本文へスキップ
デジタル化の基礎

予約確認メールが「迷惑メール」になる前に ― クリニックの送信ドメイン認証(SPF / DKIM / DMARC)入門

概要

クリニックの現場で、こんな声をよく聞きます。

  • 「予約確認メールを送っているのに、患者さんに『届いていない』と言われる」
  • 「検査結果のご案内や問診メールが、相手の迷惑メールフォルダに入ってしまう」
  • 「当院を名乗る不審なメールが出回っているらしい」

これらに共通する原因の多くが、送信ドメイン認証(そうしんドメインにんしょう)の未設定です。いまのメールの世界では、「誰が送ったか」を技術的に証明できないメールは、迷惑メール扱いされたり、そもそも届かなかったりします。そして裏を返せば、認証が無いドメインは第三者が”なりすまし”て送れてしまうという危うさも抱えています。

この記事では、その要となる SPF・DKIM・DMARC の3つを、専門用語をかみくだいて解説します。

そもそも「送信ドメイン認証」とは

メールアドレスの @ の右側(例:your-clinic.jp)をドメインと呼びます。送信ドメイン認証とは、ざっくり言えば「このドメインから出たメールは、本当にそのドメインの持ち主が送ったものです」と受信側が確認できるようにする仕組みです。

Gmail や各社のメールサーバは、届いたメールがこの認証を通っているかを見て、受信トレイに入れるか/迷惑メールにするか/受け取らないかを判断しています。認証が整っていないメールは、内容がまっとうでも不利になります。

役割の違う3つの仕組みが、揃って初めて効きます。

SPF ― 「どのサーバから送ってよいか」の宣言

SPF(エスピーエフ) は、「自院のドメインのメールは、このサーバから送ります」という許可リストを、ドメインの設定(DNS)に宣言しておく仕組みです。

受信側は、届いたメールが「宣言されたサーバから来たか」を照合します。宣言に無いサーバから届けば「なりすましの疑い」と判断されます。まずメールの差出経路を正しく申告するのが SPF です。

DKIM ― 電子署名で「改ざん・なりすまし」を検知

DKIM(ディーキム) は、送信時にメールへ電子署名を付け、受信側がその署名を検証する仕組みです。署名は自院ドメインの「鍵」で作られ、対応する「公開鍵」をドメインの設定に置いておきます。

これにより、受信側は「確かにこのドメインが署名した/途中で改ざんされていない」ことを確認できます。差出人を偽ったなりすましメールは、正しい署名を作れないため見破られます。

DMARC ― 認証が失敗したときの「扱い」と「レポート」

DMARC(ディーマーク) は、SPF や DKIM が失敗したメールをどう扱うかを、ドメインの持ち主が指示する仕組みです。あわせて、「自院ドメインが世界でどう使われている(=なりすまされていないか)」のレポートを受け取れるのが大きな利点です。

指示は段階的に強められます。

  • p=none(観測のみ)… 何も止めずデータだけ集める。まずここから始めるのが定石
  • p=quarantine(隔離)… 認証を通らないメールは迷惑メール扱いに
  • p=reject(拒否)… 認証を通らないメールは受け取らせない

いきなり強い設定にすると、自院の正規メールまで巻き込む事故が起きます。観測から始めて、レポートを見ながら段階的にが鉄則です。

クリニックで実際に起きること

  • 予約確認・変更・キャンセルの自動メールが届かない … 予約システムからの通知が迷惑メール送りになると、患者さんの来院トラブルに直結します。
  • 問診・検査案内・お知らせが読まれない … 大事な連絡ほど、迷惑メールに沈むと気づかれません。
  • なりすましによるフィッシング … 認証の無いドメインは、第三者が「〇〇クリニック」を名乗って偽メールを送れてしまいます。患者さんが被害に遭えば、信頼に関わります。

つまり送信ドメイン認証は、「届く」ための施策であると同時に、患者さんを守り、クリニックの名前を守るセキュリティ対策でもあります。

まず何から手をつければよいか

  1. 現状を確認する … 自院ドメインに SPF・DKIM・DMARC が設定されているかを確認します(多くの場合、SPF はあっても DMARC が無いことがよくあります)。
  2. DKIM を有効化する … レンタルサーバ(例:エックスサーバー等)なら管理画面で DKIM を「有効」にするだけで、DNS 設定まで自動で入ることが多いです。Google Workspace を使っている場合は管理コンソールで DKIM を生成・有効化します。
  3. DMARC を追加する … まず p=none(観測)で設定し、1〜2週間レポートを見て問題が無ければ p=quarantine に上げます。
  4. 迷わず専門家に相談する … DNS 設定は 1 文字の誤りで不達を招くこともあります。自信が無ければ、設定と検証はまとめて任せるのが安全です。

💡 設定後は、自分の別アドレス(Gmail 等)に 1 通テスト送信し、「メッセージのソースを表示」で SPF: PASS / DKIM: PASS / DMARC: PASS になっているかを確認すると確実です。

放置するとどうなるか

  • 到達率の低下 … 予約・問診・案内が患者さんに届きにくくなる
  • なりすまし・フィッシングの温床 … 自院を名乗る偽メールを防げない
  • 本業メールの巻き添え … コロナ後に増えたオンライン連絡の信頼性まで下がる

いずれも「気づきにくいのに、影響は大きい」タイプの問題です。

まとめ

  • クリニックのメールが届かない・迷惑メール判定される主因は、送信ドメイン認証(SPF・DKIM・DMARC)の未設定にあることが多い
  • SPF=差出経路の申告 / DKIM=電子署名 / DMARC=失敗時の扱いとレポート。3つは役割が違い、揃って効く
  • まずは現状確認 → DKIM 有効化 → DMARC を観測(p=none)から。放置は「届かない」と「なりすまし」の二重リスク

「届く」と「守る」を同時に叶える、地味だけれど効果の大きい一手です。


📎 あわせて読みたい

メール・ドメインの設定やホームページ・予約システムの整備は、医療現場を理解した設計が要になります。MEDICT は医療機関専門に IT 支援を行い、ホームページ制作や予約システム myappt などのサービスを提供しています。

関連キーワード(AI 抽出): #デジタル化の基礎 #メール #SPF #DKIM #DMARC #なりすまし対策 #セキュリティ #クリニック

医療 × ICT × AI のご相談は株式会社メディクトへ

予約システム・ホームページ制作・医療データ分析など、記事に関連するご相談も歓迎です。

株式会社メディクトに相談する →

関連する記事

デジタル化の基礎

クリニックの情報セキュリティ入門 — 3省2ガイドラインと、まず固める5つの備え

医療機関を狙ったランサムウェア被害や、電子化の進行で、クリニックにも情報セキュリティの備えが求められています。専門用語を避け、3省2ガイドラインの要点と、まず固めるべき5つの備え(バックアップ・認証・通信暗号化・端末/権限・リモート保守)を、医療現場を理解した視点でやさしく整理します。自院でできるチェックリスト付き。

続きを読む
技術

電子カルテって何? いまさら聞けない「医療のデジタル化」のキホン

「電子カルテ」「レセコン」「3省2ガイドライン」——医療のデジタル化の話によく出てくる言葉を、できるだけやさしく、たとえ話を交えて解説します。むずかしい記事はちょっと…という方の最初の1本に。

続きを読む
医療DX

クリニックの受付DX — 待ち時間と受付業務を減らす5つの打ち手

電話予約の取りこぼし、会計待ちの行列、紙の問診票の転記。クリニックの受付に溜まりがちな「定型の手間」を、Web予約・自動受付・キャッシュレス・問診の電子化・着信ポップアップ(CTI)の5つで減らす考え方を、医療現場を理解した視点で整理します。導入の優先順位と選び方のチェックリスト付き。

続きを読む