主なポイント
- Office 365のDKIMを有効にすると、メールのセキュリティと配信性が向上します。
- 複数のドメインでは、Microsoft 365 DefenderポータルでDKIMを手動で設定する必要があります。
- DKIMレコードを公開するには、DNS管理コンソールでCNAMEレコードを作成する必要があります。
- DKIMレコードの検証は、適切なメール認証を確保するために不可欠です。
- DKIMは、なりすましやフィッシングからドメインを保護し、業界規制へのコンプライアンスを向上させます。
DKIM for Office 365 は、DKIM (DomainKeys Identified Mail) 電子メール認証プロトコルの特定の実装であり、送信者のドメインの正当性を確認し、電子メールのコンテンツが転送中に変更されていないことを確認するために使用できます。DKIMを有効にすると、電子メールのセキュリティと電子メールの配信性を大幅に向上させることができます。
さらに DMARCと組み合わせることで、スパムフィルタにフラグを立てられたり拒否されたりすることなく、正当なメールが受信者の受信トレイに届く可能性が高まります。
それでは DKIM for Office 365 セットアップドメインのセキュリティと メール配信性を向上させる!
Office 365 DKIMセットアップの前提条件
注意Office 365 の DKIM は、セキュリティ更新に伴い、従来の Exchange Online ポータルではなく、Microsoft 365 Defender ポータルで構成されるようになりました。 セキュリティアップデートポータルから設定されるようになりました。
設定する前に を設定する前にを設定する前に、次のことを確認してください:
- 必要な管理者権限を持つMicrosoft 365管理センターへのアクセス。
- カスタムドメインのDNSレコードを更新する機能 DNSホスティングプロバイダを通じて
- 検証済みのカスタムドメインがOffice 365テナントに追加されました。
カスタムドメインのOffice 365用DKIMの設定方法
メールサービスプロバイダとしてOffice 365を使用している場合は、以下のポイントに留意してください:
- デフォルトのonmicrosoft.comドメインを使用してメールを送信する場合は、DKIMを手動で設定する必要はありません。
- 単一のカスタムEメールドメインの場合、マイクロソフトはデフォルトで2048ビットのキーでDKIMを自動的に有効にします。
- 手動でのDKIM設定は、Office 365に複数のカスタムドメインを登録している場合にのみ必要です。
以下の手順に従って、Office 365カスタムドメインのDKIMを設定します:
1.Microsoft Defenderポータルにログインする
- Defenderアカウントへのログインアカウント管理センターにログインします。ここで提供されるリンクを使用することができます。
- ポータルで、「ポリシー」をクリックします。ルール をクリックします。 電子メールとコラボレーション
- ポリシー ルールを選択します。 脅威ポリシー
2.DKIM DNSレコードを生成する
- DomainKeys Identified Mail (DKIM)を選択してDKIMタブを開きます。
- DKIMページで、DKIMを有効にしたいドメインを選択します(これは、送信メッセージの送信に使用するドメインです)。
- 有効化]ボタンをクリックして、DKIMの有効化プロセスを開始することができます。ダイアログボックスが表示され、以下のステータスが表示されます。キーを表示するには、DKIMキーの作成ボタンをクリックします:
PowerDMARCS DKIMジェネレーターを使用して DKIM レコードを作成することもできます。
3.CNAMEレコードをコピーしてDNSに追加する。
ポップアップで2つのCNAMEタイプのDKIMレコードが表示されます。以下を行う必要があります:
- 青い「コピー」ボタンをクリックして、各CNAMEレコードをクリップボードにコピーしてください。
- ドメインレジストラまたはホスティングプロバイダのコントロールパネルから、ドメインのDNS設定にこれらのCNAMEレコードを追加します:
- DNS管理コンソールにログインする。
- 新しいDNSレコードを追加するセクションを見つける。
- レコードタイプとしてCNAMEを選択する。
- コピーした値を該当するフィールドに正確に貼り付ける。
- 保存して変更を適用すると、レコードがアクティブになり、DKIM設定が正しく機能するようになります。
4.DefenderでDKIMを有効にする
DNS CNAMEレコードが伝搬された後(時間がかかる場合があります)、Microsoft Defenderポータルに戻ります。DKIM設定でカスタムドメインを見つけ、DKIM署名を有効にして、そのドメインのメール認証を有効にします。
トラブルシューティングDKIMが有効にならない?
MicrosoftのDefenderポータルでエラーが続き、DKIMをドメインで有効にできない場合、一般的な理由は以下のとおりです:
- DNSレコードがまだ完全に伝播していない可能性があります。
- CNAMEレコードに余分なスペースや不正な文字などのタイプミスや構文エラーがある可能性があります。
- DKIMセレクタが 正しくないか、マイクロソフトが期待するものと一致していない可能性がある。
問題を解決するために
- DKIMレコードルックアップツールを使用して、公開したレコードが有効でエラーがないことを確認する。
- 待つ、またはオンラインDNS伝播チェッカーを使用することで、DNSの変更が完全に伝播したことを確認する。
- CNAMEレコードの構文とセレクタの値が正確かダブルチェックしてください。
- 問題が解決しない場合は、DNSホスティングプロバイダーに連絡してください。
- 必要な場合は、マイクロソフトサポートにお問い合わせください。
Powershellを使ってOffice 365のDKIMを設定する方法
上級ユーザーや管理者のために、Exchange Online PowerShell は DKIM を含む電子メール設定を管理および構成するための強力なツールを提供します。PowerShellコマンドを使用することで、DKIM設定の自動化、カスタムドメインのDKIM署名の有効化または無効化、問題のトラブルシューティングを効率的に行うことができます。
特に複数のドメインで有効にしたい場合は、Powershell を使用して Office 365 の Exchange Online DKIM 設定を有効にできます。そのためには
1. Exchange オンラインに接続する
2.以下のスクリプトを実行して、Office 365 DKIMセレクタを抽出します:
3.Office 365から提供されたCNAMEレコードをDNSに追加する。
4.以下のコマンドを実行して、ドメインのDKIMを有効にする:
PowerDMARCでOffice 365のDKIMを正しい方法で設定しましょう!
DNSでOffice 365のDKIMレコードを公開する方法
- DNSプロバイダーの管理コンソールにログインする。
- DNSレコードセクションに移動する
- 新規CNAMEレコードの作成(レコードタイプ:CNAME)
- Defenderポータルで提供されているように、コピーしたホスト名と値を貼り付けます。
- TTLを3600に維持
- レコードの変更を保存して、Office 365のDKIM設定を完了します。DKIMの検証を有効にするには、24~48時間待ちます。
注意 DNSレコードの公開プロセスは、使用するDNSホスティングプロバイダーによって異なります。また、DNSのプロパゲーションがレコードをアクティブにするまでにかかる時間も、プロバイダによって異なります。主なプロバイダーのプロセスを以下に示します:
Office 365のDKIMを無効にするには?
Defenderポータルでワンクリックするだけで、Office 365のDKIMを無効にすることができます。ただし、DKIMをオフにすると、特にSPFチェックが失敗する可能性のあるメール転送のようなケースで、メールのセキュリティが弱まる可能性があることに留意してください。一般的には、DKIMを有効にしておくのがベストです。マイクロソフトも私たちも、より良いメール認証のためにこれを強く推奨しています。
DKIMを無効にするには、メールとコラボレーション > ポリシーとルール > 脅威ポリシー > DomainKeys Identified Mail (DKIM)に進みます。DKIMページで、"Enable "ボタンをオフに切り替えるだけで、プロトコルが無効になります。
注: DKIM認証は、SPFが失敗する可能性のあるメール転送のような特殊なケースにおいて、メッセージの認証に役立ちます。お客様のドメインでDKIMを有効にしておくことは、良いメールプラクティスと考えられており、マイクロソフトと弊社の両方が強く推奨しています。
最終的な感想
DKIMを正しく設定することは、メール通信の安全性を確保し、なりすましやフィッシング攻撃からドメインを保護するために不可欠です。DKIMの設定を定期的にチェックし更新することで、メール認証が強固で効果的なものになります。
このプロセスを簡素化し、メールセキュリティのトップを維持するために、DKIMの管理と監視を簡単かつ信頼性の高いものにする強力なプラットフォーム、PowerDMARCのご利用をご検討ください。DMARCの無料トライアルをご利用ください。
よくあるご質問
すべての Exchange Online ドメインで DKIM が有効になっていることを確認するにはどうすればよいですか?
すべての Exchange Online ドメインで DKIM が有効になっていることを確認するには、Microsoft Defender ポータルの [電子メールとコラボレーション] > [ポリシーとルール] > [脅威ポリシー] > [DKIM] を確認してください。各カスタムドメインで DKIM が有効になっていることを確認します。
Office 365でDKIMキーをローテーションするには?
Office 365でDKIMキーをローテーションするには、DNSで新しいキーの新しいCNAMEレコードを生成し、Microsoft Defenderポータルでそれらの新しいキーのDKIM署名を有効にする必要があります。このプロセスは、電子メールに署名する暗号キーを定期的に更新することで、セキュリティを向上させるのに役立ちます。
DKIMキーはどれくらいの頻度でローテーションすべきか?
DKIMキーのローテーションは1~2年ごとに行うことをお勧めします。定期的なローテーションは、強力なメールセキュリティを維持し、攻撃者が古いキーを悪用するのを防ぎます。
その他の関連記事
Microsoft Office 365 DMARCセットアップ
この記事がお役に立てば幸いです!メール認証やDMARCは初めてですか?無料の DMARCトライアルをお試しください。
- Office 365のDMARC:ステップバイステップのセットアップとベストプラクティス- 2025年7月11日
- Office 365 DKIMのセットアップ:有効化、検証、設定- 2025年7月10日
- SPF中立メカニズム(?いつ、どのように使うか- 2025年6月23日