会社の電子メールを Google Workspace 経由で送信している場合、一部のメールが誰にも気づかれないまま DMARC に失敗している可能性があります。具体的には、転送されたメッセージです。原因は、自社の鍵を公開するまで Google が署名に使用するデフォルトの DKIM 鍵です。本ガイドでは、なぜこれが起こるのか、どれほど一般的なのか、そしてどう修正するのかを、DMARCeye のあるクライアントのデータを実際の例として用いながら解説します。
Google Workspace は、自社の鍵を設定しているかどうかにかかわらず、送信メールに常に DKIM 署名を付与します。自社の鍵を設定していない場合、自社のドメインではなく、Google の技術ドメイン上のデフォルトの鍵、たとえば yourcompany.20230601.gappssmtp.com のような鍵で署名します。何も問題があるようには見えません。メールは送信され、直接配信ではたいてい合格します。
DMARC が合格するのは、DKIM 署名のドメインが整合する、つまりメールの実際の送信元ドメインと一致する場合だけです。Google のデフォルトの鍵は gappssmtp.com の下で署名する一方、メールは自社のドメインから送信されるため、決して整合しません。直接配信では SPF が依然として合格するため、これは気づかれません。しかし、メッセージが転送された瞬間に SPF が壊れ、DKIM には整合してフォールバックできるものがなく、DMARC は失敗します。メッセージは迷惑メールに入る可能性があり、送信者はバウンスを目にすることがありません。
リスクはかつてよりも高まっています。Google と Yahoo が 2024 年に一括送信者の要件を厳格化して以来、DMARC の失敗はますます迷惑メール入りを意味するようになっています。
DMARCeye の 2026 年第 1 四半期データセットでは、Google から送信される全メールのおよそ 11%、約 9 通に 1 通が、これと同じかたちで DKIM に失敗しています。これはほぼ常に Google 側ではなく送信者側に起因します。誰もデフォルトの鍵を置き換えなかったためです。
これらの数値は、DMARC の現状に関する DMARCeye の 2026 年第 1 四半期業界レポートに基づいています。
Saleshero は中小企業向けの B2B セールスアカデミーであり、DMARCeye のクライアントです。創業者、CEO、セールスチームの成長を支援しており、セールス戦略の構築からセールスチームのトレーニング、リーダーの長期的なコーチングまで手がけています。同社のセールスコミュニケーション、フォローアップ、提案はすべて Google Workspace を通じて行われるため、Saleshero にとって到達性は売上に直結します。
Saleshero の DMARC レポートには、このパターンがはっきりと表れていました。Google 経由の送信全体で、8,216 通のうち 1,109 通が DMARC に失敗しており、コンプライアンスは 86.5% でした。メールを個人の Gmail に転送するある受信者ドメインでは、合格したメッセージはわずか 2.3% でした。
Saleshero が自社の DKIM 鍵を公開すると、約 2 営業日のうちに DMARC の失敗率は 13.5% から 0.11% へと低下し、コンプライアンスは 99.9% に達し、転送されたメールも失敗しなくなりました。DMARCeye の週次ビューはこの転換を示しています。数か月にわたる失敗が続いたのち、新しい鍵が稼働した週にほぼゼロになりました。
「Google Workspace を使っているのだから、DMARC 関連のことはすべて自動的に対応されていると思い込んでいました。自社メールのかなりの割合がクライアントの受信トレイ以外のどこかに届いてしまう可能性があると知って、本当に驚きました。」
Alexander Raiman
Co-founder, Saleshero
修正方法は、自社の DKIM 鍵を公開し、Google がデフォルトの Google ドメインではなく自社のドメインの下で署名するようにすることです。
自分で対応したい場合、設定は Google 管理コンソール内にあり、数分と 1 件の DNS 変更で済みます。
gappssmtp.com の鍵ではなく自社の鍵で署名するようになります。ステップ 2 では、自社ドメインの DNS へのアクセスが必要です。マーケティングチームではよくあることですが、ご自身で DNS を管理していない場合は、管理している担当者、つまり IT チーム、ウェブホスト、またはドメインを設定した担当者に渡してください。
Google の公式な手順書に詳細がすべて記載されています:ドメインの DKIM を有効にする。
Google Workspace 経由で送信していて、自社の DKIM 鍵を一度も公開したことがない場合は、自社のドメインが今どうなっているかを確認しておく価値があります。
DIY ルートでも機能しますが、難しかったのは鍵を公開することではありませんでした。難しいのは、そもそもそのギャップが存在することに気づくこと、そして次のギャップが取引を失わせる前に捉えることです。
そこで DMARCeye の出番です。DMARCeye はあなたの DMARC レポートを読み取り、それをわかりやすいガイダンスに変換します。メール認証がどこで失敗しているかを示し、その理由を説明し、修正するための正確な次の一手を伝えます。Google のデフォルトの鍵のようなギャップはひとりでに浮かび上がり、DMARCeye は監視を続けるため、次の設定ミスも、ほかの誰にもまだ見えないうちに表面化します。