無料のDKIMチェッカー
ドメイン名とセレクタを入力するだけで、DKIMレコードを即座に確認できます。当社の無料DKIM検索ツールは、公開鍵の検証、構文の妥当性チェック、設定ミスの検出、および認証エラーの特定を行います。登録は不要で、即座に結果を確認できます。
DKIMの自動管理および鍵のローテーションについては、当社の「Hosted DKIM」サービスをご覧ください。
ドメイン名とセレクタを入力するだけで、DKIMレコードを即座に確認できます。当社の無料DKIM検索ツールは、公開鍵の検証、構文の妥当性チェック、設定ミスの検出、および認証エラーの特定を行います。登録は不要で、即座に結果を確認できます。
DKIMの自動管理および鍵のローテーションについては、当社の「Hosted DKIM」サービスをご覧ください。
3つの簡単な手順でDKIMレコードを確認しましょう:
ドメイン(例:yourdomain.com)を入力してください。「http://」、「www」、または「mail.」などの接頭辞は不要です。選択項目が複数ある場合は、それぞれ個別にチェックしてください。
セレクタとは、どの公開鍵を使用するかを指定するラベルのことです。一般的なデフォルト値には、google、selector1、selector2、k1、s1などがあります。
DKIMの結果は即座に表示されます。「合格」とは、DKIMレコードが存在し、構文が正しく、有効な公開鍵が含まれていることを意味します。
DKIMは「DomainKeys Identified Mail」の略称です。これは、送信サーバーがメッセージにデジタル署名を行うことを可能にする電子メール認証プロトコルです。DKIMレコードとは、selector._domainkey.yourdomain.com に公開されるDNS TXTレコードのことで、受信者がメールの署名を検証するために使用する公開鍵が含まれています。DKIMは、コンテンツの改ざんやなりすましから保護する役割を果たし、DMARCのアラインメントおよびメールの配信率を確保するための重要な要件となっています。
より詳しく知りたい方は、以下の記事をご覧ください:
DKIMの署名と検証は、以下の4つのステップで行われます:
送信側のメールサーバーは、サーバー上に保存されている秘密鍵を使用してメールに署名を行い、メッセージのヘッダーと本文を網羅する「DKIM-Signature」ヘッダーを作成します。
署名付きメール(DKIM-Signatureヘッダーを含む)が、受信側のメールサーバーに送信されます。
受信サーバーは、以下のDNSレコードにクエリを送信して公開鍵を検索します。 selector._domainkey.yourdomain.com.
受信側は公開鍵を使用して署名を検証します。署名が有効であれば、DKIMは合格となります。署名が無効であるか、または存在しない場合は、DKIMは不合格となります。
当社のDKIMチェッカーは、お客様のDNSレコードに対して8つの主要なチェックを実行します。各チェックの意味は以下の通りです:
selector._domainkey.yourdomain.com に DKIM レコードが存在するかどうかを確認します。レコードが見つからない場合、このドメインおよび selector に対して DKIM は設定されていません。
レコードがRFC 6376(DKIM規格)に従って正しくフォーマットされていることを検証し、欠落しているタグや形式が不正なタグをフラグ付けします。
p=タグが存在し、その中に空ではない公開鍵が含まれているかどうかを確認します。p=が空の場合、その鍵は失効しています。
鍵の種類(RSA(最も一般的)またはEd25519(より新しく、効率的))を特定し、不明なアルゴリズムにはフラグを立てます。
h=sha256 が設定されているかどうかを確認し、h=sha1 を非推奨かつ脆弱であるとマークします。
RSA鍵については、2048ビット未満の鍵を「脆弱」とみなします。これは、RSA-2048またはEd25519が推奨されているためです。
「s=email」が指定されているかどうかを確認します。指定されていない場合、すべての受信者でレコードが正しく処理されない可能性があります。
DNSプロバイダーでのレコードの位置を確認しやすいよう、完全なDNSクエリパス(selector._domainkey.domain.com)を表示します。
DKIMセレクタとは、DNS内のラベルであり、どの公開鍵を使用すべきかを特定するものです。多くの組織では、メールサービスプロバイダ(ESP)やメールサーバーごとに1つずつ、複数のDKIMレコードを設定しています。セレクタは、受信側にどのレコードを参照すべきかを指示するものです。
メールのヘッダーを確認する
ご自身のドメインから送信されたメールを開く(Gmail、Outlookなど)
「原文を表示」または「メッセージのソースを表示」をクリックしてください
次のものを探してください DKIM-Signature 見出し行
「」を探してください s= タグ――これがセレクタです
s=google つまり、セレクタは「google」ということです メールプロバイダーの管理コンソールを確認してください
インフラストラクチャ・プロバイダによって、デフォルトの文字列構造は異なります。一般的なデフォルトのセレクタ設定については、以下の表を参照してください。
| ESPプラットフォーム | セレクタ | インフラに関する注意事項 |
|---|---|---|
| Googleワークスペース | google | Googleがホストするすべてのメール環境に対応した単一のセレクター |
| Microsoft 365 | selector1, selector2 | マイクロソフトは、回転と冗長性の確保のために2つの鍵を交互に使用しています |
| Mailchimp | k1 | トランザクション型マーケティングメールで頻繁に使用される標準的なベースラインキー |
| SendGrid | s1, s2 または s201801, s201802 | 正確な数値については、ご利用のSendGridダッシュボードをご確認ください |
| Amazon SES | カスタム(場合により異なる) | DKIMを生成する際、この特定の文字列プロファイルを手動で定義します |
| Zohoメール | zmail1 | 単一のデフォルトのシステム検証セレクタパラメータ |
| Office 365 | selector1, selector2 | Microsoft 365のクラウドルーティングとまったく同じ構造上の整合性ルールに従います |
当社のツールに自動検出させましょう:手動での検索は一切不要です。当社の自動スキャナーがお客様のドメインインフラを分析し、アクティブなセレクタを即座に特定します。
次のような一般的なデフォルト設定を試してみてください。 google, selector1, selector2, k1, s1、または mail
ご利用のメールサービスプロバイダのヘルプドキュメントをご確認ください(ほとんどのプロバイダでは、デフォルトのセレクターが表示されています)。
それでも見つからない場合は、ご利用のメールプロバイダーのサポートチームにお問い合わせください。
以下に、DKIMに関する最も一般的な5つの問題と、その解決方法をご紹介します:
DKIMレコードが見つかりませんでした
原因:DNSのTXTレコードが想定された場所に公開されていないか、誤ったセレクタがチェックされています。
推奨される修正方法:
セレクタの不一致
原因:メールの DKIM-Signature ヘッダーにあるセレクタが、DNS で確認しているセレクタと一致していません。
推奨される修正方法:
キーが無効化されました(p= タグが空です)
原因: 公開鍵は、 p= タグが空または未定義です。
推奨される修正方法:
脆弱な鍵アルゴリズムまたは鍵の長さ
原因:鍵がRSA-1024(短すぎる)である、SHA-1(非推奨)を使用している、またはその他の脆弱な設定になっている。
推奨される修正方法:
h=sha256) DKIMは合格したが、DMARCは不合格となった
原因: DKIM署名は有効ですが、署名ドメイン(d= (DKIM-Signatureヘッダー内)が「From」アドレスのドメインと一致していません。DMARCでは、これらの一致が求められます。
推奨される修正方法:
d= ドメインを から ドメイン
DKIMとDMARCはどちらも電子メール認証の規格ですが、その目的は異なります:
DKIMは、メールサーバー上の秘密鍵を使用してメールにデジタル署名を行います。受信者は、送信者のDNSレコードに登録されている公開鍵を使用して、これらの署名を検証します。DKIMは、メッセージが承認されたメールサーバーから送信されたものであり、送信中に改ざんされていないことを証明します。
DMARC は、DKIM(または SPF)の検証に合格した場合と不合格の場合に、受信側がどのように対応すべきかを規定するポリシー標準です。DMARC では、DKIM 署名を信頼する前に、その署名が「From」ドメインと一致していることを確認する必要があります。
DKIM署名は、暗号学的に有効でなければなりません
署名ドメイン(d= (DKIM署名内)は、「From」アドレスのドメインと一致している必要があります
例 DKIMで署名された、以下の送信元からのメール mail.example.com 「From」アドレスが以下のいずれかである場合にのみ、DMARCのアライメントに合格します。 @example.com (完全一致) または @mail.example.com ~とともに aspf=r (リラックスモード)。
PowerDMARCのホスト型DMARCサービスは、リアルタイムの可視性を活用し、監視から「p=reject」の完全な適用に至るまで、安全に導きます。
ホスト型DMARC→
アドバンテージ、オークランド地域マネージャー
「当社の事業は、当社とクライアントの間だけでなく、パートナーとの間にも築かれた信頼に基づいています。PowerDMARCとの素晴らしいパートナーシップのおかげで、クライアントに卓越したサービスを提供することができています。」