検索
検索をクリア
検索終了
Google アプリ
メインメニュー

DKIM を使用してメールを認証する

DKIM について

なりすましを防ぐために、送信メッセージのヘッダーに、DKIM 規格を使用してデジタル署名を追加できます。署名を追加するには、秘密ドメインキーを使用してドメインの送信メールのヘッダーを暗号化し、キーの公開版をドメインの DNS レコードに追加する必要があります。これで、受信サーバーが公開キーを取得して受信ヘッダーを復号化し、メールが本当にそのドメインからのものであること、途中で変更されていないことを確認できます。

G Suite のデジタル署名は DKIM(DomainKeys Identified Mail)標準に準拠しています。

DKIM の仕組み

送信メールにデジタル署名を追加するには、ドメインキーを生成します。G Suite では、このドメインキーを使ってドメイン固有の署名付きメールヘッダーを作成します。この公開キーをドメインのドメイン ネーム システム(DNS)レコードに追加すると、受信者は公開キーを取得して署名を確認することで、メールの送信元を確認できるようになります。

安全性の強化のため、生成できるドメインキーが 1,024 ビットから 2,048 ビットに拡張されました。ご利用のドメイン登録事業者で拡張版のキー長がサポートされている場合は、安全性の高い 2,048 ビットのキーの生成をおすすめします。

なお、以前に作成した 1,024 ビットのドメインキーも引き続きご利用いただけます。

手順の概要

G Suite アカウントに関連付けられているドメインごとに、次の手順を繰り返します。

  1. ドメインの公開ドメインキーを生成します。
  2. キーをドメインの DNS レコードに追加し、受信者がキーを取得して DKIM ヘッダーを読めるようにします。
  3. メールの署名を有効にして、送信メールへの DKIM ヘッダーの追加を開始します。

G Suite のお申し込み時に Google のドメイン ホスト パートナーからドメインを購入した場合は、最初の 2 つの手順をスキップしてください。認証を有効にしたときに自動的にドメインキーが生成され、DNS レコードにそのドメインキーが追加されます。

次へ: ドメインキーを生成する

ドメインの DKIM キーがすでにある場合

ドメインの DKIM ドメインキーをすでにお持ちの場合(従来のメールサーバーで送信メールに署名を付けている場合など)は、G Suite 用のキーを別に生成して使用する必要があります。G Suite のドメインキーは、セレクタ プレフィックスと呼ばれる文字列によって、他のキーと区別されます。G Suite ドメインキーのセレクタ プレフィックスは、既定では「google」ですが、キーの生成時に新しいセレクタ プレフィックスを入力することもできます。

DKIM チェックを通過しなかったメールの処理方法を DMARC で設定する

SPF レコードのチェックを通過しなかったメールの処理方法は、メール プロバイダが決定します。プロバイダの処理方法を制御するために、G Suite ドメインの DMARC(ドメインに基づくメッセージ認証、レポート送信、適合)を作成できます。DMARC で、何もしない、メールを検疫する、メールを拒否するのいずれかのポリシーを指定します。詳しくは、DMARC についてをご覧ください。

送信メールサーバーを使用する場合

組織が使用している送信メール ゲートウェイで送信メールに変更を加えている場合は(たとえばコンプライアンスに関するフッターの追加)、その変更によって DKIM 署名が無効になります。ゲートウェイ サーバーがメールに変更を加えないようにするか、ゲートウェイ サーバーによる変更後にメールに DKIM 署名を追加するように設定する必要があります。

Google が提供しているその他のなりすまし対策については、SPF レコードについてDMARC についてをご覧ください。
この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。
アカウントにログインする

ご利用の G Suite アカウントのメールアドレスでログインいただくと、アカウント専用のヘルプをご覧いただくことができ、G Suite を使い始める方法について知ることができます。