ご質問
複数ドメインを利用している場合、DKIM 公開鍵は全てのドメインに登録する必要がありますか?
回答
DKIM の仕様上、Email DLP を経由するドメインは、対応する公開鍵を DNS の TXT レコードとして公開する必要があります。
そのため、複数のドメインをご利用の場合は、各ドメインの DNS に DKIM 公開鍵を登録する必要があります。
なお、DKIM 鍵のローテーション作業を簡素化したい場合、CNAME レコードで 1 つのドメインに登録した TXT レコードを参照することも可能です。
1 つのドメインを「プライマリドメイン」として、公開鍵の実体(TXT レコード)を配置し、その他のドメインでは「CNAME レコード」でこの実体を参照させることで、鍵の管理を一元化します。
※ CNAME による DKIM 設定については、自ドメインを参照する方式にのみ対応しています。
Email DLP のドメインを CNAME で参照する方式には対応しておりませんので、ご注意ください。
手順
- プライマリドメインへの公開鍵の配置
鍵の実体となる公開鍵 (TXT レコード) を、任意のドメイン (例: main-domain.com) に設定します。 - 他ドメインからの参照設定
その他のドメイン (例: other-domain.com) の DKIM レコードを、プライマリドメインの TXT レコードを指すよう CNAME で設定します。
参考
プライマリドメインを example.com 、他のドメインを sub-example.com とした場合の DNS 設定例です。セレクターは your-selector を使用します。
| ドメイン | ホスト名 | レコードタイプ | 値/参照先 |
| example.com | your-selector._domainkey | TXT | v=DKIM1; p=(公開鍵の文字列) |
| sub-example.com | your-selector._domainkey | CNAME | your-selector._domainkey.example.com |
実際の DKIM 公開鍵の生成、設定方法については下記の記事をご参照ください。
[Email DLP] テナント設定 - DKIM の設定
[Email DLP] 既存の DKIM にドメインを追加