Defaults.Exposed › 修正 › DKIM

DKIM の直し方

DKIMは、あなたの会社が送るすべてのメールに付く、目に見えない改ざん防止の封印です。これにより受信側のメールプロバイダーは、そのメールが本当にあなたから来て、途中で変えられていないことを確認できます。これがないと、あなたのメールは偽造されやすく、改ざんされやすく、迷惑メールに振り分けられたり拒否されたりする可能性がぐっと高まります。

あなたのビジネスにとっての結論： DKIMがないと、あなたが送るメールは途中で改ざんされうるうえ、犯罪者になりすまされやすく、迷惑メールに振り分けられたり丸ごと拒否されたりしやすくなります。失ったことにすら気づかない形で、商談・支払い・信頼が静かに奪われていきます。

これで失いかねないもの

• あなたがメールで送った請求書が途中で傍受され、顧客に届く前に振込先が書き換えられます。メールは依然としてあなたから来たように見え、顧客は犯罪者に支払い、発覚すれば責められるのはあなたです。
• 本物の見積書・契約書・請求書が顧客の迷惑メールフォルダに落ち続けます。連絡が途絶えたか他社を選んだのだろうと思い込みますが、相手はそもそもあなたのメールを見ていなかっただけです。
• 大口顧客のセキュリティ・調達チームが契約前にあなたのドメインを手早く調べ、DKIMがないのを見て、商談を数週間先送りにするか、合格した競合を静かに選びます。
• 犯罪者があなたの顧客に向けて、説得力のある偽メールを『あなたの会社から』送ります。どのメールが本当にあなたのものか証明するものがないため、偽物が本物と同じくらい信じられてしまい、あなたの名前が傷つきます。
• 大手のメールボックスプロバイダーや銀行は、署名のないメールをますます疑わしいものとして扱います。時間とともに、日常の業務メールがより多く抑制・迷惑メール化・バウンスされ、アウトリーチがじわじわ機能しなくなります。

なぜ重要か。 メールは送信者を証明するようには作られておらず、送信者の偽造は極めて簡単です。DKIMは、受信側のプロバイダーが自動で照合する暗号署名を加え、メッセージが本当にあなたのドメインから来て途中で変えられていないことを確認します。これは最新のすべてのメールプロバイダーが見る3つのうちのひとつで、あなたのメールが信頼されるか迷惑メール化されるかに直接影響し、しかも修正は無料です。

これは何か、平易に言うと

あなたの会社が送るすべてのメールは、受信トレイに届くまでにいくつもの手を経由します。メール自体には、本当に誰が送ったのか、途中で誰かが変えていないかを証明するものがありません。『差出人』の行は、誰でも入力できるただのテキストです。

DKIMはそれを解決します。あなたの会社が送る各メールに、目に見えない改ざん防止の封印を付けます。メールが届くと、受信側のプロバイダーは、あなたがドメインに公開したキーと照らして封印を確認します。一致すれば、そのメールは確かにあなたのドメインから来て、途中で1文字も変えられていないとプロバイダーは確信できます。一致しなければ（偽造または改ざんされたため）、封印は失敗し、プロバイダーはそのメールを疑って扱います。

これらは手作業で管理するものではありません。一度有効にすれば、署名と検査がすべてのメールで永久に自動で行われます。DKIMの狙いは、本物のメールを証明可能に本物にすることです。そうすれば信頼され、偽物が際立ちます。

これが招きうる損失

抽象的な話ではありません。DKIMの封印がない・弱いことが、中小企業にとって実際にどう見えるかを示します。

• 改ざんされた請求書。 顧客に請求書をメールで送ります。あなたのサーバーと相手のサーバーの間のどこかで、攻撃者がそれを傍受し、振込先を自分のものにすり替えます。メールは依然としてあなたから来たように見え、顧客は支払う—犯罪者の口座へ。DKIMがなければ、改ざんを示すものは何もありません。あれば、その静かな改変が封印を破り、検知されます。
• 迷惑メールで死んだ商談。 見積書・提案書・フォローアップが顧客の迷惑メールフォルダに滑り込み続けます。返事がなく、興味がなかったのだと思い込みます。実際には、署名のないメールは強い迷惑メールのシグナルで、あなたの本物の業務メールが見られなかっただけなのです。
• 失われた契約。 大口顧客の調達・セキュリティチームが契約前にあなたのドメインを審査します。DKIMがないのを見て危険信号とみなし、修正の間に数週間商談を遅らせるか、メールセキュリティが整った供給者を静かに選びます。
• あなたの名前が顧客に向けて使われる。 詐欺師が説得力のあるメールを『あなたの会社から』顧客層に一斉送信します。どのメッセージが本当にあなたのものか証明するものがないため、偽物が本物と同じくらい正規に見え、被害が出れば傷つくのはあなたの評判です。
• メールがじわじわ絞め殺される。 銀行・大手メールボックスプロバイダー・企業のフィルターは、署名のないメールをますます信用しません。影響は時間とともに忍び寄ります。抑制が増え、迷惑メール化が増え、バウンスが増え、ついには日常のアウトリーチが静かに届かなくなります。

DKIMの実体

DKIMは DomainKeys Identified Mail の略です。専門用語抜きで、封印の仕組みを説明します：

• あなたはドメイン（DNS設定）に公開鍵を公開します。誰でも読めます—それが狙いです。
• あなたのメールプロバイダーは対になる秘密鍵を持ち、それで送信する各メールに署名し、隠しヘッダーを付けます。
• メールが届くと、受信者のプロバイダーがあなたの公開鍵を取得し、署名をメッセージと照合して、本物で改変されていないことを確認します。

IT担当から耳にするかもしれない用語：

• セレクター — 特定のキーを指すラベル。例：selector1._domainkey.yourdomain。複数のキーをきれいに運用・入れ替えできます。プロバイダーが設定します。
• キーの強度 — DKIMキーにはサイズがあります。最新の基準は2048ビットRSAで、4096ビットRSAやEd25519はさらに強い。古い1024ビットキーも機能しますが、今日の基準では弱いとされます（NIST SP 800-131A / RFC 8301）。

『良い』状態とは： あなたのドメインのセレクターで有効なDKIMキーが公開され、送信メールがそれで署名され、キーが2048ビット以上であること。これが完全合格です。

採点についての注記。この検査は、メールプロバイダーがよく使うセレクターで公開された、本物で正しく形成されたDKIMキーを探します。公開された有効なキーが肯定的なシグナルです。第三者のスキャナーはあなたのライブ署名を再現できないため、測られるのは正しいキーの存在です。キーが見つからないと検査は失敗します（重大度の高い欠落）。**有効だが弱いキー（1024ビットRSA）**はおおよそ半分の点。機能しているがアップグレードすべきです。**強いキー（2048ビットRSA以上、またはEd25519）**は満点です。これは評点に寄与するメールセキュリティ検査のひとつで、相応の比重を占めます。

修正方法（無料・約15分）

この項は、メールやドメインを管理している人向けです。あなたでない場合はこの項を渡してください。修正は無料です。 当社が料金をいただくのは、保護が健全な状態を保ち続けているかを監視する場合のみで、設定そのものではありません。

おおまかな形はどこでも同じです。メールプロバイダーでDKIMを有効にし、生成されたキーを取り、DNSに公開し、有効になったことを確認する。具体的な手順はメールの運用者次第です。代表的なものを示します。

Google Workspace（Gmail）

1. 管理コンソール → アプリ → Google Workspace → Gmail → メールの認証。
2. ドメインを選び新しいレコードを生成をクリック（2048ビットのキー長を選択）。
3. GoogleがくれるDNSレコードを、DNSホストでTXTレコードとして追加。ホストはgoogle._domainkey.yourdomain、値はGoogleが提供したもの。
4. 反映を待ち（数分〜数時間）、同じ画面に戻って認証を開始をクリック。

Microsoft 365（Outlook / Exchange Online）

1. Microsoft Defenderポータル → メールとコラボレーション → ポリシーとルール → 脅威ポリシー → メール認証の設定 → DKIM。
2. ドメインを選択。Microsoftが公開すべき2つのCNAMEレコード（selector1とselector2）を表示します。
3. 両方のCNAMEレコードを表示どおり正確にDNSホストへ追加。
4. DKIM画面に戻り、そのドメインのDKIM署名を有効に切り替えます。

Zoho Mail

1. コントロールパネル → メール認証 → DKIM。
2. キーを生成し（zohoのようなセレクターを使用）、提供されたTXTレコードをDNSのzoho._domainkey.yourdomainに追加。
3. レコードが有効になったらZohoのパネルで検証。

その他のプロバイダー／自前のメールサーバー パターンは同じです。プロバイダー（またはメールソフト）が鍵ペアを生成し、秘密鍵で送信メールに署名し、公開すべきレコードを渡します。通常はこのようになります：

Host:  selector1._domainkey.yourdomain
Type:  TXT（プロバイダーによってはCNAME）
Value: （プロバイダーが渡す長いキー文字列）

DNSレコードの追加場所： ドメインのDNS設定の中。通常はドメインレジストラかDNSホスト（Cloudflare、GoDaddy、ホスティングのコントロールパネルなど）。メールプロバイダーがCNAMEを提供する場合、それは相手がホストするレコードを指しているので生のキーは見えません。これは正常で問題ありません。

動作確認： Gmailアカウントへテストメールを送り、開いてメッセージのソースを表示を選び、DKIM: PASSが出るか確認します。次にここでドメインを再チェックし、キーが弱い1024ビットではなく2048ビット以上で通っているか確認します。

よくある間違い

• 大手なら初期状態でオンだと思い込む。 GoogleやMicrosoftのドメインでも、DKIMの有効化とレコード公開が必要なことは多くあります。『Microsoft 365を使っている』ことと『DKIMが有効』であることは別です。
• 弱い1024ビットのキーを生成する。 一部のプロバイダーは今でも1024ビットを既定にしたり提供したりします。選べるときは2048ビットを選びましょう。弱いキーは半分しか取れず、厳しい受信側に警告されます。
• レコードを公開したが署名を有効にしない。 DNSレコードの追加は半分の仕事にすぎません。プロバイダーで署名を有効にする（最後の切り替え）のを怠ると、メールは署名なしのまま送られます。
• キーの入力ミスや切れ。 DKIMキーは長い。コピペで1文字落とす、値を誤って分割すると、すべてのメールで失敗する壊れた封印になります。値は渡されたとおり正確に貼り付けましょう。
• 他の送信元を忘れる。 ニュースレターツール・CRM・請求書アプリ・ECプラットフォーム経由でメールを送る場合、それぞれ独自のDKIMキーとセレクターが必要なことがあります。メールボックスだけでなく、あなたに代わって送るすべてのサービスのメールに署名しましょう。

DKIM・SPF・DMARCについての注記

DKIMが単独で機能することはまれです。これは、あなたのメールを信頼に足るものにする3つの設定のひとつです：

• SPFはどのサーバーがあなたのドメインのために送ってよいかを示します。
• DKIM（このページ）はメッセージが本当にあなたのもので変えられていないことを証明する改ざん防止の封印です。
• DMARCは、検査に失敗したものをどう扱うかをプロバイダーに指示し、その判断のためにDKIMとSPFに依存します。

DKIMを修正するなら、SPFとDMARCも同時に確認する価値があります。3つそろって初めて、あなたの会社のなりすましを止め、本物のメールをあるべき場所に届けられます。

ご利用のホストで設定する

主要な事業者向けのステップ別ガイド：

• GoDaddy で DKIM を設定する
• Namecheap で DKIM を設定する
• Cloudflare で DKIM を設定する
• Google Workspace で DKIM を設定する
• Microsoft 365 で DKIM を設定する
• Squarespace で DKIM を設定する
• Wix で DKIM を設定する
• AWS Route 53 で DKIM を設定する
• Hostinger で DKIM を設定する
• Porkbun で DKIM を設定する
• IONOS で DKIM を設定する
• Bluehost で DKIM を設定する

よくある質問