メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

[Email DLP] テナント設定 - DKIM の設定

対象

  • Email DLP にて DKIM 機能を利用する管理者

目的

  • Email DLP にて DKIM 機能を設定する手順を説明します。

注意事項

  1. 本記事の内容は 2025 年 12 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
  2. Email DLP 管理画面へのアクセス方法は、以下の記事をご参照ください。
    [Email DLP] 管理画面へのログイン方法

概要

DKIM とはなにか?なぜ登録するのか?

DKIM は送信ドメイン認証の一種で、メールの改ざんを検知するための手法です。
DKIM レコードを DNS へ登録し送信元のメールサーバーにて DKIM 署名を有効化することで、メール送信時、メールヘッダーに DKIM で認証するための電子署名が付与されるようになります。
送信先のメールサーバーはこの電子署名を検証し、メールが改ざんされていないことを確認します。

DKIM 認証では DKIM 署名が正当なものであるか、なりすましの可能性がないかについて、送信先のメールサーバーが送信者アドレスのドメインを管理する DNS に問い合わせます。
このとき DKIM 署名と DNS に公開されている DKIM レコードを用いて、メールが改ざんされていないことを確認します。
このように DKIM を利用することで、メールのなりすましを防止し、メールセキュリティを向上させることができます。

近年では、Google 社など大手メールサービス事業者がセキュリティの観点から DKIM 認証が pass することを強く推奨しています。
DKIM 認証が pass しない場合、メールが送信先のメールサーバーに拒否され正しく届かなくなったり、迷惑メールと判定される可能性があります。

 

DKIM セレクターとはなにか?

DKIM セレクターは、DKIM 認証を行う際に、どこに認証のために必要な公開鍵が保管されているかを、認証を行おうとするメールサーバーに示すものです。

DKIM レコードと紐づいて使用されます。

 

Google Workspace / Microsoft 365 で DKIM 設定を有効にしているが、Email DLP でも設定が必要なのか?

ご認識の通りです。
送信メールの DKIM 署名は全てのメール送信サーバーで行う事を推奨しております。
一般的にそれぞれの送信メールサーバーではメールを受け取った時点での SPF・DKIM・DMARC の結果をARC(Authenticated Received Chain) ヘッダーと呼ばれる箇所に記載いたします。
受信メールサーバーによっては、この ARC ヘッダーの履歴を確認し、メールの受信許可・拒否などの判定に使用する場合がございます。
そのため、各送信メールサーバで DKIM 設定を行い、DKIM 認証の成功の履歴が ARC ヘッダーに記載されるようにする事で、メールが正常に受け取られる可能性を高める事ができます。

※Email DLP につきましては次の記事のように ARC に対応しております。
 リリース情報:[Email DLP] 2023年8月(ARCへの対応)

なお、Email DLP で DKIM 署名の設定を実施していない場合で、 Google Workspace / Microsoft 365 の DKIM 署名がついた添付ファイル付きメールを Email DLP で自動 ZIP 暗号化もしくは Secure Download での URL 化をすると、受信メールサーバーの DKIM 認証時に改ざんされたとみなされる可能性があります。

 

DKIM レコードを設定することにより、すべてのメール送信に影響は出ないか?

DKIMの設定によって既存のメール送信が突然止まったり、届かなくなるような悪影響が出ることはまずありません。
なお、DKIM設定による影響範囲は、DKIM検証を導入している受信環境のみとなります。 一般的な迷惑メールチェックでは、SPFやコンテンツ、レピュテーションなど様々な項目が総合的に判断されます。そのため、DKIMの設定ひとつで評価のすべてが決まるわけではない点をご留意ください。

 

DKIM 設定は必須作業なのか?

厳密なインターネットのルールとしてDKIM認証は強制されているわけではありませんが、GoogleやYahoo!などのメールサービスにおける送信者ガイドラインでもSPF及びDKIM署名の義務化が発表されるなど実務上は必須であると考えております。また、Email DLP導入の際にも必ずご設定いただくようお願いいたしております。

 

DKIM レコードを Microsoft 365 / Google Workspace と Email DLP の双方で行うことは可能か?

可能です。
DKIM セレクターを分けることで、複数の公開鍵を TXT レコードに設定することができます。

複数ドメインを利用している場合、DKIM公開鍵を全てのドメインに登録することが必要か?

サブドメイン(例:sub.example.com )を含む、複数ドメインにて DKIM レコードを有効化したい場合は、対象となる各ドメインの DNS にて、この TXT レコードの追加が必要です。
メインドメインに登録したTXTレコードを、CNAMEレコードで参照する方法も可能です。
詳細は下記の記事をご参照ください。
[Email DLP] 複数ドメインを利用している場合、DKIM公開鍵は全てのドメインに登録する必要がありますか?

目次

  1. DKIM の有効化
  2. DKIM 有効化状況の確認
  3. DKIM の検証

手順

DKIM の有効化

1. Email DLP 管理画面 [テナント設定] - [DKIM 設定] を選択し、[+ 新しいセレクターを追加] ボタンをクリックします。

20211206_1.png

2. [DKIM セレクター作成] のウィンドウが表示されましたら、以下情報を入力します。

  • セレクター名 : 下記の条件を満たす任意の値を入力してください。
    ※ 使用可能な文字:a-z、0-9 の英数字、ドット(.)、ハイフン(-)
    ※ 最大文字数:63 文字
    ※ その他の条件:小文字で始める必要があります。
  • 鍵長 :  [1024 ビット] または [2048 ビット] から選択します。
    ※ セキュリティ向上のため 2048 ビットの鍵長での発行を推奨しております。
    ※ DNS の文字列の長さの制限などにより 2048 ビットの鍵長を設定できない場合には 1024ビットの鍵長で発行ください。

20211206_2.png

3. 作成したセレクターを選択後に表示された値を DNS の TXT レコードに追加します。
TXT レコードの名前、TXT レコードの値にカーソルを合わせ選択することでコピーが可能です。
※ デフォルトで TXT レコード値に [t=y;] (テストモード) のタグも表示されているため、本番利用する場合は  [t=y;] を削除してください。
※ サブドメイン(例:sub.example.com )を含む、複数ドメインにて DKIM レコードを有効化したい場合は、対象となる各ドメインの DNS にて、この TXT レコードの追加が必要となります。
※ DNS サーバー上での TXT レコードの追加方法は、各サーバーによって異なります。詳細は、DNS サーバー事業者にご確認ください。

20211206_3.png

20211206_4.png

4.コマンドプロンプト (Windows) もしくはターミナル (Mac OS) を開き、コマンドを実行し、設定した TXT レコードの値が表示されることを確認します。

<Windows OSの場合> ※ コマンドプロンプトでご利用ください。
nslookup -type=TXT <セレクタ名>._domainkey.<追加ドメイン> 8.8.8.8
【表示例】
C:\Windows\system32>nslookup -type=TXT <セレクタ名>._domainkey.<追加ドメイン> 8.8.8.8
サーバー: dns.google
Address: 8.8.8.8

権限のない回答:
<セレクタ名>._domainkey.<追加ドメイン>. text =
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
<Mac OSの場合> ※ ターミナルでご利用ください。
dig +short @8.8.8.8 <セレクタ名>._domainkey.<追加ドメイン> txt
【表示例】
dig +short @8.8.8.8 <セレクタ名>._domainkey.<追加ドメイン> txt
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"

5. DNS への TXT レコード登録後、[有効化する] を選択します。

20211206_5.png

6. [ドメイン名] に DKIM 登録をするドメインを入力し [有効化する] ボタンをクリックします。
複数のドメインについて登録する場合は、[+ ドメインを追加] を選択すると項目が追加されます。
※ 既存のセレクターへのドメインの追加方法につきましては、次の記事をご参照ください。
既存の DKIM にドメインを追加する

20211206_6.png

DKIM 有効化状況の確認

DKIM を有効化したすべてのドメインで、下記の手順を実施してください。

  1. Email DLP 管理画面で[テナント設定]-[DMARC適用状況]へアクセスします。

    スクリーンショット 2026-01-13 11.51.40.png

  2. DKIM を有効化したドメインをクリックして、詳細を開きます。

    スクリーンショット 2026-01-13 14.54.11.png

  3. 「DKIM」のステータスが「有効」になっていることを確認します。

    スクリーンショット 2026-01-13 14.54.33.png

DKIM の検証

新たに DKIM を登録した場合、以下の手順でテストモードの解除および動作テストを行ってください。
※ Email DLP を新規導入する場合は、Email DLP の接続が完了した後にテストモードの解除および動作テストを行ってください。

テストモードの解除

DNS サーバーに設定している TXT レコードを確認し、 DKIM の値から ”t=y” を削除してください。
※Email DLP で必要な作業はありません。(Email DLP に表示されているTXTレコードはサンプルレコードです)
レコードの削除後、再度 DKIM 有効化状況の確認 で状況を確認してください。

動作テスト