DKIMの設定方法：今日から実践できる明確な手順

DKIM（ドメインキー識別メール）は、送信メールの真正性を検証するメール認証プロトコルです。メールサーバーが生成した秘密鍵を用いてメールの内容に基づくデジタル署名を作成し、この署名をメッセージヘッダーに追加することで機能します。 受信サーバーは、ドメインのDNSに公開されている対応する公開鍵を使用して、メールが許可された送信サーバーから発信されたこと、送信中に改変されていないこと、偽造されていないことを確認します。

適切なDKIM設定は、メールセキュリティの向上、配信率の強化、なりすまし試行の削減に直接的に寄与します。本記事ではDKIMの設定手順を段階的に解説し、ドメインに正しくプロトコルを実装し、メールが最初から適切に認証されるよう支援します。

PowerDMARCでDKIMを簡素化！

DKIMがあなたのドメインにとって不可欠な理由

DKIMの設定はメール認証を強化し、受信者側の負担を増やすことなく、セキュリティと確実なメッセージ配信の両方をサポートします。

• DKIMは、メールボックスプロバイダーがメッセージの真正性を検証し、スパムフィルタリングを軽減するのを支援することで、メールの配信可能性を向上させます。
• 送信者の評価を高め、メールがフラグ付けされたりブロックされたりする可能性を低減します。
• DKIMは、メールの送信中に内容が改変されたかどうかを検出することで、メッセージの完全性を保護します。
• SPFおよびDMARCと組み合わせることで受信者の信頼を高め、一貫したエンゲージメントと受信トレイへの配信をサポートします。
• DKIMは、主要なメールボックスプロバイダーが実施する最新のメールセキュリティ要件に、お客様のドメインを適合させます。

DKIMの設定方法

DKIMの設定は、使用するプラットフォームに関わらず、おおむね同じ流れで進めます。メールプロバイダーやDNSホストによって具体的な手順やダッシュボードの見た目は多少異なる場合がありますが、ほとんどの場合、以下の主要なアクションに集約されます：DKIMキーの生成、DNSへの公開鍵の公開、メールサーバーでのDKIM署名の有効化、そしてすべてが正しく認証されているかどうかの確認です。

1. DKIMレコードを作成する

メールサービスプロバイダーまたはDKIM生成ツールを通じてDKIMレコードを生成してください。このプロセスでは、メールサーバー上に残る秘密鍵と、DNSのTXTレコードとして公開される公開鍵からなるDKIM鍵ペアが生成されます。より強固なセキュリティと長期的な保護のため、2048ビットのDKIM鍵の使用が推奨されます。

2. DNS管理コンソールにアクセスする

まず、ドメインネームシステム（DNS）へのアクセスが必要です。DNSの管理場所が不明な場合は、DNSプロバイダーまたはホスティング会社に問い合わせてください。 多くの場合、DNS設定はドメイン登録業者またはホスティングダッシュボードの「DNS管理」「DNSレコード」「ゾーンエディタ」といった項目で確認できます。DKIMレコードを追加する際は、メールプロバイダーが指定するドメインレベルで公開されていることを必ず確認してください。誤ったゾーンやサブドメインにレコードを配置すると、DKIMが正常に機能しなくなる可能性があります。

3. DNS設定にDKIMレコードを追加する

DKIM公開鍵を（通常はTXTまたはCNAMEレコードとして）DNS設定で、選択したセレクタ名（例 `s1._domainkey.yourdomain.com`）の下に公開します。変更を保存します。送信メッセージに署名するために、対応する秘密鍵を使用するようにメール送信サーバーを設定します。

4. DKIM設定の確認

DKIMレコードを設定し、DNS伝播のための時間（最大48時間かかる場合があります）を確保したら、当社の DKIMチェッカーツール.このツールは、あなたのレコードが有効で、エラーがなく、正しく設定されているかどうかを教えてくれます！

DKIMの設定と管理プロセスを自動化したいですか？ ホストされたDKIM を無料でご利用いただけます！

主要メールサービス向けDKIMの設定

ビジネスメールや商用メールの送信に複数のメールサービスを利用している場合、各サービスごとにDKIMを設定する必要があります。各プロバイダーは送信メッセージに独自のDKIMキーとセレクターで署名するため、個別にDKIMを設定することで、自社ドメインを代行して送信するすべてのサービスが適切に認証されるようになります。これにより認証の抜け穴を防ぎ、メール配信率を全体的に向上させ、すべてのベンダーが受信者に対して準拠した信頼性の高いメールを送信することを保証します。

1. Google Workspace 向け

ソースグーグルサポート

1. DKIMバリデータツールを使用して、ドメインにDKIMが設定されているかどうかを確認してください。 
2. Google Workspace を使用していない場合は、PowerDMARC のDKIM ジェネレータツールを使用してレコードを作成できます。 
3. Google Workspaceを使用している場合は、Google Admin Consoleにログインします。 
4. メニュー＞アプリ＞Googleワークスペース＞Gmailと進みます。
5. 電子メールの認証をクリック 
6. リストからドメインを選択し、Generate New Recordボタンをクリックしてレコード作成を開始します。Googleは通常、2048ビットのキーを提供します。
7. 生成されたら、DNSホスト名（TXTレコード名）とTXTレコード値（公開鍵）をコピーする。
8. DNS設定でTXTレコードを公開し、変更を保存します。DNSのプロパゲーションを待ちます。
9. Google Admin Consoleに戻り、「認証を開始」をクリックします。

2. Microsoft Office 365 の場合

Microsoft Office 365 は、各カスタム ドメインに対して 2 つの DKIM セレクターを使用します。これらのセレクターにより、Microsoft はメール配信を中断することなくDKIM キーを自動的にローテーションでき、セキュリティの向上とキー漏洩リスクの低減が図られます。DKIM 署名が期待通りに機能するには、両方のセレクターが DNS に正しく公開されている必要があります。

Microsoft Office 365 で DKIM を設定するには、次の手順に従ってください:

• 移動 メール認証設定 Microsoft Defender ポータルで。
• DKIM DKIM タブで、設定したいカスタムドメインの行（チェックボックスを除く任意の場所）をクリックして選択します。
• ドメイン詳細のフライアウトでステータスを確認してください。 「このドメインに保存されたDKIMキーはありません」と表示されている場合は、 DKIMキーを作成を選択してください。

Microsoftは2つのDKIMセレクターを生成し、必要なCNAMEレコード値を表示します。これらのレコードは、お客様のドメインをMicrosoftが管理するDKIMキーに指し示します。

• 2つのホスト名とその対応するターゲット値をコピーしてください。
• ドメイン登録業者のDNS管理インターフェースを開き、コピーした値を使用して必要なCNAMEレコードを作成してください。例：
  • ホスト名: selector1._domainkey → 値: selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com
  • ホスト名: selector2._domainkey → 値: selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com
• レコードを保存し、DNSの伝播に時間を確保してください。DNSプロバイダーによっては、数分以上かかる場合があります。
• 伝播が完了したら、Defender ポータルのドメイン詳細フライアウトに戻り、 このドメインのメッセージにDKIM署名を付与する を 有効に切り替えます。CNAMEレコードが正常に検出されると、ステータスが更新されます。
• 設定を確認するには、以下を確認してください：
  • トグルは 有効に設定されています。
• ステータスは このドメインのDKIM署名を署名中。
• The 最終確認日 は直近の検証日を示しています。

3. GoDaddyについて

GoDaddyのプロセスでは、ドメインのDNS設定にDKIMレコード（通常は、メールサービスプロバイダが提供するTXTレコードまたはCNAMEレコード、またはツールで生成されたレコード）を追加します。

• GoDaddyアカウントにログインします。
• Domain Portfolioページに移動し、ドメインを選択します。
• 左側のメニューからDNSを選択する。
• 新しいレコードを追加 "をクリックする。
• DKIMセットアップ手順で提供された詳細を入力します：

タイプ必要に応じてTXTまたはCNAMEを選択します。

名前提供されたホスト名/名前を入力します（例、 セレクタ._ドメインキー.GoDaddyは多くの場合、ドメイン名を自動的に追加します)。

値：DKIM公開鍵の値またはターゲットCNAMEの値を貼り付けます。

TTL：デフォルト（通常1時間）を使用するか、特定の指示に従う。

• 保存」をクリックします。DNSの伝播に時間をかけます。

4. Cloudflare向け 

GoDaddyと同様に、CloudflareでDKIMを設定するには、メールサービスまたはDKIM生成ツールが提供する特定のDNSレコードを追加します。

• Cloudflareにログインします。
• アカウントとドメインを選択します。
• DNS → レコードと進む。
• レコードの追加」をクリックします。
• DKIMレコードの詳細を入力します：
  • タイプ必要に応じてTXTまたはCNAMEを選択します。
  • 名前：ホスト名（例：`selector._domainkey`）を入力します。Cloudflareは自動的にドメインを追加します。
  • コンテンツ/ターゲット：DKIM公開鍵の値(TXTの場合)またはターゲットホスト名(CNAMEの場合)を貼り付けます。
  • TTL：通常はオートで問題ない。
• DKIMレコードのProxyステータスが「DNSのみ」（灰色の雲）に設定されていることを確認します。
• Saveをクリックし、DNSの伝播に時間をかける。

DKIMセレクタの特定方法

ドメイン所有者からよく寄せられる質問の一つが「DKIMセレクタをどのように見つければよいですか？」です。セレクタはメールヘッダーに追加されるDKIM署名の一部であり、DNS内の特定の公開鍵レコードに対応します。DKIMセレクタを見つけるには DKIMセレクタを見つけるには 方法：

1) 設定したドメイン/サービスから、アクセス可能なアカウント（Gmailなど）にテストメールを送信する。

2) 受信トレイ（Gmailなど）でメールを開く。

3) 返信ボタンの横にある縦に3つ並んだ点（More options）をクリックします。

4) "Show original "を選択する。

5) "Original Message "ページで、`DKIM-Signature`ヘッダーを探す。このヘッダーの中で `s=` タグを探します。このタグに割り当てられた値がDKIMセレクタです（例えば、`s=s1`はセレクタが`s1`であることを意味します）。

より強力なメール認証のためのDKIMベストプラクティス

DKIMを設定した後、その管理と維持の方法が、長期にわたる有効性を決定します。メールの正しい署名に加え、DKIMは長期的な信頼性、セキュリティ、および他の認証プロトコルとの整合性を確保することも目的としています。堅牢なDKIMの実践は、設定ミスによるリスクを低減し、配信率の安定性を向上させ、進化するメールボックスプロバイダーの要件や脅威パターンへの対応を容易にします。

以下が最も重要なDKIMのベストプラクティスです：

• DKIMキーを定期的にローテーションする：定期的なキーローテーションは、侵害された秘密鍵の影響を軽減し、長期的な露出を制限します。ローテーションの自動化や複数のセレクタの使用により、このプロセスはより安全かつ管理しやすくなります。
• 強力なDKIMキーと明確なセレクタを使用してください: より強力な暗号保護のため、常に2048ビット鍵を使用してください。説明的なセレクターはプロバイダー間で鍵を区別し、トラブルシューティングを簡素化します。
• DKIM認証結果の監視: DMARC集計レポートを通じてDKIMの合格/不合格結果を確認し、署名エラー、DNS問題、または不正使用を早期に検出します。
• DKIMをSPFおよびDMARCと組み合わせる：DKIMはSPFと連携し、DMARCポリシーを通じて強制される場合に最も効果を発揮し、なりすましやフィッシング攻撃に対する多層的な保護を実現します。

このアプローチにより、DKIMは信頼性と拡張性を維持し、現代の電子メールセキュリティに対する期待に沿った状態を保ちます。

よくあるDKIM問題のトラブルシューティング

• DNS伝播遅延: 新しく公開または更新されたDKIMレコードは、 されるまでに時間がかかる場合があります（数分から48時間）。設定エラーを想定する前に、十分な時間を待ち、外部のDNSルックアップツールを使用してレコードの存在を確認することが重要です。
• DKIMレコード設定の不備: セレクター名の誤字、公開鍵値の文字欠落、レコードタイプの誤り（TXTとCNAMEの混同）、または不正なフォーマットのレコードは失敗の原因となります。DNSに公開する前に、提供された指示と照らし合わせてホスト名と値を慎重に再確認してください。
• DKIM検証失敗（`dkim=fail`）： DKIM検証に失敗した場合、メールはスパムとしてマークされるか拒否される可能性があります。考えられる原因には、DNS上の公開鍵の不正確さ、送信サーバーでの秘密鍵の不一致、中継者によるメッセージ改変（DKIMはこれを検出するよう設計されていますが）、または受信側の過度に厳格な検証が含まれます。メールソースのDKIM署名ヘッダーを確認し、DNS上の公開鍵が意図したものと一致することを確認し、DMARCレポートを分析して失敗パターンを特定してください。
• サードパーティメール送信サービスに関する問題: サードパーティプロバイダー（Mailchimp、SendGrid、Office 365など）を利用する際は、各プロバイダー固有のDKIM設定手順に従ってください。CNAMEレコードを自社ドメインからプロバイダーのドメインへ指す設定が必要な場合もあれば、プロバイダーが提供するキーまたは自身で生成したキーを用いたTXTレコードの公開が可能な場合もあります。送信ドメインに対してDKIMをサポートしていることをプロバイダーに確認してください。
• セレクターの問題: DNSレコードで誤ったセレクター名を使用すると（メールヘッダーの`s=`タグと一致しない場合）、認証に失敗します。DNSに公開されているセレクター名が、送信サービスがメールヘッダーで使用しているものと一致していることを確認してください。

DKIMによる認証フレームワークの強化

DKIMは、ドメインのメールセキュリティ体制を強化する上で強力な基盤となります。暗号検証によるメール通信の完全性を保証することで、ブランド評判を保護し、偽装送信者情報を利用したなりすましやフィッシング攻撃からドメインを守ります。 世界中に無防備なドメインが数百万存在し、メールボックスプロバイダーの監視が強化される中、DKIMを正しく設定する方法を理解することは、より強力な認証に向けた重要な一歩です。SPFやDMARCと併用することで、DKIMはより信頼性の高い保護と優れたメール信頼性を提供します。 PowerDMARCで無料トライアルを開始 PowerDMARCでDKIMの設定、監視、継続的な管理を簡素化しましょう。

よくあるご質問

DKIMが機能し始めるまでどのくらいかかりますか？

DNSにDKIM公開鍵を公開した後、プロパゲーションには通常、DNSプロバイダーによって数分から最大48時間かかる場合があります。レコードが可視化され、メールサーバーでDKIM署名が有効化されると、新たに送信されるすべてのメールが署名され認証されます。

DKIMの設定が正常に機能しているかどうかを確認するにはどうすればよいですか？

DKIMの検証には、DKIMルックアップツールを使用してDNSレコードが正しく公開されていることを確認した後、テストメールを送信し、メッセージヘッダーでdkim=passの結果を確認する方法があります。また、DMARC集計レポートを活用することも可能です。これは単一のメッセージだけでなく、すべてのメールトラフィックにおけるDKIM認証結果の全体像を把握できます。

DKIM検証が失敗した場合、どうなりますか？ 

DKIM検証が失敗した場合、受信メールサーバーは当該メッセージを不審なものとみなす可能性があります。スパムフィルタリングルールやDMARCポリシー設定によっては、メールがスパムとしてマークされる、隔離される、または拒否されることがあり、これにより配信率や送信者評価に悪影響を及ぼす可能性があります。

同一ドメインに対して複数のDKIMセレクターを使用できますか？

はい。複数のDKIMセレクターは、異なるサービス経由でメールを送信する場合や鍵のローテーション時に一般的に使用されます。各セレクターは異なる鍵に対応しており、プロバイダーがメールを独立して署名できるようにするとともに、メール配信を中断することなくスムーズな鍵の移行を可能にします。

DKIM設定時に避けるべきよくある間違いは何ですか？

よくあるミスには、DNS構文エラー、誤ったレコードタイプの公開、セレクタの不一致、送信プラットフォームでのDKIM署名の有効化漏れ、不完全な公開鍵、DNS伝播完了前のテストなどが含まれます。2048ビット鍵の代わりに弱い鍵長を使用することもセキュリティを低下させる可能性があります。

"`

• について
• 最新記事

Ahona Rudra

ドメインとメールセキュリティのエキスパートPowerDMARC

AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。

最新記事 by Ahona Rudra(全て見る)

• CSA、サイバー・エッセンシャルズ認証にDMARCを必須化 - 2026年2月10日
• MSPと企業向け実践的DMARC導入ガイド：多くの解説書が触れないポイント - 2026年2月9日
• PowerDMARC、Elastic SIEMとの連携を開始 - 2026年2月5日