DMARC の状態を表示し、これから解消しようとしているアライメントのギャップを確認できる。
  2. プラットフォームでカスタムドメイン認証をオンにする(上記テーブル参照)。アカウント固有の CNAME レコードが生成される。
  3. 指示通り正確に CNAME を DNS に追加する。 典型的な間違い:ゾーンを自動付加する DNS パネルが k2._domainkey.yourdomain.comk2._domainkey.yourdomain.com.yourdomain.com にしてしまう。パネルがドメインを付加する場合はホスト部分のみを貼り付ける。プラットフォームが後で「no key for signature」と報告する場合、セレクターレコードが反映されていない — DKIM「no key for signature」を参照。
  4. プラットフォームが提供する場合はカスタムバウンスドメイン(Return-Path)を設定する。 SPF レグもアライメントさせ、DMARC に2つの合格の方法を与える。提供されていない場合(Mailchimp)、アライメントされた DKIM 単独で完全な DMARC 合格になる — DMARC はアライメントされたレグが1つあれば十分だ。
  5. まだフリーメールの場合は From アドレスを自ドメインに移行する。 [email protected] ではなく [email protected]。推奨ではなく要件だ。
  6. プラットフォームで確認し、再スキャンする。 プラットフォームのチェックが緑になるのを待ち(DNS は数分から数時間かかる場合がある)、自分にキャンペーンを送り、ヘッダーがあなたのドメインで署名された DKIM を示すことを確認する。次に DMARC の修正ページでフラグが立ったものを対処する — ドメインに DMARC レコードがまったくない場合は、次の10分だ。

実際に正しく設定しているニュースレター送信者はどれだけいるか?

センサスは DNS 側から読む:各プラットフォームについて、何個のドメインがそれを認可しているか — そのうち送信しているドメインを保護しているのは何個か(Defaults.Exposed の 261,086,232 ドメインのセンサス、2026-06-29)。

プラットフォーム(SPF ターゲット)認可ドメイン数DMARC 適用済み
SendGrid(sendgrid.net740,32118.0%
Mailgun(mailgun.org1,306,69235.9%
Amazon SES(amazonses.com551,44641.9%

データは 2026-06-29 センサス時点。「DMARC 適用済み」= 認可ドメインが p=quarantine または p=reject を公開している。

テーブルの上位でさえ、プロのプラットフォーム上のほとんどの送信者がドメインを無防備のままにしている:Amazon SES を認可する 551,446 ドメインの 41.9% が DMARC を適用し、Mailgun の 1,306,692 のうち 35.9% — SendGrid の 740,321 のうちわずか 18.0%。インフラはプロ仕様だ;ドメイン保護はほとんどそうではない。メールボックスプロバイダーを含む完全なプロバイダーランキングは、どのメールプロバイダーが最も強い SPF を持っているかにある。

よくある質問

Mailchimp を自分の SPF レコードに追加する必要があるか? いいえ — 追加しない。Mailchimp は k2/k3 CNAME 経由の DKIM のみのアライメントを使用し、顧客向けの SPF インクルードを公開しなくなった。古い include:servers.mcsv.net は DMARC に何もせず、DNS ルックアップ予算を無駄にする;ここでのアライメントレグは DKIM だ。

ドメイン認証でニュースレターがスパムフォルダから出られるか? 最大の原因(DMARC ポリシーがあるドメインのアライメントされていないメール)が除去され、Google/Yahoo ルールのハード要件だ。リストの質の問題は修正されない:高い苦情率と欠落したワンクリック配信停止は、認証が完璧でもメールをスパムに留める。まず認証を修正する;それが確実な答えのある部分だ。

@gmail.com アドレスからのキャンペーンを続けられるか? いいえ。フリーメールプロバイダーは他の誰も彼らとして送信できないように正確に strict DMARC ポリシーを公開しており、ESP は gmail.com とアライメントできない。2024年2月以来、そのメールは大規模に拒否または迷惑メール判定される。From アドレスに自ドメインが唯一の道だ。

ドメイン認証をオンにした — なぜ DMARC がまだ失敗するか? 通常3つのいずれかだ:ゾーンを付加する DNS パネルによって CNAME が壊れた(ステップ3)、キャンペーンの From ドメインが認証したドメインと一致しない、または別の送信元がニュースレターと並んで失敗している。2026-06-29 センサスの全 261,086,232 ドメインのうち、そもそも DMARC を適用しているのはわずか 10.59% だ — あなたのドメインが適用しているなら近い;再スキャンしてどのレグがアライメントしていないか読む。

これは1日 5,000 通未満の小さなリストにも適用されるか? 最も strict な閾値は正式にはバルク送信者向けだが、受信側は認証の基本事項を誰にでも適用し、ESP はボリュームに関係なく今やドメイン認証を要求する。必須として扱う:DNS レコードが数件で、リストが成長した日にキャンペーンが壊れるのを防ぐ。

オーナーにレポートを送る

クライアントのためにこれを修正している場合(または DNS ではなくニュースレターを所有している場合)、証拠で仕事を完了させる。CNAME が反映されたら無料スキャンを再実行し、採点レポートをビジネスオーナーに転送する:平易な言葉で、日付入りで、DMARC アライメントが修正されている。サイバー保険更新や次の顧客セキュリティアンケートに答える成果物だ — 「Mailchimp でボタンをクリックした」ではなく、文書化された前後の記録だ。

ドメインをチェックする → · DMARC が失敗するが SPF と DKIM は合格する → · DMARC を修正する → · DKIM を修正する → · 採点方法 → · 集計データのみ使用。データは EU 内で保存・処理。