管理者は、DKIM(DKIM 署名)を設定してメールを認証し、なりすましからドメインを保護できます。
DKIM を使用していない場合、組織またはドメインから送信されたメールは、受信メールサーバーによって迷惑メールに分類される可能性が高くなります。
目次
- DKIM はどのように機能するのですか?
- 送信メール ゲートウェイを使用する場合
- 手順 1: DKIM がすでに設定されているかどうかを確認する
- 手順 2: DKIM 鍵ペアを生成する
- 手順 3: DKIM 鍵をドメインに追加する
- 手順 4: DKIM を有効にして確認する
- 次のステップ
- 関連トピック
DKIM はどのように機能するのですか?
DKIM を設定するには、ドメインの DKIM 鍵のペアを生成します。
- DKIM 用にドメインの DNS TXT レコードに保存されている公開鍵。これは、ドメインに追加するキーです。
- メールサーバーにアップロードされている秘密鍵。この鍵により、すべての送信メールに DKIM 署名が生成され、追加されます。
| 秘密鍵を持つ送信者のメールサーバー。 | |
| 送信者の DKIM TXT レコード(公開鍵を含む)。 | |
| 送信者の秘密鍵により、送信メールのヘッダーに DKIM 署名が追加されます。 | |
| メールが受信者のドメインに送信されます。 | |
| 受信者のメールサーバーは DKIM TXT レコードから公開鍵を取得し、その鍵を使用して DKIM 署名を読み取り、メールを認証します。 | |
送信メール ゲートウェイを使用する場合
送信ゲートウェイは送信メールに変更を加えるように設定できます。たとえば、送信ゲートウェイによっては、すべての送信メールの下部にフッターを追加するようになっています。そうした設定ではメールの送信後に内容が変更されるため、メールは DKIM 認証に失敗します。
次のことを行って、送信ゲートウェイの設定が DKIM に干渉しないようにします。DKIM を設定する前に、送信メールが変更されないようにゲートウェイを設定するか、メールの内容が変更されるようにゲートウェイを設定します。送信メールを処理するために送信ゲートウェイを設定するをご確認ください。
手順 1: DKIM がすでに設定されているかどうかを確認する
この確認方法は、Google Workspace を使用しているかどうかによって異なります。
- Google Workspace を使用している場合は、このセクションの手順に沿って操作してください。
- Google Workspace を使用していない場合は、メールまたは ISP(メールを送信するドメインが ISP である場合)にお問い合わせください。独自のメールを使用している場合は、インターネットで利用可能なツールのいずれかを使用します。
-
- Google 管理者ツールボックスにアクセスします。
- [ドメイン名] 欄にドメイン名を入力します。
注: DKIM 鍵を一意に識別する DKIM プレフィックス セレクタを入力することが必要になる場合があります。デフォルトは google です。
- [チェックを実行] をクリックします。
- テストが終わったら、次のいずれかのメッセージを確認します。
- DKIM 認証の DNS 設定: ドメインとセレクタに対して DKIM 鍵が設定されています。 DMARC も設定することをおすすめします。
- DKIM が設定されていません: 入力したプレフィックス セレクタを持つ DKIM 鍵はドメインに設定されていません。指定されたセレクタを使用して新しい鍵を設定してくださいDKIM 鍵ペアを生成するに進みます。
手順 2: DKIM 鍵ペアを生成する
- Google Workspace を使用している場合は、このセクションの手順に沿って操作してください。
- Google Workspace を使用していない場合は、インターネットから入手できるツールを使用して、次の操作を行います。
- DKIM プレフィックス セレクタを確認します。受信トレイにテストメールを送信し、メールのソースを表示して、DKIM-Signature ヘッダーの s の値を確認します。
- ドメイン名、鍵長、DKIM プレフィックス セレクタを指定して、DKIM 鍵ペアを生成します。
- 秘密鍵をメールサーバーの構成に保存し、公開鍵をドメインに追加します。
Generate a DKIM key for your domain
この操作を行うには、特権管理者としてログインする必要があります。
重要: Google Workspace では、組織で Gmail を有効にした後、24~72 時間ほど待ってから、管理コンソールで DKIM 鍵を取得してください。この時間より前に鍵を生成しようとすると、DKIM レコードが作成されていないというエラーが表示されることがあります。
-
-
管理コンソールで、メニュー アイコン
[アプリ]
[Google Workspace]
- [メールの認証] をクリックします。
- [選択したドメイン] メニューで、DKIM の設定対象となるドメインを選択します。
- [新しいレコードを生成] ボタンをクリックします。
- [新しいレコードを生成] ボックスで DKIM 鍵の設定を選択します。
- DKIM 鍵のビット長のオプション:
- 2048 - ドメイン プロバイダが 2,048 ビットの鍵に対応している場合は、このオプションを選択します。ビット長の長い鍵は短い鍵よりも安全です。以前に 1,024 ビットの鍵を使用していて、ドメイン プロバイダが 1,024 ビットと 2,048 ビットの両方に対応している場合は、2,048 ビットの鍵に切り替えることができます。
- 1024 - ドメインホストが 2,048 ビットの鍵に対応していない場合は、このオプションを選択します。
- プレフィックス セレクタのオプション:
- デフォルトのプレフィックス セレクタは google です。Google Workspace をご利用の場合は、この方法をおすすめします。
- プレフィックスが google の DKIM 鍵をドメインですでに使用している場合は、この欄に別のプレフィックスを入力してください。詳しくは、DKIM セレクタをご確認ください。
- DKIM 鍵のビット長のオプション:
- [生成] をクリックします。 [メールの認証] ページで [TXT レコードの値] が更新され、「DKIM 認証設定が更新されました」というメッセージが表示されます。
重要: DKIM 鍵を追加した後も、Google 管理コンソールのメールの認証ページには引き続き [このドメインの DNS レコードを更新する必要があります] というメッセージが最長で 48 時間ほど表示されることがあります。ドメイン プロバイダで DKIM 鍵を正しく追加した場合は、このメッセージを無視してかまいません。
- [メールの認証] ウィンドウに表示されている DKIM 値をコピーします。この値は、続く手順でドメイン プロバイダに追加します。
DNS ホストの名前(TXT レコード名)- このテキストは、ドメイン プロバイダの DNS レコードに追加する DKIM TXT レコードの名前です。この名前をホスト欄に入力します。 TXT レコードの値 - このテキストは DKIM 鍵で、DKIM TXT レコードに追加するものです。この鍵を TXT 値欄に入力します。
手順 3: DKIM 鍵をドメインに追加する
DKIM 鍵ペアを生成したら、DKIM TXT レコードを作成して、公開 DKIM 鍵をドメインに追加します。
ドメインのログイン情報、設定、TXT レコードについては、ご利用のドメイン プロバイダにお問い合わせください。サードパーティのドメイン プロバイダに関しては、Google のテクニカル サポートの対象外です。
Add DKIM domain key to domain DNS records
Google 管理コンソールから DKIM 鍵をドメイン プロバイダの DNS レコードに追加します。
- ドメインホスト(通常はドメイン名の販売元)にログインします。ドメインホストがわからない場合は、ドメイン登録事業者を特定するをご覧ください。
- ドメインの DNS TXT レコードを更新するページに移動します。このページを見つける方法については、ドメインのドキュメントをご確認ください。
-
次の情報を含めて TXT レコードを追加または更新します(使用するドメインのドキュメントを参照)。
注: 一部のドメイン プロバイダでは、TXT レコードの長さが制限されています。該当する場合は、ドメイン プロバイダの TXT レコードの文字数制限を確認するをご確認ください。フィールド名 入力する値 Type レコードタイプは TXT です。 Host ドメイン(またはサブドメイン)は、名前、ホスト名、エイリアスとも呼ばれます。ホストが TXT レコードを追加するドメインと同じドメイン(サブドメインではない)の場合は、「@」記号を指定します。 Value TXT レコードを構成する文字列:
- SPF の場合は、SPF レコードを準備するをご覧ください。
- DKIM の場合は、DKIM 鍵ペアを生成するをご覧ください。
- DMARC の場合は、DMARC レコードを準備するをご覧ください。
- BIMI の場合は、BIMI TXT レコードを追加するをご覧ください。
TTL(SPF と BIMI のみ) 有効期間(TTL)の値は、レコードの変更が反映されるまでの秒数を指定します。
この値は 1 時間または 3600 秒に設定できます。
このフィールドの値を変更することをドメインが許可していない場合は、現在の値を使用します。
- 変更を保存します。
- サブドメインを使用している場合は、ドメイン プロバイダに問い合わせて、サブドメインの TXT レコードを追加する方法をご確認ください。
- DKIM を複数のドメインに設定する場合は、ドメインごとに次の手順を完了してください。ドメインごとに、管理コンソールで一意の DKIM 鍵を取得する必要があります。
DKIM 鍵を追加してから DKIM 認証が機能するようになるまでには、最長で 48 時間ほどかかることがあります。
手順 4: DKIM を有効にして確認する
- Google Workspace を使用している場合は、このセクションの手順に沿って操作してください。
- Google Workspace を使用していない場合は、インターネットで入手できるツールのいずれかを使用します。
ドメイン プロバイダで DKIM 鍵を追加したら、Google 管理コンソールで DKIM 署名を有効にします。
-
-
管理コンソールで、メニュー アイコン
- [メールの認証] をクリックします。
- [選択したドメイン] メニューで、DKIM を有効にするドメインを選択します。
- [認証を開始] をクリックします。DKIM の設定が完了して正しく機能すると、ページ上部のステータスが [DKIM でメールを認証しています。] に変わります。
- Gmail または Google Workspace を使用しているユーザーにメールを送信します(自分自身にテストメールを送っても DKIM が有効であることを確認することはできません)。
- 受信者の受信トレイで該当のメールを開き、メッセージ ヘッダー全体を確認します。
注: メッセージ ヘッダーを表示する手順は、メール アプリケーションによって異なります。Gmail でメッセージ ヘッダーを表示するには、返信アイコンの横にあるその他アイコン
- メッセージ ヘッダーで Authentication-Results の文字列を探します。受信メッセージ ヘッダーの形式は受信サービスによって異なりますが、DKIM の結果では DKIM=pass や DKIM=pass などのように表示されます。
メッセージ ヘッダーに DKIM に関する行が含まれていない場合、ドメインから送信されたメールは DKIM で署名されません。
- この記事に記載された手順をすべて完了したことを確認してください。
- DKIM に関する問題のトラブルシューティングをご確認ください。
次のステップ
- 組織に対して DMARC 認証も設定することをおすすめします。
- DKIM が機能しているかどうか、またはドメインからのメールが迷惑メールに分類されるかどうかがわからない場合は、DKIM に関する問題のトラブルシューティングをご確認ください。
- 必要に応じて、BIMI を設定して、送信メールに組織のロゴを追加することも検討してください。
関連トピック
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
