DKIMの設定方法:今日から実践できる明確な手順

by

最終更新日:
10 読了時間:10分
DKIMの設定方法:今日から実践できる明確な手順

主なポイント

  • DKIMは、メッセージの完全性を検証し、メッセージが認可されたサーバーから送信されたことを確認することで、電子メールを認証します。
  • DKIMの設定には、鍵ペアの生成、公開鍵をDNSレコードとして公開すること、およびメールプロバイダーで署名機能を有効化することが含まれます。
  • DKIMは、メールボックスプロバイダーがあなたのドメインを信頼するのを支援することで、配信率と送信者評価を向上させます。
  • 各メールサービスは独自のDKIM設定を必要とし、柔軟性と鍵のローテーションのために別々のセレクタを使用することが多い。
  • DKIMは、SPFと組み合わせ、DMARCを通じて強制し、定期的な監視と鍵のメンテナンスによってサポートされる場合に最も効果を発揮します。

メールがスパムフォルダに振り分けられたり、配信拒否される場合、ドメインが適切に認証されていない可能性があります。

この問題を解決するために最も重要な対策の一つがDKIMの設定です。これはメールが正当であり改ざんされていないことを証明するプロトコルです。

このガイドでは、ドメインのDKIM設定を段階的にご説明します。これにより送信者評価を保護し、メールの到達率を向上させることができます。

DKIMとは何ですか?

DKIM(ドメインキー識別メール)は、公開鍵暗号に基づくデジタル署名方式を用いてメールの送信元を検証する電子メール認証手法です。送信者が送信メッセージに署名するために使用する秘密鍵と、受信サーバーがそれらの署名を検証するために使用する公開鍵という、2つの暗号鍵を組み合わせることで機能します。

DKIMが有効化されたドメインから送信されるすべてのメールには、デジタル署名を含むDKIMヘッダーが添付されます。この署名は、基本的にセキュリティアルゴリズムを用いてメールの内容と秘密鍵を組み合わせて計算されたハッシュコードです。

対応する公開鍵は、DKIMレコードと呼ばれる公開DNSレコードに格納されます。メールが到着すると、受信サーバーはこのレコードを検索し、公開鍵を取得して署名の検証に使用します。メールのヘッダーや本文が送信中に何らかの形で改変されていた場合、検証は失敗します。

専門家のアドバイス: 企業環境では、変更を加える前に現在のメールインフラを文書化してください。これにはサードパーティ送信者、サブドメイン、および既存の認証レコードが含まれます。

なぜDKIMはあなたのドメインにとって不可欠なのか?

DKIMの設定はメール認証を強化し、受信者側の負担を増やすことなくセキュリティと確実なメッセージ配信の両方をサポートします。DKIM設定が重要な理由は以下の通りです:

  • ドメインなりすましの防止: DKIMは、送信されるすべてのメールをデジタル署名で認証することで、不正なドメインなりすましを防止します。これにより、攻撃者がスパムメールを送信することが大幅に困難になります。 スパムメールを送信することを大幅に困難にします 送信することを大幅に困難にします。
  • 送信者レピュテーションを保護します: 受信サーバーがメールの正当性と改ざんされていないことを確認できると、ドメインは時間をかけて信頼を築きます。これにより、ブランドと送信者レピュテーションが直接保護されます。
  • メール配信率を向上させます: DKIMはメールの配信率を大幅に向上させます。これを導入していない場合、DKIMおよびSPFチェックに失敗したメールは、受信メールサーバーによってスパムとしてマークされるか、まったく配信されません。
  • 電子メールの完全性を保証します: DKIMのデジタル署名により、メールが送信中に改変されていないことが保証されます。送信後にヘッダーや本文が変更された場合、検証は失敗します。受信者は、自分が受け取った内容が送信者が送ったものと完全に一致することを信頼できます。
  • DMARC準拠を可能にします: DKIMはDMARC準拠の必須要件です。これを導入しなければDMARCポリシーを適用できず、フィッシングやなりすまし攻撃に対してドメインが脆弱な状態となります。
  • メールセキュリティ全体を強化します: DKIM、および SPFおよびDMARCと組み合わせることで、攻撃者があなたのドメインを偽装することを大幅に困難にします。これら3つのプロトコルが一体となって、現代のメール認証の基盤を形成しています。

DKIMはどのように機能するのですか?

DKIMは技術的なプロセスですが、その核心となる考え方は単純です。メールプロバイダーが、メッセージが記載されたドメインから送信されたものであり、送信中に改変されていないことを検証できるようにします。その仕組みは以下の通りです。

  • 署名: 送信サーバーは秘密鍵を使用してデジタル署名を生成し、これをDKIM-Signatureヘッダーフィールドとしてメールに添付します。
  • 公開: ドメインの公開鍵はDNS TXTレコード(DKIMレコード)として公開されるため、受信サーバーはこれを参照できる。
  • 検証: 受信メールサーバーはDKIM DNSレコードを確認し、公開鍵を取得して、デジタル署名の検証に使用します。
  • 合格または不合格: 署名が一致した場合、メールは認証されます。メールのヘッダーや本文が送信中に変更された場合、検証は失敗し、メッセージはスパムとしてフラグ付けされるか拒否される可能性があります。

DKIM-Signatureヘッダーにはセレクターも含まれており、受信サーバーに検証に使用する公開鍵を正確に指示します。これは、ドメインが複数のDKIM鍵を使用する場合に特に重要です。

1万人以上の顧客がPowerDMARCのプラットフォームを信頼している理由はここにあります

  • AIを活用した脅威インテリジェンスにより、なりすまし攻撃や不正なメールが大幅に減少
  • オンボーディングの迅速化と認証管理の自動化により、ITチームの作業時間を大幅に削減
  • ドメインを横断したリアルタイムの脅威インテリジェンスとPGP暗号化レポート
  • 専門家の指導による厳格なDMARC適用により、メールの配信率が向上

最初の15日間は当社がご招待します

無料トライアルを開始

DKIM設定の前提条件

DKIMの設定プロセスを開始する前に、いくつかの準備が整っていることを確認する必要があります。いずれかの手順を省略すると、設定ミスや認証失敗の原因となるため、すべてが整っていることを確認する時間を取る価値があります。

  • ドメインのDNS設定への管理者アクセス: 公開用DKIMキーを公開するには、ドメインプロバイダーでTXTレコードを作成する必要があります
  • メールサービスプロバイダーへの管理者アクセス: Google Workspace、Microsoft 365、その他のプロバイダーのいずれを使用している場合でも、DKIM キーを生成または取得するには、スーパー管理者としてサインインしている必要があります。
  • 送信元ドメインとサービスの全リスト: 組織を代表してメール送信を許可されているすべてのドメインおよびサービス(サードパーティツールを含む)に対して、DKIMレコードを作成する必要があります。
  • DKIM鍵ペア: 主要プロバイダーは管理コンソールで自動生成できます。またはサードパーティのポータルから取得するか、 PowerDMARCのDKIMレコード生成ツール

これらすべてを確認したら、設定を進める準備が整います。

ドメインのDKIM設定方法(ステップバイステップ)

すべての準備が整いましたので、実際のDKIM設定手順を順を追って説明します。各ステップを注意深く実行し、DKIM設定が最初から正確かつ機能するようにしてください。

ステップ1: DKIMキーペアを生成する

メールサービスプロバイダーの管理コンソールにログインし、DKIMキーペアを生成してください。これにより、秘密鍵(プロバイダー側で保持されます)と、DNSに追加する公開鍵が得られます。

プロバイダーがサードパーティサービスである場合は、そのポータルにアクセスしてDKIMキーを取得してください。キーサイズを選択する際は、セキュリティ強化のため2048ビットを選択してください。

ステップ2: DNSでDKIM TXTレコードを作成する

Head to your domain provider’s DNS management panel and create a new TXT record. The record name follows a specific format: <selector>._domainkey.<yourdomain.com>, where the selector is a unique string used to identify the specific DKIM key.

レコード値は通常、以下のように始まります v=DKIM1; k=rsa; p= と記述され、その後に公開鍵が続きます。正確性を確保するため、メールプロバイダーおよびドメインホストから提供される具体的な指示に従ってください。

ステップ3: メールサービスプロバイダーでDKIM署名を有効にする

メールサービスプロバイダーの設定画面に戻り、DKIM署名を有効にしてください。これにより、プロバイダーはあなたのドメインから送信されるすべてのメールにDKIM署名を添付するようになります。

この手順を省略すると、DNSレコードが設定されていても、メールにDKIM-Signatureヘッダーが付与されません。

ステップ4: DNSの伝播を待つ

DKIMキーを追加した後、DKIM認証が機能し始めるまでに最大48時間かかる場合があります。

この間、DNSの変更はインターネット全体に伝播します。そのため、検証がすぐに通らなくても慌てないでください。

ステップ5: 追加サービスについても同様に繰り返す

複数のメールサービスを利用している場合は、各サービスごとに手順1~4を繰り返してください。すべての送信元が適切に認証されるよう、各サービスには固有のセレクタを持つ独自のDKIMレコードが必要です。

DKIM設定の確認方法

次に、すべてが正しく機能していることも確認する必要があります。レコードの設定ミスやTXTエントリの入力ミスは、認証を静かに破綻させる可能性があるため、メールが保護されていると仮定する前に設定を検証することが重要です。以下に、確認するための信頼できる方法をいくつか紹介します。

  • メールヘッダーを確認する: テストメールを送信し、メッセージヘッダーに DKIM-Signature フィールドと DKIM=PASS が認証結果に含まれているか確認してください
  • Gmailにテストメールを送信する: 受信したメールを開き、「元のメールを表示」をクリックし、認証詳細でDKIM通過ステータスを確認してください
  • オンライン検証ツールを使用する: MXToolboxなどのツールでは、ドメインとセレクタを入力してDKIMレコードを照会し、公開鍵が正しく公開されていることを確認できます
  • プロパゲーションに時間を要する場合があります: 検証に失敗した場合、DNS変更が完全に伝播するまで最大48時間かかる可能性があることを覚えておいてください。その後、さらにトラブルシューティングを行ってください。

主要メールプロバイダー向けDKIM設定

ビジネスメールや商用メールの送信に複数のメールサービスを利用している場合、各サービスごとにDKIMを設定する必要があります。

各プロバイダーは送信メッセージに独自のDKIMキーとセレクターで署名するため、DKIMを個別に設定することで、ドメインに代わって送信するすべてのサービスが適切に認証されることが保証されます。

1. Google Workspace 向け

Google Workspaceを利用する中小企業の場合、この設定には通常15~20分かかり、メールセキュリティのメリットを即座に提供します。

ソースグーグルサポート

  1. DKIMバリデータツールを使用して、ドメインにDKIMが設定されているかどうかを確認してください。 
  2. Google Workspaceを使用していない場合は、PowerDMARCのDKIM生成ツールを使用してレコードを作成することができます。 
  3. Google Workspaceを使用している場合は、Google Admin Consoleにログインします。 
  4. メニュー>アプリ>Googleワークスペース>Gmailと進みます。
  5. 電子メールの認証をクリック 
  6. リストからドメインを選択し、Generate New Recordボタンをクリックしてレコード作成を開始します。Googleは通常、2048ビットのキーを提供します。
  7. 生成されたら、DNSホスト名(TXTレコード名)とTXTレコード値(公開鍵)をコピーする。
  8. DNS設定でTXTレコードを公開し、変更を保存します。DNSのプロパゲーションを待ちます。
  9. Google Admin Consoleに戻り、「認証を開始」をクリックします。

2. Microsoft Office 365 の場合

Microsoft Office 365 は、各カスタム ドメインに対して 2 つの DKIM セレクターを使用します。これらのセレクターにより、Microsoft はメール配信を中断することなく DKIM キーを自動的にローテーションでき、セキュリティの向上とキー漏洩リスクの低減が図られます。DKIM 署名が期待通りに機能するためには、両方のセレクターが DNS に正しく公開されている必要があります。

Microsoft Office 365 で DKIM を設定するには、次の手順に従ってください:

  • 移動 メール認証設定 Microsoft Defender ポータルで。
  • DKIM DKIM タブで、設定したいカスタムドメインの行(チェックボックスを除く任意の場所)をクリックして選択します。
  • ドメイン詳細のフライアウトでステータスを確認してください。 「このドメインに保存されたDKIMキーはありません」と表示されている場合は、 DKIMキーを作成を選択してください。

Microsoftは2つのDKIMセレクターを生成し、必要なCNAMEレコード値を表示します。これらのレコードは、お客様のドメインをMicrosoftが管理するDKIMキーに指し示します。

  • 2つのホスト名とその対応するターゲット値をコピーしてください。
  • ドメイン登録業者のDNS管理インターフェースを開き、コピーした値を使用して必要なCNAMEレコードを作成してください。例:
    • ホスト名: selector1._domainkey → 値: selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com
    • ホスト名: selector2._domainkey → 値: selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com
  • レコードを保存し、DNSの伝播に時間を確保してください。DNSプロバイダーによっては、数分以上かかる場合があります。
  • 伝播が完了したら、Defender ポータルのドメイン詳細フライアウトに戻り、 このドメインのメッセージにDKIM署名を付与する有効に切り替えます。CNAMEレコードが正常に検出されると、ステータスが更新されます。
  • 設定を確認するには、以下を確認してください:
    • トグルは 有効に設定されています。
  • ステータスは このドメインのDKIM署名を署名中
  • The 最終確認日 は直近の検証日を示しています。

3. GoDaddyについて

GoDaddyのプロセスでは、ドメインのDNS設定にDKIMレコード(通常は、メールサービスプロバイダが提供するTXTレコードまたはCNAMEレコード、またはツールで生成されたレコード)を追加します。

  • GoDaddyアカウントにログインします。
  • Domain Portfolioページに移動し、ドメインを選択します。
  • 左側のメニューからDNSを選択する。
  • 新しいレコードを追加 "をクリックする。
  • DKIMセットアップ手順で提供された詳細を入力します:

タイプ必要に応じてTXTまたはCNAMEを選択します。

名前提供されたホスト名/名前を入力します(例、 セレクタ._ドメインキー.GoDaddyは多くの場合、ドメイン名を自動的に追加します)。

値:DKIM公開鍵の値またはターゲットCNAMEの値を貼り付けます。

TTL:デフォルト(通常1時間)を使用するか、特定の指示に従う。

  • 保存」をクリックします。DNSの伝播に時間をかけます。

4. Cloudflare向け 

GoDaddyと同様に、CloudflareでDKIMを設定するには、メールサービスまたはDKIM生成ツールが提供する特定のDNSレコードを追加します。

  • Cloudflareにログインします。
  • アカウントとドメインを選択します。
  • DNS → レコードと進む。
  • レコードの追加」をクリックします。
  • DKIMレコードの詳細を入力します:
    • タイプ必要に応じてTXTまたはCNAMEを選択します。
    • 名前:ホスト名(例:`selector._domainkey`)を入力します。Cloudflareは自動的にドメインを追加します。
    • コンテンツ/ターゲット:DKIM公開鍵の値(TXTの場合)またはターゲットホスト名(CNAMEの場合)を貼り付けます。
    • TTL:通常はオートで問題ない。
  • DKIMレコードのProxyステータスが「DNSのみ」(灰色の雲)に設定されていることを確認します。
  • Saveをクリックし、DNSの伝播に時間をかける。

DKIMのベストプラクティス

DKIMの導入は重要な第一歩ですが、長期的に適切に維持管理することが、ドメインの安全性とメールの受信箱への確実な到達を真に保証します。メール脅威は絶えず進化するため、DKIMの設定は単発の作業ではなく継続的なプロセスとして扱うべきです。以下のベストプラクティスに従い、常に一歩先を行きましょう:

  • 秘密鍵を絶対に共有したり公開したりしないでください: パスワードと同様に扱い、アクセスを許可すべきはメールサービスプロバイダーのみです。
  • 強力なDKIMキーと明確なセレクタを使用してください: より強力な暗号保護のため、常に2048ビット鍵を使用してください。説明的なセレクターはプロバイダー間で鍵を区別し、トラブルシューティングを簡素化します。
  • DKIM認証結果の監視: DMARC集計レポートを通じてDKIMの合格/不合格結果を確認し、署名エラー、DNS問題、または不正使用を早期に検出します。
  • DNSレコードをクリーンに保つ: 過去のローテーションや廃止されたサービスから古いDKIM TXTレコードを削除し、混乱や悪用を防ぐ。
専門家のアドバイス: 企業環境においては、定期的な監査、自動化された監視、および全メールサービスにおける鍵ローテーションの文書化された手順を含むDKIM鍵管理ポリシーを実施してください。

よくあるDKIM問題のトラブルシューティング

DKIMが設定されているにもかかわらず期待通りに機能しない場合、いくつかの一般的な問題が原因であることがほとんどです。このセクションでは、最も頻繁に発生するDKIMの問題とその解決方法について説明します。

問題原因ソリューション
DNS伝播遅延グローバルDNS更新のタイミング24~48時間待機し、外部DNSツールを使用してください
レコード設定が正しくない誤字、形式間違い、欠落文字ホスト名と値の構文を再確認してください
DKIM検証の失敗鍵の不一致、メッセージ改変公開鍵が秘密鍵と一致することを確認する
第三者の送信者に関する問題プロバイダー固有の設定が不足していますプロバイダーのDKIM手順に従ってください
セレクタの不一致DNSセレクタ ≠ メールヘッダーセレクタセレクタ名が完全に一致していることを確認してください

DKIMによる認証フレームワークの強化

DKIMは、ドメインのメールセキュリティ体制を強化するための重要な基盤技術です。暗号署名によるメール通信の完全性検証を通じて、ブランド評判を保護し、ドメインを なりすましやフィッシング 攻撃から守ります。

世界中に無防備なドメインが数百万存在し、メールボックスプロバイダーの監視が強化される中、DKIMを正しく設定する方法を知ることは不可欠です。SPFやDMARCと組み合わせることで、DKIMはより信頼性の高い保護を実現し、メール全体の信頼性を強化します。

PowerDMARCで無料トライアルを開始 PowerDMARCでDKIMの設定、監視、継続的な管理を簡素化しましょう。

よくあるご質問

1. メールにDKIMを設定するにはどうすればよいですか?

メールにDKIMを設定するには:

  • メールプロバイダーを通じてDKIMキーペアを生成する
  • 一意のセレクタ名を選択してください
  • 公開鍵をDNSのTXTレコードとして公開してください
  • メールサーバーでDKIM署名を有効にする
  • DKIM検証ツールを使用して設定をテストする

2. DKIMが正しく設定されているかどうかはどうすればわかりますか?

DKIMの設定は、オンライン検証ツールの使用、テストメールの送信とヘッダーの「dkim=pass」結果の確認、およびメールトラフィック全体のDKIM認証統計をDMARC集計レポートで監視することで検証できます。

3. DKIMレコードの例を挙げてください。

典型的なDKIM TXTレコードは次のようになります:「v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA…」ここで、v=DKIM1はバージョン、k=rsaは鍵タイプを指定し、p=にはBase64エンコードされた公開鍵が含まれます。

4. DKIMが機能し始めるまでどのくらいかかりますか?

DNSにDKIM公開鍵を公開した後、プロパゲーションには通常、DNSプロバイダーによって数分から最大48時間かかる場合があります。レコードが可視化され、メールサーバーでDKIM署名が有効化されると、新たに送信されるすべてのメールが署名され認証されます。

5. DKIMの設定が正常に機能しているかどうかを確認するにはどうすればよいですか?

DKIMの検証には、DNSレコードが正しく公開されていることを確認するルックアップツールを使用し、テストメールを送信してメッセージヘッダーに「dkim=pass」の結果が表示されることを確認します。また、DMARC集計レポートを活用することも可能です。これにより、単一のメッセージだけでなく、すべてのメールトラフィックにおけるDKIM認証結果の全体像を把握できます。

6. DKIM検証が失敗した場合、どうなりますか?

DKIM検証が失敗した場合、受信メールサーバーはメッセージを不審なものとして扱う可能性があります。スパムフィルタリングルールや DMARCポリシー 設定によっては、メールがスパムとしてマークされる、隔離される、または拒否される可能性があり、これにより配信率や送信者の評価に悪影響を及ぼすことがあります。