DKIM に関する問題のトラブルシューティング

DKIM（DomainKeys Identified Mail）を設定してもドメインから送信されるメールで以下の状況が引き続き発生する場合は、この記事の手順を行ってください。

• DKIM 認証に合格しない
• 受信サーバーに拒否される
• 受信者の迷惑メールフォルダに送信される

このページの内容

• よくある問題
• 詳細なトラブルシューティング

最も一般的な解決策

• DKIM レコードがあることを確認する
• ドメインに DKIM レコードを追加する
• 認証エラーを修正する
• DKIM レコードの値を確認する
• 成功の条件

DKIM レコードがあることを確認する

DKIM レコードがあるかどうかを確認します。

• Google Workspace を使用していない場合は、インターネットから入手できるツールを使用します。
• Google Workspace を使用している場合は、このセクションの手順に沿って操作してください。

1. Google 管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Gmail] に移動します。

   Gmail に移動

   アクセスするには Gmail の「設定」管理者権限が必要です。

2. [メールの認証] をクリックします。
3. [選択したドメイン] メニューで、DKIM の設定対象となるドメインを選択します。
4. DNS ホスト名と TXT レコードの値が空白の場合は、DKIM レコードがありません。

新しい DKIM レコードを作成するには、DKIM 鍵ペアを生成するをご覧ください。次に、このページの DKIM レコードをドメインに追加するに進みます。

DKIM レコードをドメインに追加する

DKIM レコードを作成したら、そのレコード（DKIM 鍵を含む）をドメインに追加する必要があります。

推奨される手順

1. ドメインホストにログインします。
2. ドメインの DNS TXT レコードを更新するページに移動します。
3. DKIM ホスト名と推奨値で TXT レコードを追加または更新します。

DKIM 鍵をドメインに追加するをご覧ください。

認証エラーを解決する

DKIM レコードを作成してドメインに追加した後で「認証されていません」というエラーが表示された場合は、設定を完了する必要があります。

推奨手順: [メールの認証] ページに移動し、[認証を開始] をクリックします。DKIM を有効にして確認するをご覧ください。

DKIM レコードの値を確認する

DKIM レコードに正しいホスト名/TXT レコード名と TXT レコード値/DKIM 鍵が含まれていることを確認します。DKIM 鍵をドメインに追加するをご覧ください。

成功の条件

DKIM レコードを作成してドメインに追加し、認証エラーを修正して、DKIM レコードに正しい値が設定されていることを確認すると、DKIM のステータスが [メールを認証] と表示されます。設定が完了しました。

詳細なトラブルシューティング

• メールが DKIM 認証に合格することを確認する
• ドメイン プロバイダで DKIM 鍵を確認する
• メール転送を確認する
• TXT レコードの文字数制限を確認する
• DKIM 署名の数を確認する
• メール送信の方法を確認する
• DKIM 署名付きのメールを拒否するサーバーの管理者に問い合わせる

メールが DKIM 認証に合格することを確認する

Gmail で、メールが DKIM 認証に合格したかどうかを確認できます。

推奨される手順:

1. ブラウザで Gmail を開きます。
2. ヘッダーを確認するメールを開きます。
3. 返信アイコン の横にあるその他アイコン [メッセージのソースを表示] をクリックします。
   • 新しいウィンドウに、詳細ヘッダーが表示されます。
4. [クリップボードにコピー] をクリックします。

追加の手順:

• メールが DKIM 認証に合格しない場合は、別の受信者（個人の Gmail アドレスなど）にメールを送信してみてください。この操作は、受信サーバーの問題を除外するのに役立ちます。
• Google 管理者ツールボックスの Messageheader ツールにメッセージ ヘッダーを入力し、DKIM のステータスを確認します。
• ヘッダー全体からメールの経路を確認すると Gmail のメールが認証されているかどうかを確認するをご覧ください。

ドメイン プロバイダで DKIM 鍵を確認する

ほとんどの DKIM TXT レコードの最大文字数は 255 文字です。TXT レコードに 255 文字の制限がある場合、2,048 ビット長のキーを 1 つのテキスト文字列として入力することはできません。入力した場合、DKIM 鍵が切り捨てられたり、DKIM レコードが間違った順序で送信されたりする場合があります。

推奨される手順:

• DKIM TXT レコードの値全体を 1 つのテキスト文字列として入力できない場合は、TXT レコードの文字数制限を確認するに示された手順を行ってください。
• プロバイダと管理コンソールにおける DKIM TXT レコードの値を比較して、DKIM 鍵が正しいことを確認します。
  1. 管理コンソールから DKIM TXT レコードの値を取得します（google._domainkey など）。
  2. Google 管理者ツールボックスの Dig ツールにアクセスします。
  3. [TXT] をクリックします。
  4. 手順 1 で取得した DKIM TXT レコードの値を入力し、この値にピリオド（.）とドメイン名を追加します。
  5. その結果を管理コンソールの値と比較します。DKIM 鍵のすべての文字が含まれ、正しい順序になっている場合は、鍵を 2 つの部分に分けることができます。

メール転送を確認する

ドメインに DKIM が正しく設定されていても、転送メールが DKIM 認証に合格しないことがあります。メールがメールサーバーからどのような方法で転送されたかによって、このような結果になることがあります。

メール送信者向けの推奨手順:

• 転送中にメールが変更されていないことを確認します。Authentication-results: ヘッダーを見つけます。dkim エントリの横にあるテキストが「body hash did not verify」となっている場合、メールは送信中に変更されています。
• 送信ゲートウェイを使用している場合は、送信されるメールが送信前に変更されていないことを確認します。たとえば、送信ゲートウェイによっては、すべての送信メールの下部にフッターを追加するようになっています。メールの送信後に内容が変更されるため、DKIM 認証に合格しないことがあります。

メール受信者向けの推奨手順:

• メールログ検索を使用して、メールが転送されたことを確認します。メールを迷惑メールとして報告したユーザーが元の受信者ではない場合、そのメールは転送された可能性があります。
• メールを転送したサービスに連絡して、メールを転送する方法を変更できるかどうかを確認してください。

メールを Gmail に転送するおすすめの方法もご覧ください。

TXT レコードの文字数制限を確認する

DKIM 値の入力中にエラーが表示される場合は、DNS TXT レコードに使用できる文字数がドメイン プロバイダによって制限されている可能性があります。

推奨される手順:

2, 048 ビットの DKIM 鍵を使用している場合、その鍵を 255 文字の制限がある DNS レコードに 1 つのテキスト文字列として入力することはできません。その場合は次の手順を実施してください。

1. 鍵の文字を複数のテキスト文字列に分割します。
2. 各文字列を引用符で囲みます。
3. ドメイン プロバイダの TXT レコードの値欄に、文字列を 1 つずつ入力します。

次の例では、長い DKIM 鍵が 2 つのテキスト文字列に分割され、各文字列が引用符で囲まれています。

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

以下の方法もお試しください。

• DKIM 鍵ペアを生成するときに、1,024 ビットの鍵を選択して使用します。
• 255 文字を超える TXT レコードに対応できるかどうかをドメインホストに問い合わせます。対応できる場合は、DKIM 鍵ペアを生成するの手順に沿って、2, 048 ビットの DKIM 鍵で DNS レコードを更新できます。

追加する TXT レコードは、ドメイン プロバイダで 49 件以内にすることをおすすめします。この数は、ほとんどのドメイン プロバイダでサポートされている最大数です。

DKIM 署名の数を確認する

メールには複数の DKIM 署名で署名できます。ただし、Gmail は Authentication-Results: メッセージ ヘッダーに記載されている最初の 5 つの署名のみをチェックします。Gmail では、ヘッダーに表示されている順に署名がチェックされます。認証署名がヘッダーに記載されている最初の 5 つの署名のいずれでもない場合、メールは DKIM 認証に失敗します。また、このことが原因でメールが DMARC に不合格となることもあります。

Gmail がメールの署名を確認する際に使用する署名を確認するには、メールの Authentication-Results: ヘッダーを確認します。Gmail メッセージのヘッダーを確認する手順について詳しくは、ヘッダー全体からメールの経路を確認するをご覧ください。

メール送信の方法を確認する

DKIM が正しく設定されているにもかかわらずメールが迷惑メールに分類される場合、原因は DKIM 以外の部分にある可能性があります。

推奨される手順:

• 大量のメールを送信する場合は特に、Gmail ユーザーへのメール送信に関する推奨ガイドラインに沿っていることを確認してください。

DKIM 署名付きのメールを拒否するサーバーの管理者に問い合わせる

DKIM が正しく設定されていても、ドメインから送信したメールが受信サーバーによって拒否されたり、受信者の迷惑メールフォルダに振り分けられたりする可能性はあります。

推奨される手順:

• 拒否したメールサーバーの管理者にお問い合わせください。
• DKIM 認証の結果に関するレポートが届くように DMARC を設定します。DMARC を設定するをご覧ください。
• Google Workspace 以外のメールシステムで DKIM を設定する場合は、送信メールに DKIM の長さタグ（l=）を使用しないでください。このタグを使用するメッセージは悪用される可能性があります。詳しくは、RFC 6376 のセクション 8.2 をご覧ください。

Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。