DKIMの失敗を修正する方法

メールのDKIMに失敗すると、ドメインのレピュテーションが損なわれ、メール配信に影響を与える可能性があります。この簡単なステップバイステップのチュートリアルで、すべてのDKIMエラーを修正しましょう。

目次

• DKIMの失敗は何を意味するのか？
• DKIMが失敗するとどうなるのか？
• PowerDMARCでDKIMの失敗を簡素化！
• 異なるDKIM認証失敗の結果
• DKIMエラーの修正方法と再発防止策
• メール転送がDKIMおよびSPFに与える影響
• DKIMに関するよくある質問

DKIMの失敗は受信サーバーにメールの信頼性のある認証ができないことを伝えるため、受信トレイへの配信を妨げます。 「DKIM認証に失敗しました」や 「dkim=fail」といったエラーや、 「550 DKIM 検証失敗」 といったエラーが発生する場合、通常は次の3つの原因に帰着します：DNSにDKIMキーが存在しない、または不正な形式である、署名後にメッセージが改変された（転送、ゲートウェイ、フッター）、またはDKIM署名ドメインと表示ドメインが一致しない From ドメインと一致しない場合です。

このガイドでは、DKIMの失敗が何を意味するのか、メールヘッダーとDNSチェックを用いた段階的なトラブルシューティング方法、適切なベンダー設定とDMARCレポートによる再発防止策について説明します。

DKIMの失敗は何を意味するのか？

DKIM（DomainKeys Identified Mail）の失敗は、受信メールサーバーがメッセージのDKIM署名を検証できない場合に発生します。具体的には、サーバーはDKIM-Signatureヘッダーを確認し、セレクター（s=タグ）を使用してDNSから送信者の公開鍵を取得し、署名が署名対象（ヘッダーと本文のハッシュ）と一致するかどうかを検証します。 一致すればメッセージはDKIMを通過し、一致しなければDKIMは失敗します。

DKIMの失敗とは、DKIM署名ヘッダーとFromヘッダーに指定されたドメインの不一致、および鍵ペア値間の不整合により、DKIM認証チェックが失敗した状態を指します。

DKIMが失敗するとどうなるのか？

DKIMが失敗した場合、メール配信への影響は受信側のフィルタリングポリシーと、ドメインでDMARCが適用されているかどうかに依存します。

ほとんどの場合、DKIMの失敗は即時ブロックを引き起こすよりも、スパムリスクを高めます。受信サーバーは署名されていない、または検証不可能なメッセージを信頼度が低いものと扱い、特に失敗が継続的に発生する場合、それらをスパムフォルダに振り分ける可能性があります。

通常、DKIMの失敗が他の認証失敗と組み合わさった場合にのみ拒否が発生します。DKIMとSPFの両方が失敗し、かつドメインのDMARCポリシーが検疫または拒否に設定されている場合、メッセージはDMARCに失敗し、スロットリング、検疫、または「550 DKIM検証に失敗しました」などのエラーでバウンスされる可能性があります。

DMARCが結果を変える方法

DMARCはDKIM単独とは異なる方法で認証を評価します。DMARCを通過するには、メールは1つの整合した認証方法のみを必要とします：

• SPFは通過し、整合する → DKIMが失敗してもDMARCは通過する
• DKIMは通過し、整合する → SPFが失敗してもDMARCは合格する
• 両方とも失敗するか、一致しない →DMARCは失敗し、アクションはポリシーに依存する

これは、DKIMの失敗が自動的に配信を妨げるわけではないが、繰り返しの失敗は送信者の評価を低下させ、重要な認証保護層を無効化することを意味します。

DKIMが失敗する一般的な理由

1.DKIMレコードの構文に誤りがある

信頼できる DKIMレコード生成ツールを使用せず を使用せず、代わりに手動でドメインのレコードを作成すると、設定エラーが頻繁に発生します。 DKIM DNSレコードの構文上の問題（タグの欠落、引用符の不備、値の切り詰め、余分なスペースなど）は、受信サーバーがDKIM署名を検証できなくなる原因となり、DKIM認証の失敗を招きます。

 2.DKIM アライメント不良のチェック

もしあなたが DMARC が設定されている場合、 DKIMチェックでは、メールヘッダーのDKIM署名にあるd=フィールドのドメイン値が、Fromアドレスに記載されたドメインと一致する必要があります。この一致は厳密な一致（両ドメインが完全に一致すること）か、組織単位レベルでの一致を許容する緩やかな一致のいずれかです。 

DKIM署名のヘッダードメインがFromヘッダーに記載されたドメインと一致しない場合、DKIMの失敗が発生する可能性があります。これはドメイン偽装やなりすまし攻撃の典型的な事例となる可能性があります。 

3.サードパーティのメールベンダーにDKIMを設定していない

もし、あなたの組織でメール送信を代行するために、複数のサードパーティーメールベンダーを使用している場合は、送信メールのDKIMを有効にする方法について、彼らと連絡を取る必要があります。このサードパーティサービスに登録された独自のカスタムドメインやサブドメインを使用してお客様にメールを送信する場合は、必ず次のことを行ってください。 DKIMを代行するようベンダーに依頼する.

理想的には、メールの外部委託を支援するサードパーティベンダーが、DKIMレコードを公開することでドメインを設定します を使用して DKIMセレクター を使用し、貴社側で介入する必要なく設定すべきです。

または 

DKIMキーペアを生成し、秘密鍵をメールベンダーに渡し、公開鍵を公開することができます。 自分のDNSで.

設定ミスはDKIMの失敗につながる可能性があるため、サービスプロバイダーとはDKIM設定について率直にコミュニケーションを取る必要があります。 DKIM設定について、サービスプロバイダーと率直にコミュニケーションを取る必要があります。 

注: 一部のサードパーティ製メールサーバーは、メッセージ本文に書式付きフッターを挿入することがあります。これらのサーバーがメール転送プロセスにおける中継サーバーである場合、付加されたフッターがDKIM検証失敗の一因となる可能性があります。 

4.サーバー通信の問題

特定の状況では、メールがDKIMが無効化されたサーバーから送信される場合があります。そのような場合、そのメールに対してDKIMは失敗します。 たとえ自組織内の他のサーバーが正しく設定されていても、 通信当事者がDKIMを適切に有効化していることを確認することが重要です。 

5.メール転送エージェント(MTA)によるメッセージ本文の修正

SPFとは異なり、DKIMはメッセージの真正性を検証する際に、送信者のIPアドレスやリターンパスを検証しません。その代わり、メッセージの内容が転送中に改ざんされていないことを保証します。時々、参加するMTAやメール転送エージェントは、行のラップやコンテンツのフォーマット中にメッセージのボディを変更することがあり、DKIMの失敗につながることがあります。 

メールの内容をフォーマットするのは、通常、受信者それぞれが理解しやすいように自動化されたプロセスです。 

6.DNSの停止／DNSのダウンタイム

これはDKIM失敗の一般的な理由である。DNSの停止は、サービス拒否攻撃を含むさまざまな理由で発生する可能性があります。ネームサーバーの定期的なメンテナンスも、DNS停止時間の背景にある可能性があります。この（通常は短い）期間中、受信者サーバーはDNSクエリを実行できません。 

DKIMはTXT/CNAMEレコードとしてDNSに存在することが分かっているので、クライアント・サーバーは認証時に送信者のDNSに公開鍵を問い合わせるルックアップを実行します。停電時には、これは不可能と判断されるため、DKIMを破壊する可能性があります。 

7.OpenDKIMを使用する

オープンソースのDKIM実装として知られる OpenDKIM は、Gmail、Outlook、Yahooなどのメールボックスプロバイダーで一般的に使用されています。OpenDKIMは検証時にポート8891を介してサーバーと接続します。場合によっては、誤った権限設定が原因でエラーが発生し、サーバーがソケットにバインドできなくなることがあります。 

ディレクトリをチェックして、パーミッションを正しく有効にしているか、あるいは、ソケット用のディレクトリが設定されているかどうかを確認します。 

よくあるDKIMエラーメッセージとその意味

特定のDKIMエラーメッセージを理解することで、認証問題を迅速に特定し解決できます。以下に最も一般的なDKIM失敗メッセージとその意味を示します：

1.認証結果：dkim=neutral (不正なフォーマット)

DKIMレコードの自動生成された改行は、エラーメッセージ: dkim=neutral (bad format)を表示することがあります。メール検証ツールが検証中に改行されたリソースレコードをリンクすると、間違った値が生成されます。可能な解決策は、DNSの255文字の制限内に収まるように、1024ビットのDKIMキー（2048ビットとは対照的）を使用することです。 

2.認証結果：dkim=fail (不正な署名)

A DKIM認証が失敗しました この結果は、第三者によるメッセージ本文の内容変更が原因で発生する可能性があります。これにより、DKIM署名ヘッダーがメール本文と一致しなくなるためです。 

3.認証結果：dkim=fail (DKIM署名のボディハッシュが検証されていない)

「DKIM署名本文ハッシュが検証されませんでした」または「DKIM署名本文ハッシュの検証に失敗しました」は、DKIM本文ハッシュ値（bh=タグ）が送信中に何らかの形で改変されたことを示す同一のエラーに対して受信サーバーが返す二つの代替結果です。 DKIM鍵ペアが正しく設定され、DNS上に有効な公開鍵が公開されている場合でも、ハッシュ値へのわずかな変更（スペースや特殊文字の挿入など）によって本文ハッシュ検証が失敗し、DKIMが通過できなくなる可能性があります。

The bh= タグの値は、以下の理由により変更される可能性があります： 

• メールの内容を変更する役割を担う中間サーバ 
• メールサービスプロバイダーによるメールフッターの追加  

4.認証結果：dkim=fail (署名用鍵がない)

このエラーは、DNSの公開鍵が無効であるか、または見つからないことが原因である可能性があります。DKIMの公開鍵と秘密鍵の両方が一致し、正しく設定されていることを確認することが重要です。あなたのDKIM DNSレコードが公開され、有効であることを確認しましたか？当社の無料DKIMレコードチェッカーを使用して、今すぐ確認してください。

DKIMエラーの修正方法と再発防止策

上記のすべての問題を解決することは不可能です。なぜなら、それらをすべて回避することはできないからです。ただし、DKIMが失敗する可能性を最小限に抑えるために活用できる有用なヒントをいくつかまとめました。 

• DKIMレコードを正しく生成して公開してください。 信頼できる DKIMレコード生成ツール を使用し、値をコピー＆ペーストして構文エラーやキーの切り捨てを回避してください。
  
• DNSでDKIMレコードを検証してください。 DKIMレコードチェッカーを使用して、欠落したセレクター、フォーマットの問題、DNS伝播の問題を確認してください。
  
• SPFとDMARCをDKIMと併用してください。 DMARCは、SPFまたはDKIMのいずれかが通過した場合に通過する かつ整合性が取れている場合。これにより、いずれかの認証方法が失敗した際の誤った拒否を減らすことができます。
  
• 有効にする DMARCレポート. レポートでは、どの送信元がDKIMに失敗しているか、またその頻度が表示されるため、推測ではなく特定のストリームを修正できます。
  
• サードパーティ送信者を監査する。 自社ドメインを使用して送信するすべてのベンダーが、DKIMで署名するよう正しく設定され、差出人ドメインと一致していることを確認する。
  
• 認証パフォーマンスを継続的に監視する。 DKIM失敗の傾向を時間軸で追跡するには、 DMARCリーダー ダッシュボードでDKIM失敗の傾向を追跡し、受信トレイ到達率が低下する前に急増を検知する。
  
• 障害が継続する場合はエスカレーションする。 DNSおよびベンダーチェック後もDKIMが失敗し続ける場合、 PowerDMARCの専門家サポートを導入し PowerDMARCの専門家サポートに連絡し、署名処理・ルーティング・中間メール処理を確認してください。

一般的なDKIM失敗プロンプトとその 原因について 原因について説明しています。 解決策 解決策を提示しています。 ただし、本記事で扱っていない、お客様のドメインやサーバー固有の様々な根本的な理由によりエラーが発生する可能性があります。 

認証プロトコルを導入したり、ポリシーを実施したりする前に、十分な知識を蓄えておく必要があります。DKIMに失敗したり、SPFやDMARCの認証に失敗したりすると、メール配信に影響を与える可能性があります。  

メール転送がDKIMおよびSPFに与える影響

メール転送は、メッセージが最終的な受信者に届く前に1つ以上の中継サーバーを経由するため、認証を妨げることが多い。

転送メールでSPFが失敗する理由

SPFは、送信元IPアドレスがエンベロープ送信者（Return-Path）のドメイン宛てにメールを送信する権限があるかどうかを検証します。メールが自動転送された場合、転送サーバーが表向きの送信元IPとなります。そのサーバーが元の送信者のSPFレコードに記載されていない場合、SPFは失敗します。

注: SPFは転送元の送信IPに対して評価され、元の送信元サーバーに対しては評価されません。そのため、元の設定が正しくても、転送されたメールはしばしばSPFに失敗します。

DKIMは転送時にどうなるのか

DKIMは、メッセージが署名後に変更されない場合にのみ転送に耐えられます。実際には、多くの転送サービスやセキュリティゲートウェイが、フッターや免責事項の追加、コンテンツの書き換えなどによってメールを変更します。わずかな変更でもDKIM署名を無効化し、DKIM認証の失敗を引き起こす可能性があります。

転送に関連する認証失敗を減らす方法

• 送信メールにDKIM署名をつける。 DKIMは、転送中のメール内容が改変されていない場合に、転送メールの認証成功率を高めます。
  
• 転送システムではSRS（送信者書き換え方式）を使用してください。SRSはエンベロープ送信者を書き換えるため、転送後もSPFが正しく検証できます。
  
• SPFレコードへの転送サーバーの追加は避けてください。この方法は維持が困難であり、SPFルックアップの制限につながる可能性があります。
  

DKIMなしで転送関連のSPF問題を修正する方法

DKIMとSPFを併せて設定することは推奨される手法ですが、必須ではありません。

• DKIMを設定したくない場合は DKIMを設定したくない 設定したくない場合、それでも 転送によるSPF失敗を減らしたい場合 を減らしたい場合は、転送システム上でSRS（送信者書き換え方式）または適切なリダイレクト方法を使用してください。SRSはエンベロープ送信者（Return-Path）を書き換えるため、転送後もSPFが正しく検証されます。
• それ以外の場合、転送インフラを管理しており、固定の送信サーバーを使用しているなら、それらの送信元IPアドレスをSPFレコードで認証できます。この方法は維持が難しく、SPFルックアップの制限に抵触する可能性があるため、管理された環境でのみ使用するのが最適です。

DKIMが依然として重要な理由

DKIMは、受信サーバーに対して次の2点を証明する電子メール認証方式です：

1. そのメッセージは、ドメインの署名権限を持つサーバーによって送信されました。
2. メッセージの署名部分は転送中に変更されなかった。

これは重要な点です。受信箱プロバイダーは認証シグナルを用いてメールの信頼性を判断するためです。DKIMが繰り返し失敗すると、重要な信頼シグナルを失うことになり、特にDMARCが適用されている場合には、スパムフォルダへの振り分け、送信制限、またはバウンスの原因となる可能性があります。

本日DKIMの失敗を修正する場合、「一度通過した」だけで終わらせないでください。すべての送信元（サードパーティプラットフォームを含む）が一貫して署名していることを確認し、DMARCレポートを通じて失敗を監視し、問題が再発しないようにしてください。

よくあるご質問

1. DKIMとは何か、そしてなぜ設定するのか？

DKIM (DomainKeys Identified Mail) は、送信メールに暗号署名を付加するメール認証方式です。受信サーバーは、ドメインのDNSに公開されている公開鍵を用いて署名を検証します。署名が検証された場合、メッセージが署名後に改変されていないこと、およびメールがドメインの正当なDKIM署名設定を通じて送信されたことを示します。

DKIM自体はスパムフィルターではありませんが、SPFやDMARCと併用される重要な信頼性シグナルであり、なりすましを削減し配信率を向上させる役割を果たします。

2. どの送信者がDKIMに失敗しているのか？

失敗は、次のような送信者に典型的である：

• プロトコルの設定が適切でない
• サポートされていないメールプロバイダに2048ビットキーを使用する
• 電子メールの転送中に、第三者によって電子メールの内容が改ざんされた場合。

3. DKIMが通過しない場合、DMARCは通過できますか？

はい、そのメールがSPFを通過している場合に限り可能です。DMARCを設定し、メールが両方の SPFとDKIMの両方の メカニズムの両方に対してメールを整合させた場合、DMARCを通過するにはいずれか一方のチェック（SPFまたはDKIM）を通過すれば十分です。ただし、 DMARC整合性が がDKIM認証のみに依存している場合、DMARCは失敗し、その結果DKIMも失敗します。

4. なぜ私のメッセージはDKIMの失敗によりブロックされるのですか？

DKIMが失敗した場合、受信サーバーが厳格な認証ポリシーを採用している場合や、DMARCポリシーが「reject」に設定されており、かつDKIMとSPFの両方が整合性チェックに失敗した場合、メッセージがブロックされる可能性があります。

5. メールヘッダーでDKIMを確認するにはどうすればよいですか？

メールヘッダー内の「DKIM-Signature」フィールドを探し、「Authentication-Results」フィールドでDKIMステータスを確認してください。ほとんどのメールクライアントでは、「ソースを表示」または「オリジナルを表示」を選択することでメールヘッダーを確認できます。

6. SPFが通過した場合、DKIMは失敗する可能性がありますか？

はい、DKIMとSPFは独立した認証方式です。DKIMは署名の問題で失敗する可能性がありますが、SPFはIP認証に基づいて通過します。このため、両方のプロトコルを実装することで、メールセキュリティのカバー範囲が向上します。

• について
• 最新記事

マイサム・アル・ラワティ

サイバーセキュリティ専門家PowerDMARC

マイサムは技術起業家であり、サイバーセキュリティの専門家であり、15年以上の業界経験を持つPowerDMARCのCEO兼創設者である。Maithamはマンチェスター大学でグローバルMBAを取得し、CISSP、CISM、CRISC、ISC2 CCSPなど様々な専門資格を持つ。

最新記事 by Maitham Al Lawati(全て見る)

• フィッシングメールとDMARC統計：2026年メールセキュリティ動向 - 2026年1月6日
• 2026年に「SPFレコードが見つかりません」を修正する方法 - 2026年1月3日
• SPF パーエラー：DNS ルックアップが多すぎる場合の修正方法 - 2025年12月24日