概要
クリニックの現場で、こんな声をよく聞きます。
- 「予約確認メールを送っているのに、患者さんに『届いていない』と言われる」
- 「検査結果のご案内や問診メールが、相手の迷惑メールフォルダに入ってしまう」
- 「当院を名乗る不審なメールが出回っているらしい」
これらに共通する原因の多くが、送信ドメイン認証(そうしんドメインにんしょう)の未設定です。いまのメールの世界では、「誰が送ったか」を技術的に証明できないメールは、迷惑メール扱いされたり、そもそも届かなかったりします。そして裏を返せば、認証が無いドメインは第三者が”なりすまし”て送れてしまうという危うさも抱えています。
この記事では、その要となる SPF・DKIM・DMARC の3つを、専門用語をかみくだいて解説します。
そもそも「送信ドメイン認証」とは
メールアドレスの @ の右側(例:your-clinic.jp)をドメインと呼びます。送信ドメイン認証とは、ざっくり言えば「このドメインから出たメールは、本当にそのドメインの持ち主が送ったものです」と受信側が確認できるようにする仕組みです。
Gmail や各社のメールサーバは、届いたメールがこの認証を通っているかを見て、受信トレイに入れるか/迷惑メールにするか/受け取らないかを判断しています。認証が整っていないメールは、内容がまっとうでも不利になります。
役割の違う3つの仕組みが、揃って初めて効きます。
SPF ― 「どのサーバから送ってよいか」の宣言
SPF(エスピーエフ) は、「自院のドメインのメールは、このサーバから送ります」という許可リストを、ドメインの設定(DNS)に宣言しておく仕組みです。
受信側は、届いたメールが「宣言されたサーバから来たか」を照合します。宣言に無いサーバから届けば「なりすましの疑い」と判断されます。まずメールの差出経路を正しく申告するのが SPF です。
DKIM ― 電子署名で「改ざん・なりすまし」を検知
DKIM(ディーキム) は、送信時にメールへ電子署名を付け、受信側がその署名を検証する仕組みです。署名は自院ドメインの「鍵」で作られ、対応する「公開鍵」をドメインの設定に置いておきます。
これにより、受信側は「確かにこのドメインが署名した/途中で改ざんされていない」ことを確認できます。差出人を偽ったなりすましメールは、正しい署名を作れないため見破られます。
DMARC ― 認証が失敗したときの「扱い」と「レポート」
DMARC(ディーマーク) は、SPF や DKIM が失敗したメールをどう扱うかを、ドメインの持ち主が指示する仕組みです。あわせて、「自院ドメインが世界でどう使われている(=なりすまされていないか)」のレポートを受け取れるのが大きな利点です。
指示は段階的に強められます。
p=none(観測のみ)… 何も止めずデータだけ集める。まずここから始めるのが定石p=quarantine(隔離)… 認証を通らないメールは迷惑メール扱いにp=reject(拒否)… 認証を通らないメールは受け取らせない
いきなり強い設定にすると、自院の正規メールまで巻き込む事故が起きます。観測から始めて、レポートを見ながら段階的にが鉄則です。
クリニックで実際に起きること
- 予約確認・変更・キャンセルの自動メールが届かない … 予約システムからの通知が迷惑メール送りになると、患者さんの来院トラブルに直結します。
- 問診・検査案内・お知らせが読まれない … 大事な連絡ほど、迷惑メールに沈むと気づかれません。
- なりすましによるフィッシング … 認証の無いドメインは、第三者が「〇〇クリニック」を名乗って偽メールを送れてしまいます。患者さんが被害に遭えば、信頼に関わります。
つまり送信ドメイン認証は、「届く」ための施策であると同時に、患者さんを守り、クリニックの名前を守るセキュリティ対策でもあります。
まず何から手をつければよいか
- 現状を確認する … 自院ドメインに SPF・DKIM・DMARC が設定されているかを確認します(多くの場合、SPF はあっても DMARC が無いことがよくあります)。
- DKIM を有効化する … レンタルサーバ(例:エックスサーバー等)なら管理画面で DKIM を「有効」にするだけで、DNS 設定まで自動で入ることが多いです。Google Workspace を使っている場合は管理コンソールで DKIM を生成・有効化します。
- DMARC を追加する … まず
p=none(観測)で設定し、1〜2週間レポートを見て問題が無ければp=quarantineに上げます。 - 迷わず専門家に相談する … DNS 設定は 1 文字の誤りで不達を招くこともあります。自信が無ければ、設定と検証はまとめて任せるのが安全です。
💡 設定後は、自分の別アドレス(Gmail 等)に 1 通テスト送信し、「メッセージのソースを表示」で SPF: PASS / DKIM: PASS / DMARC: PASS になっているかを確認すると確実です。
放置するとどうなるか
- 到達率の低下 … 予約・問診・案内が患者さんに届きにくくなる
- なりすまし・フィッシングの温床 … 自院を名乗る偽メールを防げない
- 本業メールの巻き添え … コロナ後に増えたオンライン連絡の信頼性まで下がる
いずれも「気づきにくいのに、影響は大きい」タイプの問題です。
まとめ
- クリニックのメールが届かない・迷惑メール判定される主因は、送信ドメイン認証(SPF・DKIM・DMARC)の未設定にあることが多い
- SPF=差出経路の申告 / DKIM=電子署名 / DMARC=失敗時の扱いとレポート。3つは役割が違い、揃って効く
- まずは現状確認 → DKIM 有効化 → DMARC を観測(
p=none)から。放置は「届かない」と「なりすまし」の二重リスク
「届く」と「守る」を同時に叶える、地味だけれど効果の大きい一手です。
📎 あわせて読みたい
- クリニックの情報セキュリティ入門 ― 3省2ガイドラインと、まず固める5つの備え ― セキュリティ全体の”はじめの一歩”
- クリニックのホームページで最低限おさえたいこと ― SSL・スマホ対応・医療広告ガイドライン
- 言葉の確認は 医療DX 用語集
メール・ドメインの設定やホームページ・予約システムの整備は、医療現場を理解した設計が要になります。MEDICT は医療機関専門に IT 支援を行い、ホームページ制作や予約システム myappt などのサービスを提供しています。