ドメインで DKIM を有効にする

なりすましとフィッシングへの保護対策を行い、メールが迷惑メールに分類されないようにする

この記事の手順に沿って DKIM(DomainKeys Identified Mail)鍵を取得し、その鍵をドメイン プロバイダに追加して、ドメインで DKIM 認証を有効にします。

ドメイン プロバイダが Google Domains の場合、Google は DKIM 鍵を自動的に作成し、Google Workspace の設定時にその鍵をお客様のドメインの DNS レコードに追加します。管理コンソールで DKIM を有効にするに進んでください。

この記事の手順に沿って、ドメインの DKIM 鍵を常に設定することをおすすめします。独自の DKIM 鍵を設定しない場合、Gmail はデフォルトの DKIM 鍵(d=*.gappssmtp.com)を使用してすべての送信メールに署名します。Google 以外のサーバーから送信されたメールは、デフォルトの DKIM 鍵で署名されません。

手順 1: 管理コンソールで DKIM 鍵を取得する

この操作を行うには、特権管理者としてログインする必要があります。

重要: 組織で Gmail を有効にした後、24~72 時間ほど待ってから、管理コンソールで DKIM 鍵を取得してください。待機期間が終了する前に鍵を生成しようとすると、[DKIM レコードが作成されていません] というエラーが表示される場合があります。登録済みドメインで Gmail を有効にした後、DKIM レコードを作成できるようになるまでには、24~72 時間ほど待つ必要があります

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [Google Workspace] 次に [Gmail] にアクセスします。
  3. [メールの認証] をクリックします。
  4. [選択したドメイン] メニューで、DKIM の設定対象となるドメインを選択します。
  5. [新しいレコードを生成] ボタンをクリックします。
  6. [新しいレコードを生成] ボックスで DKIM 鍵の設定を選択します。
    設定 オプション
    DKIM 鍵のビット長を選択

    2048 - ドメイン プロバイダが 2,048 ビットの鍵に対応している場合は、このオプションを選択します。ビット長の長い鍵は短い鍵よりも安全です。以前に 1,024 ビットの鍵を使用していて、ドメイン プロバイダが 1,024 ビットと 2,048 ビットの両方に対応している場合は、2,048 ビットの鍵に切り替えることができます。詳しくは、DKIM 鍵と TXT レコードの制限についての記事をご確認ください。


    1024 - ドメインホストが 2,048 ビットの鍵に対応していない場合は、このオプションを選択します。
    プレフィックス セレクタ

    デフォルトのセレクタ プレフィックスは google です。デフォルトを使用することをおすすめします。

    プレフィックスが google の DKIM 鍵をドメインですでに使用している場合は、この欄に別のプレフィックスを入力してください。詳しくは、DKIM セレクタをご確認ください。

  7. [新しいレコードを生成] ボックスの下部にある [生成] をクリックします。設定ページで [TXT レコードの値] の下に表示されるテキスト文字列が新しい値に変更され、「DKIM 認証設定が更新されました」というメッセージが表示されます。
  8. [メールの認証] ウィンドウに表示されている DKIM 値をコピーします。この値は、続く手順でドメイン プロバイダに追加します。
      1. DNS ホストの名前(TXT レコード名)- このテキストは、ドメイン プロバイダの DNS レコードに追加する DKIM TXT レコードの名前です。この名前をホスト欄に入力します。
      2. TXT レコードの値 - このテキストは DKIM 鍵で、DKIM TXT レコードに追加するものです。この鍵を TXT 値欄に入力します。
         
         
         
         
         
         

次の手順では、ドメイン プロバイダにログインします。

手順 2: TXT レコード名と DKIM 鍵をドメインに追加する

ドメイン プロバイダにログインし、手順 1 で取得した DKIM 情報を追加します。

次のヒントを覚えておいてください。

  • TXT レコードの制限: ドメイン プロバイダによっては、TXT レコードの長さに制限が設けられています。該当する場合は、DKIM キーと TXT レコードの制限をご覧ください。
  • DKIM の開始に最長で 48 時間ほどかかることがある: DKIM 鍵を追加してから DKIM 認証が機能するようになるまでには、最長で 48 時間ほどかかることがあります。
  • 複数のドメイン: DKIM を複数のドメインに設定する場合は、ドメインごとに次の手順で操作します。ドメインごとに、管理コンソールで一意の DKIM 鍵を取得する必要があります。
  • サブドメイン: サブドメインに DKIM を設定する必要がある場合は、サブドメインの DKIM 鍵を追加するをご覧ください。
  • DKIM の長さタグ(l=)を使用しない: Google Workspace 以外のメールシステムに DKIM を設定する場合は、送信メッセージに DKIM の長さタグを使用しないでください。このタグを使用しているメッセージは不正使用に対して脆弱です。詳しくは、RFC 6376 のセクション 8.2 をご覧ください。

ドメインのログイン情報、設定、TXT レコードについては、ご利用のドメイン プロバイダにお問い合わせください。たとえば、Google Domains がドメイン プロバイダの場合は、こちらのヘルプをご覧ください。サードパーティのドメイン プロバイダに関しては、Google のテクニカル サポートの対象外です。

  1. ドメイン プロバイダの管理コンソールにログインします。
  2. ドメインの DNS 設定を更新するページに移動します。
  3. DKIM の TXT レコードを追加します。
    • 1 つ目の欄に、管理コンソールの [DNS ホストの名前(TXT レコード名)] に表示されている値を入力します。
    • 2 つ目の欄に、管理コンソールの [TXT レコードの値] に表示されている値(DKIM 鍵)を入力します。
  4. 変更を保存します。

管理コンソールに戻り、次の手順に進みます。

手順 3: DKIM 署名を有効にする

重要: DKIM 鍵を追加した後も、管理コンソールの [メールの認証] ページには引き続き [このドメインの DNS レコードを更新する必要があります] というメッセージが最長で 48 時間ほど表示されることがあります。ドメイン プロバイダで DKIM 鍵を正しく追加した場合は、このメッセージを無視してかまいません。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [Google Workspace] 次に [Gmail] にアクセスします。
  3. [メールの認証] をクリックします。
  4. [選択したドメイン] メニューで、DKIM を有効にするドメインを選択します。
  5. [認証を開始] ボタンをクリックします。DKIM の設定が完了して正しく機能すると、ページ上部のステータスが [DKIM でメールを認証] に変わります。

DKIM を無効にする

ドメインの DKIM を無効にすることはおすすめしていません。DKIM を使用しない場合、ハッカーなどの悪意のあるユーザーがドメインを偽装して、ご自身の組織またはドメインを発信元と見せかけたメールを送信できる状態となるためです。ドメインからのメールも迷惑メールに分類される可能性が高くなります。DKIM を無効にする場合は、DKIM を無効にするの手順を実施します。

手順 4: DKIM 認証が有効になっていることを確認する

  1. Gmail または Google Workspace を使用しているユーザーにメールを送信します(自分自身にテストメールを送っても DKIM が有効であることを確認することはできません)。
  2. 受信者の受信トレイで該当のメールを開き、メッセージ ヘッダー全体を確認します。

    注: メッセージ ヘッダーを表示する手順は、メール アプリケーションによって異なります。Gmail でメッセージ ヘッダーを表示するには、返信アイコンの横にあるその他アイコン  次に [メッセージのソースを表示] をクリックします。

  3. メッセージ ヘッダーで Authentication-Results の文字列を探します。受信メッセージ ヘッダーの形式は受信サービスによって異なりますが、DKIM の結果では DKIM=pass や DKIM=OK などのように表示されます。

メッセージ ヘッダーに DKIM に関する行が含まれていない場合、ドメインから送信されたメールは DKIM で署名されません。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
Google アプリ
メインメニュー