Defaults.Exposed › 設定 › DKIM

Porkbun での DKIM 設定方法

メールプロバイダーの DKIM 鍵を Porkbun の DNS に公開し、メールに改ざん防止の署名を付けます。

なぜこれがビジネスにとって重要なのか

DKIM（DomainKeys Identified Mail）は、送信するすべてのメールに目に見えないデジタル署名を付けます。受信側のメールプロバイダーは、あなたが DNS に公開した公開鍵を使って 2 つのことを確認します：メッセージが本当に自社ドメインから来たこと、そして誰も途中で改変していないこと。

平たく言えば、DKIM はメールの真正性の封印です。なりすましを難しくし、正規メールを迷惑メールではなく受信トレイに届ける確率を高めます。無料で、設定は一度きりです。

重要：DKIM には 2 つの半分がある

DKIM は、誰が何をするかが本当に重要になる唯一のレコードです：

• メールプロバイダーが鍵を生成します。 メールボックスを運用している側 — Google Workspace、Microsoft 365、または別のメールサービス — が、その管理パネル内で自社ドメイン用の DKIM 鍵を作成します。この値を自分で作り出すことはできません。プロバイダーが、鍵を識別するラベルであるセレクタ名とともに生成します。
• Porkbun がそれを公開します。 その鍵を、ネームサーバーを運用している会社である Porkbun の自社ドメイン DNS に追加します。

つまり、メールプロバイダーで生成し、Porkbun で公開する、ということです。両方の半分が必要です。

Porkbun が自社の DNS を運用していることを確認

DKIM レコードは、自社ドメインのネームサーバーが指す先で追加した場合にのみ機能します。ドメインを Porkbun で登録し、Porkbun の既定のネームサーバーのままにしている場合は、正しい場所にいます。ネームサーバーが他（ウェブホスト、Cloudflare、メールプロバイダー）を指している場合は、DKIM レコードをそちらで追加してください。

Porkbun アカウントでドメインを開き、詳細ページに表示される Authoritative Nameservers を確認します。Porkbun 自身のネームサーバーであれば、以下に進んでください。

メールプロバイダーからレコードを入手する

DNS に触れる前に、メールを運用している側から DKIM の詳細を集めます：

• Google Workspace: Admin コンソールで Apps → Google Workspace → Gmail → Authenticate email へ進み、鍵を生成して、セレクタ（通常 google._domainkey）と v=DKIM1; k=rsa; p= で始まる長い TXT 値をコピーします。
• Microsoft 365: Microsoft は selector1._domainkey と selector2._domainkey という名前の 2 つの CNAME レコードを使い、それぞれが長い ...onmicrosoft.com のターゲットを指します。Microsoft 365 管理エリアの DKIM の下で見つけられます。
• 別のプロバイダー: そのプロバイダーのメールまたは DNS 設定エリアで DKIM レコードを探し、ホストと値を正確にコピーします。

TXT レコードと CNAME レコードのどちらを提供されたかを把握してください — 次のステップで一致する種別を選びます。

Porkbun での手順

1. Porkbun にサインインし、Account → Domain Management を開きます。
2. 自社ドメインを見つけ、Details（歯車）アイコンをクリックし、そのドメインの DNS Records エディタを開きます。
3. Add a DNS record エリアで、Type を、プロバイダーが提供したものに合わせて設定します — ほとんどのプロバイダーは TXT、Microsoft 365 は CNAME。
4. Host 欄には、セレクタ部分のみ — 例えば google._domainkey や selector1._domainkey を入力します。末尾にドメイン名を付けないでください。Porkbun が自動で付け加えます。
5. Answer 欄に、プロバイダーが提供した値を貼り付けます：
   • TXT レコードの場合、v=DKIM1; で始まる長い鍵の値。
   • CNAME レコードの場合、ターゲットホスト（例：...onmicrosoft.com のアドレス）。
6. TTL は既定のままにします。
7. Add をクリックして保存します。Microsoft 365 の場合は 2 つ目のセレクタについて繰り返します。

Porkbun で人がよく間違える落とし穴

• 正しいレコード種別。 Google Workspace は TXT レコードを、Microsoft 365 は 2 つの CNAME レコードを提供します。誤った種別を追加すると DKIM は決して検証されません。プロバイダーが提供したものに正確に合わせてください。
• Host にフルドメインを入れない。 プロバイダーが google._domainkey.yourdomain.com を示している場合、Porkbun には google._domainkey だけを入力します — 残りは自動で付けられます。ドメインを重ねて入れると、google._domainkey.yourdomain.com.yourdomain.com のような壊れたホストになります。
• 鍵全体を貼り付ける — 長いです。 DKIM 公開鍵は数百文字あります。途中で切れていないこと、余計な空白や改行が紛れ込んでいないことを確認してください。
• 自分の引用符を足さない。 プレーンな値を貼り付けてください。Porkbun が必要な引用符を付けます。手動で " を足すとレコードを破損させ得ます。
• プロバイダー側でも仕上げる。 一部のプロバイダー（Google を含む）は、レコードが有効になった後に戻ってボタンをクリックして署名を開始する必要があります。公開だけでは不十分です — プロバイダーで DKIM をオンにしてください。
• 時間を置く。 DNS の変更は、プロバイダーが確認でき DKIM が検証を始める前に、数分から 2 時間ほどかかることがあります。

動作確認

レコードを公開し（必要ならプロバイダーで DKIM をオンにし）たら、Defaults.Exposed の無料チェックを実行してください。DKIM レコードが公開され読み取り可能かを、平易な言葉で確認してくれます。データは EU 内で処理されます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。