あなたの DKIM
は正しく設定されていますか?

DKIM キーと署名を数秒でチェック。セレクター、キーの長さ、TXT レコードを検証して、なりすましや配信の問題を防ぎます。

ドメインと(任意で)セレクターを入力して、DKIM 設定を検証してください。

有効なドメインを入力してください。
スキャンの前に同意する必要があります。
ノートパソコンで DKIM 設定を検証するユーザー

DMARCFlow の DKIM レコードチェックツールでメール認証の問題を特定・解決

DMARCFlow の DKIM チェッカーは、ドメインの DKIM 設定をテストおよび検証して、正しく設定されていることを確認します。メールが秘密鍵で署名され、署名がそのまま維持されていることを確認し、真正性とメッセージの完全性を保証します。

公開鍵がセレクターの下に正しく公開されていることを検証し、配信やセキュリティに影響する前に問題を発見します。

DKIM 結果ダッシュボード
DKIM レコード構造を説明する図

DKIM レコードとは何ですか?

DKIM レコードは、セレクターと公開鍵を含む DNS TXT エントリです。セレクターはメールに署名する秘密鍵を指し示し、公開鍵によって受信者は署名を検証して完全性を確認できます。

ドメインをスキャン

DKIM レコードの例

例:mailo がセレクターで、dmarcflow.online がドメインです。v=DKIM1 はレコードの種類、k=rsa はキーアルゴリズム、p=... は公開鍵を含みます。

DNS UI 上の DKIM レコードの例
DKIM の仕組みのイラスト

DKIM はどのように機能しますか?

DKIM は送信メールにデジタル署名を追加します。サーバーが秘密鍵で署名し、受信者は DNS から公開鍵を取得して署名を検証します。署名が一致すれば真正性が示され、不一致はリスクのフラグになります。結果として、評判が高まり受信トレイへの配置が向上します。

DKIM キーを正しく実装、管理、ローテーションする

認証を厳格に、到達率を高く保つためのクイックチェックリスト

2048 ビット RSA を使う

より強固なセキュリティと主要な受信トレイでのより良い受け入れのために、2048 ビットのキーを推奨します。

セレクターごとに公開する

安全にローテーションするために、メールストリーム(マーケティング、トランザクション)ごとに異なるセレクターを使います。

CNAME キーを避ける

プロバイダーがマネージドエイリアスを必要としない限り、TXT レコードを直接公開してください。

定期的にローテーションする

新しいセレクターを導入し、署名者を更新し、切り替え後に古いキーを廃止します。

DKIM チェック結果の見方

各 DKIM 検証ステータスが何を意味し、どう対応すべきか。

Pass

DKIM 署名は有効です。DNS の公開鍵が、メッセージに署名した秘密鍵と一致し、メールの内容は転送中に変更されていません。DKIM 設定は正しく機能しています。

Fail

署名が検証されませんでした。署名後にメッセージが変更されたか、間違った秘密鍵が使われたか、DNS の公開鍵が一致しません。メール本文やヘッダーが変更されていないか確認してください。メーリングリストはよくある原因です。

レコードが見つかりません

指定されたセレクターとドメインに DKIM TXT レコードが存在しません。セレクターが間違っているか、レコードが公開されていないか、削除されました。メールプロバイダーにセレクター名を確認し、レコードを再公開してください。

キーが短すぎます

公開鍵が 1024 ビット未満です。最新の標準では少なくとも 2048 ビットの RSA キーが必要です。短いキーは脆弱とみなされ、一部のプロバイダーはそれで署名されたメッセージを拒否します。すぐに 2048 ビットのキーにローテーションしてください。

署名の不一致

署名は存在しますが、本文のハッシュが一致しません。署名後にメールの内容が変更されました。これはリレーやメーリングリストがフッターを追加したりヘッダーを変更したりするときによく起こります。メーリングリストが DKIM 署名を密かに破損させるのではなく、きれいに無効化するよう設定してください。

DNS タイムアウト

DKIM レコードの DNS ルックアップがタイムアウトしました。これは一時的なエラーですが、繰り返す場合は DNS インフラの問題を示します。DNS プロバイダーの状態を確認し、レコードが十分に短い TTL で公開されているかをチェックしてください。

よくある DKIM の失敗とその修正方法

DMARC レポートで見られる DKIM 失敗の最も頻繁な原因とその解決策。

間違ったまたは不明なセレクター

すべての DKIM 署名はセレクターを参照します。セレクターが分からない場合は、送信済みメールの DKIM-Signature ヘッダーを確認してください。s= タグにセレクター名が含まれています。

修正: メールサーバーまたはプロバイダーのドキュメントにあるセレクターを使用してください。よくあるセレクター:googles1s2defaultmail

DKIM は通過するが DMARC は依然として失敗する

DKIM の通過だけでは DMARC には不十分です。DKIM の d= タグのドメインは、From: ヘッダーのドメインとアライメントしている必要があります。ESP があなたのドメインではなく自身のドメインで署名すると、アライメントが失敗します。

修正: ESP があなたのドメインで署名するように設定してください。主要なプラットフォーム(Mailchimp、HubSpot、SendGrid)のほとんどはカスタム DKIM 署名に対応しています。

メール転送後に DKIM が失敗する

転送されたメッセージは本文が変更される(フッターの追加、エンコードの変更)ことが多く、DKIM の本文ハッシュが壊れて失敗を引き起こします。これは想定された動作であり、あなたのせいではありません。

修正: 軽微な空白の変更を許容する relaxed 正規化(c=relaxed/relaxed)を使用してください。転送のシナリオでは、SPF アライメントが維持されていれば DMARC は通過します。

キーのローテーションで DKIM 署名が壊れた

DKIM キーをローテーションする際、メールサーバーが新しいキーに切り替わる前に古いセレクターが DNS から削除されたか、新しい DNS レコードがまだ反映されていません。

修正: 常に先に新しいセレクターを公開し、DNS の反映を待ち(最大 48 時間)、それからメールサーバーを新しいキーで署名するよう切り替えてください。その後で初めて古いセレクターを廃止します。

よくある質問

DKIM と DMARCFlow に関するよくある質問

ご質問は?お答えします!

DKIM は暗号署名を使って、メッセージが転送中に変更されておらず、ドメインによって認可されたサーバーから送られたことを証明します。

キーペアを生成し、秘密鍵でメッセージに署名するようメールシステムを設定し、公開鍵を DNS の selector._domainkey.example.com に公開します。

セレクターはどのキーを使うかを識別します。DNS 名の一部であり、ダウンタイムなしでキーをローテーションできます。

より強固な保護を提供し、より良いセキュリティと到達率のためにメールボックスプロバイダーから広く推奨されています。

DMARC(Domain-based Message Authentication, Reporting, and Conformance)は、受信メールがドメインの SPF と DKIM レコードとアライメントしているかを検証することで、ドメインの不正利用を防ぐのに役立ちます。

SPF、DKIM、DMARC レコードが適切に設定されていることを確認することで、DMARCFlow は正当なメールが受信トレイに届く一方で、疑わしいメールをブロックするのを助けます。

はい。分かりやすい手順と実用的な分析が、技術的な背景がなくてもあなたをガイドします。

はい。レコード検索や基本的な分析といった主要なツールは無料で使えます。

メッセージの送信元を認証することで、メールなりすまし、フィッシング、関連する詐欺に役立ちます。