Defaults.Exposed › 設定 › DKIM

Google Workspace での DKIM 設定方法

Google Admin コンソールで DKIM 鍵を生成し、DNS に公開して、メールに改ざん防止の署名を付けます。

なぜこれがビジネスにとって重要なのか

DKIM（DomainKeys Identified Mail）は、送信するすべてのメールに目に見えないデジタル署名を付けます。受信側のメールプロバイダーは、あなたが DNS に公開した公開鍵を使って 2 つのことを確認します：メッセージが本当に自社ドメインから来たこと、そして誰も途中で改変していないこと。

平たく言えば、DKIM はメールの真正性の封印です。なりすましを難しくし、正規メールを迷惑メールではなく受信トレイに届ける確率を高めます。無料で、設定は一度きりです。

重要：DKIM には 2 つの半分がある

DKIM は、誰が何をするかが本当に重要になる唯一のレコードです：

• Google が鍵を生成します — Google Admin コンソールで。 admin.google.com にサインインし、Google に自社ドメインの DKIM 鍵を作成させます。この値を自分で作り出すことはできません。Google が生成します。
• DNS ホストがそれを公開します。 その鍵を自社ドメインの DNS — ネームサーバーを運用している会社（レジストラ、ウェブホスト、Cloudflare など）— に追加します。それは通常 Google ではありません。

つまり、Google Workspace で生成し、DNS ホストで公開する、ということです。両方の半分が必要で、最後に Google に戻って DKIM をオンにする追加のステップがあります。

ステップ 1 — Google Admin コンソールで鍵を生成する

1. 管理者アカウントで admin.google.com の Google Admin コンソールにサインインします。
2. Apps → Google Workspace → Gmail へ進み、Authenticate email（これが DKIM のセクション）を開きます。
3. 一覧から自社ドメインを選択します。
4. 求められたら鍵長を選び（既定の、通常 2048-bit で問題ありません）、Generate new record をクリックします。
5. Google が 2 つのテキストを表示します：
   • DNS ホスト名／セレクタ。Google の場合は通常 google._domainkey。
   • TXT レコードの値。v=DKIM1; k=rsa; p= で始まり、続いて非常に長い文字列（公開鍵）が並ぶ長い値。
6. このページは開いたままにしておきます — これを DNS にコピーした後、戻って DKIM をオンにします。

ステップ 2 — DNS ホストで鍵を公開する

まず、自社の DNS を実際に運用している会社で作業していることを確認してください。DKIM レコードは、自社ドメインのネームサーバーが指す先で追加した場合にのみ機能します。不明な場合は、レジストラのアカウントで Nameservers の欄を確認するか、ウェブサイトを管理している人に尋ねてください。

1. DNS ホストにサインインし、自社ドメインの DNS 設定を開きます（DNS / Records / Advanced DNS を探します）。
2. 新しいレコードを追加し、TXT を選びます。
3. Name / Host 欄には、セレクタ部分のみ — Google の場合は通常 google._domainkey を入力します。末尾にドメイン名を付けないでください。DNS ホストが自動で付け加えます。
4. Value 欄に、Google が提供した長い鍵の値を正確に貼り付けます。
5. TTL は既定のままにします。
6. 保存します。

ステップ 3 — Google に戻って DKIM をオンにする

レコードを公開しただけでは不十分です — Google に署名を始めるよう伝える必要があります。

1. Google Admin コンソールの Authenticate email ページに戻ります。
2. Start authentication をクリックします。
3. Google が DNS でレコードを確認できるかをチェックします。まだ見つからない場合は、DNS の伝播に少し時間（数分から 2 時間ほど）を与えて、再度試してください。

人がよく間違える落とし穴

• 2 つの場所を、順番どおりに。 Google で生成し、DNS で公開し、その後戻って Start authentication をクリックします。最後のステップを飛ばすと、鍵は公開されても Google があなたのメールに署名しません。
• Host にフルドメインを入れない。 手順が google._domainkey.yourdomain.com を示している場合、DNS ホストには google._domainkey だけを入力します — 残りは自動で付けられます。ドメインを重ねて入れると、google._domainkey.yourdomain.com.yourdomain.com のような壊れたホストになります。
• 鍵全体を貼り付ける — 長いです。 DKIM 公開鍵は数百文字あります。一部の DNS ホストは 1 つの欄に文字数制限があり、長い TXT 値を複数の引用符付き文字列に分割します — これは正常で Google が処理しますが、途中で切れていないこと、余計な空白や改行が紛れ込んでいないことを確認してください。
• 引用符に注意。 プレーンな値を貼り付けてください。ほとんどの DNS ホストが引用符を付けます。その上に手動で " を足すとレコードを破損させ得ます。
• セレクタを正確に一致させる。 DNS のホストは、Google が期待するもの（google._domainkey）と一文字単位で一致しなければなりません — 受信側が正しい鍵を見つける手がかりだからです。
• 時間を置く。 DNS の変更は、Google が確認でき DKIM が検証を始める前に、数分から 2 時間ほどかかることがあります。

動作確認

レコードを公開し、認証をオンにし、伝播の時間を少し置いたら、Defaults.Exposed の無料チェックを実行してください。DKIM レコードが公開され読み取り可能かを、平易な言葉で確認してくれます。データは EU 内で処理されます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。