DKIM(ドメインキー識別メールは、送信メールの真正性を検証するメール認証プロトコルです。DKIMのセットアップでは、メールサーバーが生成したプライベート暗号キーを使用し、メールのコンテンツ(暗号化されたハッシュ)に基づいてデジタル署名を作成します。この署名はメールヘッダに追加されます。お客様のドメインにDKIMを設定することで、受信サーバーはDNSで公開されている対応する公開鍵を使用して、受信したメールがお客様の認証済みメールサーバーから送信されたものであること、送信中に改ざんされたものでないこと、偽造されたものでないことを確認できます。
DKIMの適切な設定は、電子メールのセキュリティを向上させるために不可欠です。 メールセキュリティ配信性を高め、なりすまし攻撃を防ぐために不可欠です。そこで、このガイドでは、あなたのドメインにDKIMをステップバイステップで設定するための簡単なアクションプランをご紹介します。さっそく始めましょう!
主なポイント
- DKIMは、暗号署名(公開鍵/秘密鍵)を使用して電子メールの真正性と完全性を検証し、改ざんを防止します。
- 適切なDKIMコンフィギュレーションは、スパムフィルタリングを減らし、送信者のレピュテーションを高めることにより、電子メールの配信性を大幅に向上させます。
- DKIMを設定するには、キー・ペアを生成し、公開キーをDNSで公開し、秘密キーで電子メールに署名するようにメール・サーバーを設定する必要がある。
- DKIMをSPFおよびDMARCと組み合わせ、強力な(2048ビットの)セレクタを使用し、最大限の保護のために(複数のレコードを使用する可能性もあるが)定期的にキーをローテーションする。
- PowerDMARCのような自動化ツールやマネージドサービスは、DKIMのセットアップ、検証、継続的な管理を簡素化し、エラーや労力を削減します。
PowerDMARCでDKIMを簡素化!
DKIMの設定が不可欠な理由
メール到達率の向上
DKIMを設定することで、SPFやDMARCのようなプロトコルのサポートとともに、メール配信率を大幅に向上させることができ、Gmail、Outlook、Yahoo!
送信者の評判の向上
認証は、スパムとしてマークされる可能性を減らすことで、送信者の評判を維持・向上させる上で重要な役割を果たします。
電子メールの改ざん防止
DKIMは、送信中のメッセージの改ざんを防ぐのに役立ちます。つまり、攻撃者があなたの会話を盗聴し、悪意のあるコードを挿入しようとした場合、DKIMはそのメッセージを信頼できないものとして識別するのに役立ちます。暗号化署名は、メールの内容が送信者によって署名されてから変更されていないことを保証します。
受取人からの信頼の向上
DKIMと他のメール認証プロトコルを組み合わせることで、受信者の信頼を確立し、メールのエンゲージメント率と配信率を高めることができます。
メールセキュリティのベストプラクティスと要件の整合性
DKIMを実装することで、お客様のドメインはメールセキュリティの業界ベストプラクティスに合致し、特にSPFやDMARCと組み合わせることで、主要なメールボックスプロバイダーが設定する認証要件を満たすことができます。
DKIMセットアップ:ステップバイステップガイド
1.DKIMレコードを作成する
DKIMレコードを作成するには DKIMレコード生成ツール.このツールを使用すると、DKIM公開キーと秘密キーを含むDKIMキーペアを即座に生成できます。 より強固なセキュリティのために、2048ビットの長さのキーを生成することをお勧めします。
2.DNS管理コンソールにアクセスする
始めるには、ドメインネームシステムにアクセスする必要があります。DNSプロバイダーまたはホストに連絡して、このプロセスを手伝ってもらうことができます。
3.DNS設定にDKIMレコードを追加する
DKIM公開鍵を(通常はTXTまたはCNAMEレコードとして)DNS設定で、選択したセレクタ名(例 `s1._domainkey.yourdomain.com`)の下に公開します。変更を保存します。送信メッセージに署名するために、対応する秘密鍵を使用するようにメール送信サーバーを設定します。
4.DKIM設定の確認
DKIMレコードを設定し、DNS伝播のための時間(最大48時間かかる場合があります)を確保したら、当社の DKIMチェッカーツール.このツールは、あなたのレコードが有効で、エラーがなく、正しく設定されているかどうかを教えてくれます!
DKIMの設定と管理プロセスを自動化したいですか? ホストされたDKIM を無料でご利用いただけます!
一般的なメールサービスのDKIM設定
ビジネスメールや商用メールの送信にさまざまなメールサービスを利用している場合は、DKIMを設定する必要があります。これにより、お客様のメールベンダーがお客様の受信者にコンプライアンスに準拠したメールを送信していることが確認され、メールの配信性が向上します。
1.Google WorkspaceのDKIM設定
- DKIMバリデータツールを使用して、ドメインにDKIMが設定されているかどうかを確認してください。
- Google Workspaceを使用していない場合は、PowerDMARCのDKIM生成ツールを使用してレコードを作成することができます。
- Google Workspaceを使用している場合は、Google Admin Consoleにログインします。
- メニュー>アプリ>Googleワークスペース>Gmailと進みます。
- 電子メールの認証をクリック
- リストからドメインを選択し、Generate New Recordボタンをクリックしてレコード作成を開始します。Googleは通常、2048ビットのキーを提供します。
- 生成されたら、DNSホスト名(TXTレコード名)とTXTレコード値(公開鍵)をコピーする。
- DNS設定でTXTレコードを公開し、変更を保存します。DNSのプロパゲーションを待ちます。
- Google Admin Consoleに戻り、「認証を開始」をクリックします。
2.Microsoft Office 365のDKIMセットアップ
- 次へ メール認証設定で Defenderポータル.
- DKIMタブの DKIMタブで、設定するカスタムドメインを選択します(チェックボックス以外の行のどこかをクリックします)。
- 表示されたドメイン詳細のフライアウトで、ステータスを確認する。このドメインにはDKIMキーが保存されていません」と表示されている場合は、以下をクリックします。 DKIMキーを作成する.
- コピー CNAMEレコードの値をコピーする。2つのホスト名とそれに対応するpoints-toアドレスができます。
- ドメインレジストラのウェブサイトを開き、必要な以下の2つを作成する。 CNAMEレコード コピーされた値を使用する。例えば
- ホスト名:selector1._domainkey → 値:selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- ホスト名:selector2._domainkey → 値:selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- DNSが伝播するまで数分(またはそれ以上)待つ。
- Defenderポータルのドメイン詳細フライアウトに戻ります。トグル このドメインのメッセージをDKIM署名で署名するをEnabledに切り替えます(まだ有効になっていない場合)。CNAMEレコードが検出された場合、ステータスが更新されるはずです。
- 検証する:
- トグルは 有効。
- ステータスは このドメインのDKIM署名に署名しています。
- 最終チェック日は最近のチェックを反映しています。
3.GodaddyのDKIMセットアップ
GoDaddyのプロセスでは、ドメインのDNS設定にDKIMレコード(通常は、メールサービスプロバイダが提供するTXTレコードまたはCNAMEレコード、またはツールで生成されたレコード)を追加します。
- GoDaddyアカウントにログインします。
- Domain Portfolioページに移動し、ドメインを選択します。
- 左側のメニューからDNSを選択する。
- 新しいレコードを追加 "をクリックする。
- DKIMセットアップ手順で提供された詳細を入力します:
タイプ必要に応じてTXTまたはCNAMEを選択します。
名前提供されたホスト名/名前を入力します(例、 セレクタ._ドメインキー.GoDaddyは多くの場合、ドメイン名を自動的に追加します)。
値:DKIM公開鍵の値またはターゲットCNAMEの値を貼り付けます。
TTL:デフォルト(通常1時間)を使用するか、特定の指示に従う。
- 保存」をクリックします。DNSの伝播に時間をかけます。
4.CloudflareのDKIMセットアップ
GoDaddyと同様に、CloudflareでDKIMを設定するには、メールサービスまたはDKIM生成ツールが提供する特定のDNSレコードを追加します。
- Cloudflareにログインします。
- アカウントとドメインを選択します。
- DNS → レコードと進む。
- レコードの追加」をクリックします。
- DKIMレコードの詳細を入力します:
- タイプ必要に応じてTXTまたはCNAMEを選択します。
- 名前:ホスト名(例:`selector._domainkey`)を入力します。Cloudflareは自動的にドメインを追加します。
- コンテンツ/ターゲット:DKIM公開鍵の値(TXTの場合)またはターゲットホスト名(CNAMEの場合)を貼り付けます。
- TTL:通常はオートで問題ない。
- DKIMレコードのProxyステータスが「DNSのみ」(灰色の雲)に設定されていることを確認します。
- Saveをクリックし、DNSの伝播に時間をかける。
(注:元のCloudflareのセクションにはDMARCのセットアップが記載されていました。上記の手順はCloudflareのDKIMセットアップ用に修正されています)。
DKIMセレクタを識別する方法
ドメイン所有者からよく寄せられる質問に、「自分のDKIMセレクタはどうやって見つけるのですか」というものがあります。セレクタはメールヘッダに追加されるDKIM署名の一部で、DNSの特定の公開鍵レコードに対応しています。DKIMセレクタを見つけるには DKIMセレクタを見つけるにはを見つけるには
1) 設定したドメイン/サービスから、アクセス可能なアカウント(Gmailなど)にテストメールを送信する。
2) 受信トレイ(Gmailなど)でメールを開く。
3) 返信ボタンの横にある縦に3つ並んだ点(More options)をクリックします。
4) "Show original "を選択する。
5) "Original Message "ページで、`DKIM-Signature`ヘッダーを探す。このヘッダーの中で `s=` タグを探します。このタグに割り当てられた値がDKIMセレクタです(例えば、`s=s1`はセレクタが`s1`であることを意味します)。
手動DKIMセットアップの課題
DKIMを手動で設定するのは、複雑でエラーが起こりやすい。以下に主な課題を挙げます:
- 暗号鍵の生成、保管、ローテーションを手作業で行うには、セキュリティ・リスクを回避するための専門知識と慎重な取り扱いが必要である。
- DKIMレコードはDNS設定に正確に追加する必要があります。たった一つのタイプミスや不正なフォーマットが認証に失敗し、Eメールがスパムとしてマークされたり、拒否されたりする原因になります。
- 定期的な鍵のローテーションはセキュリティのために必要だが、手動更新は慎重に管理しないと、見落とされたり、不適切に実行されたり、ダウンタイムを引き起こしたりする可能性がある。
- 署名検証の失敗やDNS設定の問題など、DKIMの問題を診断することは、特に複数のメールプロバイダやサードパーティのサービスと連携している場合、困難で時間がかかることがあります。
- 手作業によるセットアップとメンテナンスは、多大な時間と技術的労力を必要とし、設定ミスのリスクと運用の非効率性を高める。
オートメーションの利点
- DKIM管理の自動化は、キー生成やDNS更新のような手動介入に煩わされることなく、DKIM設定の実装と監視をより迅速に行う方法です。
- 自動化されたソリューションは、記録の作成や設定における人為的ミスの可能性を最小限に抑えるため、より正確である。
- 使いやすさも、手作業や必要な技術的専門知識を減らしたい企業にとって、自動化ソリューションを魅力的な選択肢にしている要因のひとつだ。
- 自動化されたDKIM管理は、DKIMキーの定期的なローテーションを簡素化し、奨励することで、セキュリティを強化することができる。
PowerDMARCによるDKIMセットアップの簡素化
DKIMキーの自動生成
PowerDMARCの DKIM生成ツールは、安全な暗号DKIMキー(1024ビットと2048ビットをサポート)を自動的に生成し、手作業によるエラーのリスクを取り除きます。当社のホステッド DKIM サービスはさらにキー管理を自動化します。
簡易DNSレコード設定
ユーザーは、DNSのためにすぐに公開できるDKIMレコードを受け取ることができ、手動でTXTやCNAMEエントリを構築したり、トラブルシューティングしたりする必要がなくなります。ステップバイステップのガイダンスにより、迅速でエラーのない導入を保証します。
簡単なDKIM検証とモニタリング
当社のプラットフォームには、DKIMが正しく設定され、期待通りに機能していることを確認するためのリアルタイム検証用ツールが含まれています。PowerDMARCによって分析されたDMARCレポートは、DKIM認証結果に関する洞察を提供し、認証が失敗した場合にユーザーがアラートを受け取るのを助け、即座のトラブルシューティングを可能にします。
DKIMの一元管理
複数のDKIMキーとドメインを一元管理 ホスティングDKIMダッシュボードから複数のDKIMキーとドメインを管理し、キーのステータス、使用状況、ローテーション履歴を可視化します。
より強力なメール認証のためのDKIMベストプラクティス
以下のベストプラクティスは、DKIM認証をさらにレベルアップすることができます:
1.DKIMキーのローテーション
頻繁 DKIMキーのローテーションは、秘密鍵が漏洩した場合のリスクを最小化する。ベストプラクティスでは、6~12ヶ月ごと、あるいはそれ以上の頻度で鍵をローテーションすることを推奨しています。PowerDMARCのような自動化されたソリューションは、手動で操作することなく簡単にDKIMキーを管理することができます。複数のDKIMレコードを設定することで、鍵のローテーションをよりスムーズにし、古い鍵が破棄される前に新しい鍵を公開することもできます。
2.強力なDKIMセレクタとキー
ユニークで説明的なDKIMセレクタ(例:`selector1`、`google`、`sendgrid`)を使用することで、一般的なセレクタと比較して、整理とトラブルシューティングが改善されます。旧来の1024ビット標準よりも暗号セキュリティを強化するため、2048ビット鍵を使用することを強く推奨する。
3.DKIM認証の監視
DKIM認証結果を定期的に確認する DMARC集計レポートを使用して、認証の失敗やドメインの不正使用を検出する。監視ツールとDKIMバリデータを使用して、DKIM署名が正しく適用され、検証に合格していることを定期的に確認する。
4.DKIMをSPFおよびDMARCと組み合わせる
DKIMをSPF (Sender Policy Framework)やDMARC (Domain-based Message Authentication, Reporting, and Conformance)と共に使用することで、レイヤー化されたメールセキュリティが実現します。SPFは送信IPを検証し、DKIMはメッセージの完全性を検証し、DMARCはポリシーの実施と報告を行い、なりすましやフィッシングに対する包括的な保護を提供します。
よくあるDKIM問題のトラブルシューティング
- DNS伝播遅延:新しく公開または更新されたDKIMレコードは、次のように伝播するのに時間がかかる場合があります(数分から48時間)。 伝播グローバルDNSサーバーに伝搬するのに時間がかかることがあります。設定ミスと考える前に、十分に待ち、外部のDNSルックアップツールを使用してレコードの存在を確認することが重要です。
- DKIMレコードの設定が正しくない: セレクタ名のタイプミス、公開鍵の値の欠落文字、不正なレコードタイプ(TXT vs. CNAME)、または不正な書式のレコードは、失敗の原因となります。DNSで公開する前に、ホスト名と値を提供された指示と照らし合わせて慎重に再確認してください。
- DKIM 検証の失敗 (`dkim=fail`): DKIMの検証に失敗した場合、メールはスパムとしてマークされるか、拒否される可能性があります。考えられる原因としては、DNSの公開鍵が正しくない、送信サーバーの秘密鍵の不一致、仲介者によるメッセージの改ざん(DKIMはこれを検出するように設計されていますが)、受信者による厳しすぎる検証などがあります。メールソースのDKIM署名ヘッダーをチェックし、DNSの公開鍵が意図したものと一致することを確認し、DMARCレポートを分析して失敗パターンを調べます。
- サードパーティメール送信者の問題サードパーティプロバイダー(Mailchimp、SendGrid、Office 365など)を使用する場合は、そのプロバイダー固有のDKIMセットアップ手順に従ってください。プロバイダのドメインを指すCNAMEレコードを使用する必要がある場合もあれば、プロバイダが提供するキーまたはプロバイダが生成するキーでTXTレコードを発行できる場合もあります。プロバイダが送信ドメインのDKIMをサポートしていることを確認してください。
- セレクタの問題:DNSレコードで間違ったセレクタ名を使用すると(メールヘッダの`s=`タグと一致しない)、認証に失敗します。DNSで公開されているセレクタ名が、メールヘッダの送信サービスで使用されているセレクタ名と一致していることを確認してください。
DKIM設定に関するFAQ
1.DKIMが機能し始めるまでどのくらいかかりますか?
DKIM公開鍵レコードをDNSで公開した後、インターネットのDNSサーバーに伝播する必要があります。これは、数分から48時間かかることがありますが、多くの場合、はるかに速くなります。レコードが公開され、電子メールサーバーが電子メールに署名するように設定されると、設定された送信元から送信される後続の電子メールに対してDKIMが有効になります。
2.DKIMの設定が機能しているかどうかを確認するにはどうすればよいですか?
オンラインDKIMチェッカーツール(PowerDMARCのような)を使ってDNSで公開されているレコードを調べる、Gmailのようなサービスにテストメールを送り、「Original Message」ヘッダーの「Authentication-Results」ヘッダーに「dkim=pass」ステータスがあるか確認する、またはDMARC集計レポートを監視する、などです。
3.DKIM検証に失敗した場合はどうなりますか?
DKIM検証が失敗した場合(`dkim=fail`)、受信サーバーはメールをより疑わしいものとして扱うかもしれません。特にDMARCが`quarantine`または`reject`ポリシーで設定され、SPFも失敗する(または揃わない)場合はなおさらです。DKIMの失敗は、送信者のレピュテーションと配信性に悪影響を及ぼします。
4.同じドメインに複数のDKIMセレクタを使用できますか?
はい、同じドメインに対して複数のDKIMセレクタを使用することは可能であり、多くの場合使用すべきです。これは、異なるサービス(Google Workspace、Salesforce、マーケティングプラットフォームなど)を通してメールを送信する場合に必要です。また、キーのローテーションのベストプラクティスでもあり、古いセレクタを廃止する前に新しいセレクタで新しいキーを導入することができます。
5.DKIMの設定中に避けるべき一般的な間違いとは?
よくあるミスとしては、DNSレコードの構文エラー(タイプミス、余分なスペース、不正確な引用)、間違ったレコードタイプ(TXT対CNAME)の公開、DNSレコードと電子メール署名のセレクタの不一致、DNSレコードの公開後に電子メール送信プラットフォームでDKIM署名を有効にするのを忘れる、長い公開鍵の値の一部だけをコピーする、テストや結果を期待する前にDNSの伝播を十分に待たない、などがあります。利用可能な場合に2048ビットの鍵を使用しないことも、セキュリティ向上の機会を逃すことになる。
最終的な感想
DKIMは、お客様のドメインのメールセキュリティ体制を強化するための強力なビルディングブロックを形成します。暗号化検証を使用してメール通信の完全性を保証することで、ブランドの評判を害から守り、偽造された送信者情報に依存するなりすましやフィッシング攻撃からドメインを保護します。世界中で数百万もの無防備なドメインが存在し、メールボックスプロバイダからの監視の目が厳しくなっている今こそ、遅れをとることなくセキュリティを強化する時です。SPFやDMARCと並行してDKIMを正しく実装することで、より強固な認証への第一歩を踏み出しましょう。 無料トライアルを開始今すぐPowerDMARCの無料トライアルを開始し、プロセスを簡素化しましょう!
- 2025年、コールドメールはまだ有効か?アウトリーチとセキュリティのベストプラクティス- 2025年6月20日
- DMARC MSP ケーススタディ:PrimaryTechがPowerDMARCでクライアント・ドメイン・セキュリティを簡素化した方法- 2025年6月18日
- DMARCの誤検知:原因、対策、予防ガイド- 2025年6月13日