Defaults.Exposed › 設定 › DKIM

Microsoft 365 での DKIM 設定方法

DNS に 2 つの DKIM レコードを公開し、Microsoft 365 で DKIM をオンにして、メールに改ざん防止の署名を付けます。

なぜこれがビジネスにとって重要なのか

DKIM（DomainKeys Identified Mail）は、送信するすべてのメールに目に見えないデジタル署名を付けます。受信側のメールプロバイダーは、あなたが DNS に公開した公開鍵を使って 2 つのことを確認します：メッセージが本当に自社ドメインから来たこと、そして誰も途中で改変していないこと。

平たく言えば、DKIM はメールの真正性の封印です。なりすましを難しくし、正規メールを迷惑メールではなく受信トレイに届ける確率を高めます。無料で、設定は一度きりです。

重要：Microsoft 365 の DKIM は 2 つの場所で行う

DKIM は、誰が何をするかが本当に重要になる唯一のレコードです。Microsoft 365 はほとんどのプロバイダーとは少しやり方が異なります — 行き詰まらないよう知っておく価値があります：

• Microsoft は長い TXT 鍵ではなく、2 つの CNAME レコードを使います。 ほとんどのプロバイダーは 1 つの巨大な TXT 公開鍵を渡します。Microsoft は代わりに、Microsoft を指し返す2 つの短い CNAME レコード（selector1 と selector2 と呼ばれる）を公開させます。Microsoft が実際の鍵を保持し、それらのポインタの背後で安全に鍵をローテーションできます。
• DNS ホストが 2 つの CNAME を公開します。 自社ドメインのネームサーバーが指す先 — レジストラ、ウェブホスト、Cloudflare など — に追加します。それは通常 Microsoft ではありません（DNS の管理を Microsoft に任せている場合を除く）。
• その後、Microsoft 内で DKIM をオンにします。 レコードを公開するだけでは不十分です。Microsoft のセキュリティポータルで署名を有効にする最後のステップがあります。

つまり、DNS ホストで 2 つの CNAME を公開し、その後 Microsoft に入って DKIM をオンにする、ということです。

ステップ 1 — Microsoft から 2 つのレコードの値を入手する

1. 管理者としてサインインし、security.microsoft.com の Microsoft セキュリティポータルを開きます。
2. Email & collaboration エリアへ進み、Policies & rules → Threat policies → Email authentication settings → DKIM を見つけます（Microsoft はこれらのラベルをときどき移動します — メール認証または迷惑メール対策の設定の下で DKIM を探してください）。
3. 自社ドメインを選択します。
4. Microsoft が作成すべき 2 つのレコードを表示します。自社のドメインと固有のコードが埋め込まれた、次のような形です：
   • Host 1: selector1._domainkey → selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com を指す
   • Host 2: selector2._domainkey → selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com を指す
5. 両方のターゲット値を正確にコピーしてください。これらを自分で作り出すことはできません — Microsoft が自社テナント用に生成します。

ステップ 2 — DNS ホストで 2 つの CNAME を公開する

まず、自社の DNS を実際に運用している会社で作業していることを確認してください。レコードは、自社ドメインのネームサーバーが指す先で追加した場合にのみ機能します。不明な場合は、レジストラのアカウントで Nameservers の欄を確認するか、ウェブサイトを管理している人に尋ねてください。

1. DNS ホストにサインインし、自社ドメインの DNS 設定を開きます（DNS / Records / Advanced DNS を探します）。
2. 新しいレコードを追加し、CNAME（TXT ではありません — ここが人の間違えるところです）を選びます。
3. 1 つ目のレコードでは、Name / Host 欄に selector1._domainkey だけを入力します。末尾にドメインを付けないでください。DNS ホストが自動で付け加えます。
4. Value / Points to / Target 欄に、Microsoft の 1 つ目のターゲットを貼り付けます。例：selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com。
5. 2 つ目のレコードについて繰り返します：Name = selector2._domainkey、Value = Microsoft の 2 つ目のターゲット。
6. TTL は既定のままにします。
7. 両方を保存します。

ステップ 3 — Microsoft に戻って DKIM をオンにする

レコードを公開しただけでは不十分です — Microsoft に署名を始めるよう伝える必要があります。

1. Microsoft セキュリティポータルの DKIM ページに戻ります。
2. 自社ドメインを選択し、Sign messages for this domain with DKIM signatures を On に切り替えます（トグルは Enable と表示されることもあります）。
3. Microsoft が 2 つのレコードを DNS で確認できるかをチェックします。まだ見つからない場合は、DNS の伝播に少し時間（数分から 2 時間ほど）を与えて、再度試してください。

人がよく間違える落とし穴

• TXT ではなく CNAME。 Microsoft の DKIM は、Microsoft を指し返す 2 つの CNAME レコードを使います。（他のプロバイダーのように）TXT 公開鍵を貼り付けようとしても、ここでは機能しません。
• 両方のレコード、その後トグル。 selector1 と selector2 の両方を公開し、その後 Microsoft 内で有効化のステップを行う必要があります。トグルを飛ばすと、レコードは存在しても Microsoft があなたのメールに署名しません。
• Host にフルドメインを入れない。 selector1._domainkey / selector2._domainkey だけを入力します — 残りは自動で付けられます。ドメインを重ねて入れると、selector1._domainkey.yourdomain.com.yourdomain.com のような壊れたホストになります。
• ターゲットを正確に貼り付ける。 onmicrosoft.com のターゲットには自社のテナント名と固有のコードが含まれます — 1 文字違うだけで DKIM は検証されません。
• 引用符に注意。 CNAME のターゲットはプレーンなホスト名です。"..." で囲まないでください。引用符は CNAME ではなく TXT レコードに付けるものです。
• 時間を置く。 DNS の変更は、Microsoft が確認でき DKIM が検証を始める前に、数分から 2 時間ほどかかることがあります。

動作確認

両方のレコードを公開し、DKIM をオンにし、伝播の時間を少し置いたら、Defaults.Exposed の無料チェックを実行してください。DKIM が公開され読み取り可能かを、平易な言葉で確認してくれます。データは EU 内で処理されます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。