SPF・DKIM・DMARCだけでは届かない時代。
メルマガの到達率を下げる要因と、信用スコアを改善する具体策をまとめています。
メールの世界はいま、“信用スコア”で動いています。
Gmail、Yahoo、Microsoft──それぞれが独自のアルゴリズムでメールを採点し、
届くか・迷惑か・拒否かを静かに判断している。
採点基準はどこも非公開。
中身はブラックボックスだ。
それでも、各社が見ているものには共通点がある。
SPF・DKIM・DMARCはもはや“できて当然”の土台。
そのうえで、本文の構造、画像の比率、URLの形、配信履歴、ユーザーからの迷惑報告、
外部の信用情報(Spamhausなど)──小さな要素が積み上がって、メールは「信用の総合点」で裁かれていく。
だからこそ、届かなくなる理由は“設定ミス”の一言では片づかない。
大手ECのメールでさえ迷惑入りする時代に、中小〜中堅企業のメルマガがノーガードで通るはずがない。
採点の仕組みは見えない。けれど、対策はできる。
この記事では、その“見えないスコア”を読み解き、到達率を取り戻すための地図を描いていく。
メールを取り巻く状況:いまは“信用スコア社会”のど真ん中
メルマガが届かなくなる背景には、単なる「設定ミス」や「一時的な不具合」では片づけられない事情がある。
ここ10年で、メールの世界は劇的に変わった。
迷惑メールはAI化し、受信側のサーバーは“防御アルゴリズム”を急速に進化させた。
Gmailを含む大手プロバイダがメール転送に厳しくなったのはそれなりの理由がある
その結果、Gmail・Yahoo・Microsoftといった大手は、どれも 独自の採点システム(スコアリング) を持つようになった。
ただし、その中身は非公開。僕たちは“評価基準が見えない試験”の中でメールを送り続けている。
共通しているのは──
「認証(SPF/DKIM/DMARC)だけでは不十分になった」
という事実だ。
- メールサービス各社は、
- 送信元ドメインの歴史
- 迷惑報告の累積
- 配信量の急変
- HTML構造や画像の比率
- URLの種類
- 外部の信用情報(Spamhaus など)
- 過去のスパムと“どれくらい似ているか”
といった 多層的な“信用情報” を組み合わせて判定している。
言い換えるなら──
メールはいま、“信用スコアで処理される”世界にいる。
数字で語れない信頼と、数字で裁かれる現実が共存している。
そして、このスコアの“総合点”が一定ラインを下回った瞬間、
メルマガは静かに迷惑フォルダか到達しなくなる。
| 層 | 役割 | 主な評価ポイント | 重み(概念) |
|---|---|---|---|
| 第4層 | レピュテーション(歴史・外部評価) | ・迷惑報告の累積 ・バウンス率 / 配信量の急変 ・ドメイン / IP の過去の評価 ・外部ブラックリスト(Spamhaus 等) |
最重要(重い) |
| 第3層 | 本文のふるまい(構造スコア) | ・HTML構造 ・画像比率 ・外部画像読み込み ・URL形式(短縮URL など) ・件名のパターン / スパム語 |
中〜高 |
| 第2層 | 機械学習(スパムとの類似度) | ・BAYES 99 / BAYES 999 ・過去のスパムとの「文章の似てる度」 |
中 |
| 第1層 | 送信者認証(基礎点) | ・SPF ・DKIM ・DMARC(p=none / quarantine / reject) ※ここが崩れると「評価ステージ」にすら乗れない |
最低ライン(必要条件) |
ブラックリストに登録される仕組み
ブラックリスト入りは、悪意のある攻撃者だけが対象ではない。
いま現場で起きているのは、「企業は悪くないのに巻き込まれるパターン」の急増だ。
特に深刻なのが、問い合わせフォームまわりの不正利用である。
■ 1. 問い合わせフォームが“踏み台”になる時代
最近もっとも多いのが、サイトの問い合わせフォームや、
フォーム周りの WordPress プラグインを悪用された結果、
自社サーバーから勝手に大量送信されてしまうケース。
ポイントはここだ:
✔ “フォームが表示されていなくても”狙われる
- WordPress では、
- Contact Form 7
- WPForms
- Ninja Forms
などの プラグインが有効化されているだけで、
外部から POST を叩かれ、
裏側のメール送信スクリプトが悪用される。
つまり、
フォームを設置していない
URL を公開していない
自分たちは気をつけている
これらは安全の根拠にならない。
攻撃者は “フォームの存在” ではなく
「送信処理を持つプラグインそのもの」 を探してくる。
✔ 攻撃の流れはこうだ
bot がネットを巡回して “フォーム系プラグインが入っているサイト” を発見
直接 POST を叩く
サイト側の wp_mail() や PHP mail() が作動
大量のスパムメールが送信される
自社 IP / ドメインが Spamhaus に登録
本来のメルマガや通知メールが一斉に届かなくなる
完全に 踏み台(Relay)扱い になる。
被害企業は「自分たちがスパムを送った自覚ゼロ」のまま、
信用スコアを一気に失う。
2. 最近の不正メールの傾向
昔のスパムは、ドメインがおかしい、文章が怪しい、認証が通っていない──
そういう“わかりやすい雑さ”があった。
しかし最近は、攻撃の質そのものが変わってきている。
✔ いま増えているのは「正規に見える不正」
攻撃者は、
普通のドメイン
SPF / DKIM / DMARC をクリアした送信
件名も本文も自然
HTML構造も整っている
こうした “正規メールの皮をかぶったフィッシング” を量産している。
つまり、
“スパム臭”に頼った判定が効かない時代に入った。
攻撃者側も学んでいる。
認証を通してきたうえで、
「パスワード変更のお知らせ」
「配送トラブルのお知らせ」
「請求情報の確認が必要です」
といった“人間の判断を突く”内容で情報を盗りにくる。
✔ ここまで来ると、正規と不正は“紙一重”
認証が通っていても安心できない。
内容がきれいでも油断できない。
結局はイタチごっこで、
受信側は 構造スコア+レピュテーション をより重視せざるを得なくなった。
攻撃者→正規っぽさを増す
受信側→さらに総合スコア化
この繰り返しだ。
メールの採点項目(スコアリングの主な軸と改善ポイント)
| カテゴリ | 内容 | 代表的な減点(例) | 改善策(スコアを上げる方法) | 重み |
|---|---|---|---|---|
| 送信者認証 | SPF / DKIM / DMARC の整合性 | ・未設定 / 整合性不一致 ・DMARC が p=none のまま |
✔ SPF / DKIM を正確に整合 ✔ DMARC を p=quarantine → reject に段階強化 ✔ ルートドメインで整合性チェック |
最低ライン |
| 本文構造 | メールの“身だしなみ” | ・HTMLのみ +0.1 ・外部画像 +0.01 ・ショートURL +0.001 |
✔ text/plain を必ず併記 ✔ 画像比率を下げる(1:1〜3:1) ✔ 外部画像を減らす ✔ 短縮URLを避ける |
中〜高 |
| スパム類似度(BAYES) | 過去スパムとの似てる度 | ・BAYES_99 +3.5 ・BAYES_999 +0.2 |
✔ 文章パターンを“毎回微妙に変える” ✔ CTA の多発を避ける ✔ 過去スパムと似た件名を避ける |
高 |
| レピュテーション(歴史) | 送信元全体の信用 | ・迷惑報告の累積 ・バウンス多発 ・配信急増 ・Spamhaus登録 |
✔ 配信量を“徐々に”増やすウォームアップ ✔ 休眠リスト削除(低エンゲージ) ✔ 誤ったアドレスを即削除 ✔ フォーム踏み台対策(WPプラグイン停止/保護) ✔ BIMI(最後の可視化された信用) |
最重要 |
いまのところ最後の砦は「BIMI」
この状況で、
“本当に正規の企業からのメールかどうか” を
ユーザーの目に見える形で保証する仕組みが BIMI(Brand Indicators for Message Identification)だ。
認証が揃っている
企業側が証明書(VMC)を取得している
そのブランドロゴを受信側が信頼する
ブランドロゴが Gmail に表示される という、
“視覚的な信用” が最後の砦になってきている。
「認証を突破しても、BIMIは偽れない」
これがいま唯一、“正規と不正を分ける線引き”になっている。
まずは「レピュテーション(歴史)」を整えるのが最優先
到達率改善のほとんどは、土台=歴史スコアが原因になっている。
最初にやるべきは以下:
- 休眠アドレスの大量削除
- 配信量のウォームアップ
- バウンスの即除外
- お問い合わせフォーム踏み台チェック
- WordPress の不要フォーム系プラグイン削除
“届くメール”は設定ではなく“送信者の生き方”で決まる。
これが現場の真実。
認証は「整える → 強化する」までやって初めて効果が出る
DMARC を p=none のままにしている企業は本当に多い。
p=none(見るだけ) →
p=quarantine(隔離) →
p=reject(拒否)
この 段階的強化が、
レピュテーションを大きく押し上げる。
GoogleもYahooもここを強く評価している。
本文構造は“小さな減点を積ませない”のがコツ
HTMLの乱れ・外部画像・URLの多用など、
単体では小さいが 塵が積もるスコア が多い領域。
- シンプルHTML
- text/plain併記
- 画像少なめ
- 外部読み込み削減
- 短縮URL禁止
このあたりで3〜5点は簡単に回復する場合もある。
1点で送信率に大きな変化あるので、ここは大きい。
BIMIは“最強”ではない。あくまで“オプション”
ここまで読むと
「じゃあ BIMI を入れれば全部解決?」
と思われがちだが、答えは NO だ。
✔ BIMI は確かに“信頼のシグナル”にはなる
認証が揃っている
VMC(証明書)を取得している
ロゴが Gmail で表示される
という仕組み自体は良い。
✔ ただし 中小企業にはほぼ現実的ではない
証明書コストが高い
運用も手間
ロゴが表示されるのも主に Gmail
ユーザー側の認知はまだ低い
つまり、効果はあるが “万人が使える改善策ではない”。
✔ 位置づけは「スコアの最終調整」
メールの本質的な到達率改善は
認証
本文構造
レピュテーション
この3つが 95% を占める。
BIMI はその上で、
「ブランドメールとして見せたい場合のオプション」 にすぎない。
新規ドメインは厳しく見られる
理由はシンプルです。
レピュテーション(過去評価)が存在しない
スパム用に取得された可能性がゼロではない
過去の送信履歴で判断できない
“安全”という保証が何もない
メール界の本質は 「挙動で信頼を積み上げる世界」 なので、
歴史のないドメインは必然的にマイナスからスタートします。
● 各社の“見え方”の違い(現場体感ベース)
✔ Gmail
比較的ニュートラル
ただし 「急増する配信量」 を強烈に嫌う
転送や DMARC の整合が乱れると即落ちる
✔ Yahoo!メール
新規ドメインを もっとも保守的に扱う
初期は迷惑フォルダに落ちやすい
HTML構造やURLパターンの細部まで見ている印象
✔ Microsoft(Hotmail / Outlook)
歴史のないドメイン → BULK行き常連
「IPヒストリー」も強く評価される
✔ 国内キャリア(docomo/au/softbank 等)
ユーザーの“迷惑報告”を重視
新規ドメイン+低エンゲージ=かなり厳しい
まとめ──到達率は「設定」ではなく「信用」の総合点で決まる
メールの到達率は、1つの設定ミスや偶発的なトラブルで決まるわけではない。
Gmail・Yahoo・Microsoft を含む主要プロバイダは、
認証・本文構造・レピュテーション(歴史)を総合的にスコア化し、
その“合計点”で迷惑フォルダへの振り分けを判断している。
つまり、今日届かなくなったのは「今日悪いから」ではない。
小さな減点が積み重なって、“ある閾値”を超えただけだ。
そして改善の本質は、派手な新技術ではなく、
地味だが確実な“信用の積み上げ”にある。
- SPF / DKIM / DMARC の整合
- 文章構造の丁寧さ(HTML・画像比率・URLの扱い)
- バウンスや迷惑報告を減らす運用
- フォーム踏み台など“知らぬ間の挙動”の排除
- 配信量を徐々に育てる歴史の作り直し
これらが到達率のほぼすべてを決める。
BIMI のような仕組みは確かに役には立つが、
中小企業が無理に追うべき“必須項目”ではない。
あくまでブランド性を高めるための“見た目のブースト”であり、
本質的な到達率改善の中心ではない。
メールは、技術の話に見えて、実は“信用をどう積み重ねるか”の話だ。
派手な裏技より、日々の運用・配信・設計の積み重ねが、最終的に届く力を作っていく。
