目次
SPF・DKIM・DMARCの設定方法まとめ
ドメイン認証の設定についての資料は下記リンクよりご確認ください。
すぐできる!ドメイン認証の設定方法.pdf
各項目の詳細は、下記よりご参照ください。
DKIMについて(重要)
なぜ「DKIM署名」の設定が必要なのか?
DKIM署名(作成者署名)は、送信元の「なりすまし」疑いによる迷惑メール判定回避・到達率向上のために有効です。
配配メールに限らず、メールはFromアドレスを任意に書き換えても、配信することができます。
そのため、送信先から、第三者による「なりすまし」メールを疑われ、迷惑メール判定されてしまうことがあります。
迷惑メール判定により、送ったメールが、受信されても迷惑メールフォルダに振り分けられたり、受信ブロックで届かないということもあり得ます。
「SPF」と「DKIM署名」(作成者署名)は、Fromアドレスのドメイン(メールアドレス@右側)所有者本人が配信したメールであると証明できる認証設定です。
独自ドメインの場合、DNSサーバというドメインを管理するサーバが存在します。
自社ドメインのDNSサーバに指定の文字列を書き込んで 「SPF」と「DKIM署名」 の両方を設定することで、「なりすましメール判定」を回避することができます。
「SPF」と「DKIM署名」片方でも効果はありますが、なりすましメール判定を回避するには、両方の設定が必要です。
折角、送ったメールも届かないと機会損失になってしまいますので、到達可能性を向上させるために、ご設定を推奨しております。
なお、DKIM署名には「第三者署名」「作成者署名」の2種類ございますが、なりすましメール判定に効果があるのは、「作成者署名」のみです。
「第三者署名」は簡単に設定可能ですが、なりすましメール判定を回避する効果はありません。
DKIM署名「なし」よりも「第三者署名」を設定された方が到達可能性は向上いたしますが、ご契約のDNSサーバでの設定が非対応でない限りは、「作成者署名」を推奨しております。
※ 「SPF」と「DKIM署名」は 「なりすましメール判定」の回避に効果がございますが、その他の要因での迷惑メール判定・不達をすべて回避できるわけではありません。
※ 「SPF」と「DKIM署名」 をご設定のうえ、「DMARC」を設定すると、より、配信元としての信頼性が高まり、到達可能性が向上すると言われております。
※STARTTLSオプションをご契約のお客様は、「SPF」と「DKIM署名」を設定されないと、到達可能性が低下する可能性があるため、ご設定をお願い致します。
DKIM署名とは
「DKIM」とは送信側でメールヘッダ内に電子署名を付加けて、受信側のサーバにて送信元の
「メールの中身の信用度」を立証するための設定(対策)です。
受信側のサーバに対して、送信元のFromアドレスを詐称されていないことを SPFで担保し、
メール内容の信用をDKIMを用いて、担保することで「なりすまし」でないこと立証します。
※受信側で詐欺メールなどの悪質なメールと区別させるためと言われています。
English Support
DKIMの設定手順
事前設定(初めてDKIMを設定する)
DKIM署名を設定するには予め「配配メール」の管理画面上で操作が必要となります。
「各種設定」>「システム設定」>「基本設定」>「DKIM署名付メール送信」を「利用する」
上記を実施の上、下記に従ってDKIM署名を設定頂きますようお願い致します。
DKIMには2つの種類があります(原則として作成者署名のみを設定してください)
| 種類 | 効果と特徴 | 設定のポイント |
|---|---|---|
| 第三者署名 | 未設定よりは良いが、認証強度は弱い | 「配配メール」管理画面上で設定が完結 |
| 作成者署名 | 認証強度が強く、効力もある | DNSサーバのTXTレコードに公開鍵を設定する |
「作成者署名」の作成
下記の流れでご設定をお願い致します。
①配配メール画面でDNSサーバに設定するための文字列を発行・各Fromアドレスの署名を「作成者署名」に切替え
②発行した文字列をDNSサーバに設定
③こちらからサーバに設定が反映されたかをご確認ください。
設定箇所:「各種設定」タブ >「Fromの設定」>「DKIMの設定」>「 + 新規登録」
※「DKIMの設定」が表示されない場合、先に「各種設定」で設定変更をしてください。
※セレクタとは発行する公開鍵・秘密鍵の名前(ラベル)で、半角英数20字以内という他に決まりはありません。
※セレクタは覚える必要も無いため、お好きなように入力してください(ドメインの内容と同じにしないでください)
⇩
⇩
「BINDでの設定例を表示する」で表示された部分をサーバに記述します。
※サーバ会社様の仕様などにより、設定内容が異なる場合があります。
公開鍵の内容をFromアドレスのドメインを管理するDNSサーバに
設定を行って頂きますようお願い致します。
上記の「BINDでの設定例を表示する」に記載されている文字列と併せて、
「DNS サーバにTXTレコードを設定してください」とシステム担当者様、
またはサーバ会社様に御依頼頂くとスムーズに設定できるかと存じます。
最後に「配配メール」上で署名を変更する
「各種設定」>「Fromの設定」>「署名の設定」>「作成者署名」に変更してください。
※ サーバでの設定前に上記画面にて変更頂くことも可能です。
「第三者署名」の設定(作成者署名を設定した場合は第三者署名は不要)
「各種設定」での設定変更が完了しましたら、下記の手順にて御設定ください。
「各種設定」>「Fromの設定」>「署名の設定」>「第三者署名」にチェック >「変更」ボタンをクリック
※第三者署名はサーバでの設定は必要ありません。
※第三者署名ではなりすましメール判定を回避できません。
「なし」よりもご設定された方がよいですが、なるべく「作成者署名」のご設定をお願い致します。
サーバ会社での設定例(作成者署名)
以下はあくまで各サーバ会社様の設定の一例となり、弊社から個別の案内は致し兼ねます。
設定方法の詳細につきましては、各サーバ会社様のサポートサイトやFAQ等をご覧頂くか、
各サーバ会社様のサポート窓口に直接お問い合わせください。
※契約頂いているサーバ会社のプランなどによって、設定箇所が変わる場合があります。
また、記述する内容も一部異なる場合がありますので、予め御含み置きください。
A:お名前.com Navi
① 「お名前.com」のサーバ管理画面にアクセスします。
② 「ドメインの設定」>「DNS関連機能の設定」をクリックします。
③ 対象のドメインをチェックして「次へ進む」をクリックします。
④ DNS レコード設定を利用する「設定する」をクリックします。
⑤ 各入力欄・セレクトボックスを以下のように入力してください。
※「お名前.comレンタルサーバー」の場合は設定方法が異なります。
| ホスト名 | FQDN欄に記載の一部(○○○○._domainkey) |
|---|---|
| TYPE | TXT |
| TTL | そのまま(何も編集しない) |
| VALUE | 「BINDでの設定例」に記載された内容の「” “」の中に記載された内容のみを記載 例:v=DKIM1;p=MI ~ ~ AQAB |
※「お名前.com」の操作方法などの詳細は「お名前.com設定ガイド」をご参照ください。
B:さくらインターネット
① さくらインターネットの会員メニューにログインします。
②「契約情報」>「契約ドメインの確認」>「ドメインメニュー」をクリックします。
③「ゾーン編集」をクリックし、「変更」ボタンをクリックします。
| エントリ | FQDN欄に記載の一部(○○○○._domainkey) |
|---|---|
| 種別 | TXT |
| 値 | 「BINDでの設定例」に記載された内容の「” “」の中に記載された内容のみを記載 例:v=DKIM1;p=MI ~ ~ AQAB |
| DNSチェック | 「する」 |
| TTLの指定 | チェック不要 |
※「さくらインターネット」の詳細は「ドメインのゾーン編集」をご参照ください。
C:XSERVER(エックスサーバー)
① エックスサーバーのサーバパネルにログインします。
②「DNSレコード設定」をクリックします。
③「DNSレコードの追加」をクリックします。
| ホスト名 | FQDN欄に記載の一部(○○○○._domainkey) |
|---|---|
| 種別 | TXT |
| 内容 | 「BINDでの設定例」に記載された内容の「” “」の中に記載された内容のみを記載 例:v=DKIM1;p=MI ~ ~ AQAB |
| 優先度 | 未記入 |
④「DNSレコードの追加(確認)」をクリックします。
※「エックスサーバー」内の詳細は「DNSレコードの編集」をご参照ください。
D:ムームードメイン(heteml、LOLIPOP含む)
① ムームードメインのコントロールパネルにログインします。
②「ドメイン管理」>「ドメイン操作」>「ムームーDNS」をクリックします。
③ 編集するドメインの「変更」ボタンをクリックします。
④「カスタム設定」をクリックします。
| サブドメイン | FQDN欄に記載の一部(○○○○._domainkey) |
|---|---|
| 種別 | TXT |
| 内容 | 「BINDでの設定例」に記載された内容の「” “」の中に記載された内容のみを記載 例:v=DKIM1;p=MI ~ ~ AQAB |
| 優先度 | 未記入 |
※「ムームーDNS」の詳細は「ムームーDNSセットアップ方法」をご参照ください。
※「heteml(ヘテムル)」や「LOLIPOP(ロリポップ)」も上記の手順で変更。
E:バリュードメイン
① バリュードメインのコントロールパネルにログインします。
②「ドメイン」>「ドメイン設定操作(登録済みドメイン一覧)」をクリックします。
③ 設定するドメイン名の右の「DNS / URL」アイコンをクリックします。
④「カスタム設定」をクリックします。
| 設定例 |
|---|
| a * 123.456.789 (←aレコードの値はユーザごとに異なります) mx @ 10 (←mxレコードの値はユーザごとに異なります) txt @ v=spf1 include:spf.haihaimail.jp ~all txt FQDN部分のドメイン名を抜いた文字列を記載 「BINDでの設定例に記載された””の中のみ」を記述 |
※ FQDN部分のドメイン名を抜いた文字列と「BINDでの設定例」の間は改行ではなく、半角スペースを入れます。
⑤「TTL」の値を任意で入力し、「保存」ボタンをクリックします。
⑥「ダイナミックDNSの設定」をクリックします。
⑦「ダイナミックDNS機能」のチェックボックスにチェックし、「変更」をクリック。
※記述ルールなどは変わる場合があるため、詳細は「ユーザガイド」をご参照ください。
F:Google Cloud Platform(Cloud DNS)
Google Cloud PlatformでCloud DNSを使用されている場合はCloud DNSで設定が可能です。
詳細はCloud DNS「レコードの管理」をご参照ください。
DKIM(作成者署名)の反映を確認する方法
dmarcian(外部サイト)
https://dmarcian.com/dkim-inspector/
① ページ内 Enter domain の部分に、該当のドメイン(@なし)を入力します。
② ページ内 Enter selector の部分に、下記の作成者署名のセレクタを入力します。
※管理画面内の「各種設定」>「Fromの設定」>「DKIMの設定」にて確認
③ 緑色の「Inspect DKIM」ボタンをクリックします。
Your DKIM record is valid. と記載されていれば成功です。
キャプチャ付き FAQ:DKIMが有効となっているかを確認したい
Gmail、Yahoo!メールなどを使用して確認する
Gmailを使用する場合
① 配配メールからお客様自身のGmailアドレスへメールを送信
② WebメールページからGmailの受信ボックスを開きます。
③ 受信した件名をクリック → 右上の▽(その他)タブをクリック
④ プルダウンから「メッセージのソースを表示」をクリック
⑤ 受信したメッセージのヘッダ情報と DKIM のチェック結果が表示されます
dkim=pass header.i=@〇×△□ と記載されていれば有効です
※ スマートフォンアプリ版では確認することが出来ません。
Yahoo!メールを使用する場合
① 配配メールからお客様自身のYahoo!mailアドレスへメールを配信
② WebページからYahoo!mailの受信ボックスを開きます
③ 受信した件名をクリック → [詳細ヘッダー]をクリック
④ ヘッダ情報が表示されます
⑤ dkim=pass header.i=@〇×△□ と記載されていれば有効です
