Defaults.Exposed › 設定 › DKIM

Cloudflare での DKIM 設定方法

メールプロバイダーの DKIM 鍵を Cloudflare の DNS に公開し、メールに改ざん防止の署名を付けます。

なぜこれがビジネスにとって重要なのか

DKIM（DomainKeys Identified Mail）は、送信するすべてのメールに目に見えないデジタル署名を付けます。受信側のメールプロバイダーは、あなたが DNS に公開した公開鍵を使って 2 つのことを確認します：メッセージが本当に自社ドメインから来たこと、そして誰も途中で改変していないこと。

平たく言えば、DKIM はメールの真正性の封印です。なりすましを難しくし、正規メールを迷惑メールではなく受信トレイに届ける確率を高めます。他と同様、無料で、設定は一度きりです。

重要：DKIM には 2 つの半分がある

DKIM は、誰が何をするかが本当に重要になる唯一のレコードです：

• メールプロバイダーが鍵を生成します。 Google Workspace、Microsoft 365、あるいはメールボックスを運用している会社が、その管理コンソール内であなたのために DKIM 鍵を作成します。これを自分で作り出すことはできません — 正確なホスト名と値を相手から入手する必要があります。Cloudflare は DKIM 鍵を生成しません。Cloudflare は DNS ホストであって、メールボックスのプロバイダーではありません。
• Cloudflare がそれを公開します。 その鍵を自社ドメインの DNS（Cloudflare が DNS を運用している前提 — 下記参照）に追加します。

つまり、メールのプラットフォームで生成し、DNS ホストで公開する、ということです。

まず、Cloudflare が自社の DNS を運用していることを確認

DKIM レコードは、Cloudflare が自社ドメインの DNS に応答している場合にのみ機能します。Cloudflare の DNS が有効になるのは、自社ドメインのネームサーバー（レジストラで設定）が、ダッシュボードに表示される Cloudflare ネームサーバーを指している場合だけです。Cloudflare でドメインを開き、Overview ページを確認してください — Cloudflare が有効かどうかが表示されます。ネームサーバーが別のプロバイダーを指している場合は、DKIM レコードをそちらで追加してください。Cloudflare では効果がありません。

メールプロバイダーから鍵を入手する

メールプロバイダーの管理エリアで、DKIM またはメール認証の設定を探し、鍵を生成／有効化します。2 つのテキストが提供されます：

• ホスト／セレクタ名。google._domainkey や selector1._domainkey のようなもの。
• 値。v=DKIM1; で始まり、続いて k=rsa; p= と非常に長い文字列（公開鍵）が並ぶ長い値。

両方を正確にコピーしてください。

Cloudflare での手順

1. Cloudflare にサインインし、自社ドメインを選択します。
2. 左側のメニューで DNS 設定へ進みます（DNS / Records を探します）。
3. Add record をクリックします。
4. ほとんどの DKIM 鍵では Type を TXT に設定します。プロバイダーが特に指示した場合のみ CNAME を使ってください — 一部のプロバイダー、Microsoft 365 を含む、は自社サーバーを指す CNAME レコードを使います。
5. Name 欄には、セレクタ部分のみ — 例えば google._domainkey や selector1._domainkey を入力します。末尾にドメイン名を付けないでください。Cloudflare が自動で付け加えます。
6. Content 欄に、プロバイダーが提供した長い鍵の値を正確に貼り付けます。（CNAME の場合は、代わりに相手が提供したターゲットホストを貼り付けます。）
7. TTL は Auto のままにします。
8. Save をクリックします。

Cloudflare で人がよく間違える落とし穴

• Name にフルドメインを入れない。 プロバイダーの手順が selector1._domainkey.yourdomain.com を示している場合、Cloudflare には selector1._domainkey だけを入力します — 残りは自動で付けられます。ドメインを重ねて入れると、..yourdomain.com.yourdomain.com という壊れたホストになります。
• 鍵全体を貼り付ける — 長いです。 DKIM 公開鍵は数百文字あります。途中で切れていないこと、コピー＆ペースト時に余計な空白や改行が紛れ込んでいないことを確認してください。Cloudflare は裏側で長い TXT 値をセグメントに分割します — これは正常で問題ありません。
• 自分の引用符を足さない。 プレーンな値を貼り付けてください。Cloudflare が引用符を処理します。手動で足した " はレコードを破損させ得ます。
• TXT か CNAME か — プロバイダーに従う。 CNAME と言われたら CNAME を選び、相手のターゲットホストを content として貼り付けてください。TXT に変換しないでください。
• CNAME を追加する場合は DNS only（グレーの雲）にする。 認証レコードはプロキシしてはいけません — プロキシ状態がオレンジではなくグレーの雲を示していることを確認し、レコードが Cloudflare のプロキシではなくメールプロバイダーの値に解決されるようにしてください。
• セレクタを正確に一致させる。 Name 欄のセレクタは、プロバイダーが期待するものと一文字単位で一致しなければなりません — 受信側が正しい鍵を見つける手がかりだからです。
• 時間を置く。 DNS の変更は、DKIM が検証を始める前に、伝播まで数分から 2 時間ほどかかることがあります。

動作確認

保存して伝播の時間を少し置いたら、このサイトの無料チェックを実行してください。DKIM レコードが公開され読み取り可能かを、平易な言葉で確認してくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。