メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

[Email DLP] DKIM について

概要

本記事では、Email DLP をご利用の管理者を対象に、DKIM(送信ドメイン認証)の概要やよくある質問について説明します。

注意事項

  1. 本記事の内容は 2026 年 6 月時点での製品仕様に基づき作成しており、予告なく変更される場合があります。

DKIM とは何ですか。なぜ登録するのですか。

DKIM は送信ドメイン認証の一種で、メールの改ざんを検知するための手法です。
DKIM レコードを DNS に登録し、送信元のメールサーバーで DKIM 署名を有効化することで、メール送信時に、メールヘッダーへ DKIM で認証するための電子署名が付与されます。
送信先のメールサーバーはこの電子署名を検証し、メールが改ざんされていないことを確認します。

DKIM 認証では、DKIM 署名が正当なものであるか、なりすましの可能性がないかについて、送信先のメールサーバーが、送信者アドレスのドメインを管理する DNS に問い合わせます。
このとき DKIM 署名と DNS に公開されている DKIM レコードを用いて、メールが改ざんされていないことを確認します。
このように DKIM を利用することで、メールのなりすましを防止し、メールセキュリティを向上させることができます。
近年では、Google 社など大手メールサービス事業者が、セキュリティの観点から DKIM 認証がパスすることを強く推奨しています。
DKIM 認証がパスしない場合、メールが送信先のメールサーバーに拒否されて正しく届かなくなったり、迷惑メールと判定されたりする可能性があります。

DKIM に関するよくある質問

DKIM セレクターとは何ですか。

DKIM セレクターは、DKIM 認証を行う際に、どこに認証のために必要な公開鍵が保管されているかを、認証を行おうとするメールサーバーに示すものです。DKIM レコードと紐づいて使用されます。

Google Workspace / Microsoft 365 で DKIM 設定を有効にしている場合、Email DLP でも設定が必要ですか。

はい、必要です。
送信メールの DKIM 署名はすべてのメール送信サーバーで行うことを推奨します。
一般的にそれぞれの送信メールサーバーでは、メールを受け取った時点での SPF、DKIM、DMARC の結果を ARC (Authenticated Received Chain) ヘッダーと呼ばれる箇所に記載します。
受信メールサーバーによっては、この ARC ヘッダーの履歴を確認し、メールの受信許可や拒否などの判定に使用する場合があります。
そのため、各送信メールサーバーで DKIM 設定を行い、DKIM 認証の成功の履歴が ARC ヘッダーに記載されるようにすることで、メールが正常に受け取られる可能性を高めることができます。

※Email DLP については、次の記事の通り ARC に対応しています。
リリース情報:[Email DLP]2023 年 8 月(ARCへの対応)

なお、Email DLP で DKIM 署名の設定を実施していない場合で、Google Workspace / Microsoft 365 の DKIM 署名がついた添付ファイル付きメールを Email DLP で自動 ZIP 暗号化または Secure Download での URL 化をすると、受信メールサーバーの DKIM 認証時に改ざんされたとみなされる可能性があります。

DKIM レコードを設定することで、すべてのメール送信に影響は出ませんか。

DKIM の設定によって、既存のメール送信が突然止まったり、届かなくなるような悪影響が出ることはまずありません。
なお、DKIM 設定による影響範囲は、DKIM 検証を導入している受信環境のみです。一般的な迷惑メールチェックでは、SPF やコンテンツ、レピュテーションなど様々な項目が総合的に判断されます。そのため、DKIM の設定ひとつで評価のすべてが決まるわけではない点に留意してください。

DKIM 設定は必須作業ですか。

厳密なインターネットのルールとして DKIM 認証は強制されていませんが、Google や Yahoo! などのメールサービスにおける送信者ガイドラインでも SPF および DKIM 署名の義務化が発表されるなど、実務上は必須であると考えます。また、Email DLP 導入の際にも必ず設定してください。

DKIM レコードを Microsoft 365 / Google Workspace と Email DLP の双方で行うことは可能ですか。

可能です。
DKIM セレクターを分けることで、複数の公開鍵を TXT レコードに設定できます。

複数ドメインを利用している場合、DKIM 公開鍵をすべてのドメインに登録することが必要ですか。

サブドメイン(例:sub.example.com)を含む複数ドメインで DKIM レコードを有効化したい場合は、対象となる各ドメインの DNS で、この TXT レコードの追加が必要です。
メインドメインに登録した TXT レコードを、CNAME レコードで参照する方法も可能です。
詳細は下記の記事を参照してください。
[Email DLP]複数ドメインを利用している場合、DKIM 公開鍵はすべてのドメインに登録する必要がありますか。