DKIM に関する問題のトラブルシューティング

DomainKeys Identified Mail（DKIM）を設定しても、ドメインから送信されるメールで以下の状況が引き続き発生する場合は、この記事の手順を行ってください。

• DKIM 認証に合格しない
• 受信サーバーに拒否される
• 受信者の迷惑メールフォルダに送信される

このページの内容

• 最も一般的な問題
• 詳細なトラブルシューティング

最も一般的な解決策

• DKIM レコードがあることを確認する
• DKIM レコードをドメインに追加する
• 認証エラーを修正する
• DKIM レコードの値を確認する
• 成功の条件

DKIM レコードがあることを確認する

DKIM レコードがあるかどうかを確認します。

• Google Workspace を使用していない 場合は、インターネットから入手できるツールを使用します。
• Google Workspace を使用している 場合は、このセクションの手順に沿って操作してください。

1. Google 管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Gmail] に移動します。

   Gmail に移動

   アクセスするには Gmail の「設定」管理者権限が必要です。

2. [メールの認証] をクリックします。
3. [選択したドメイン] メニューで、DKIM の設定対象となるドメインを選択します。
4. DNS ホスト名と TXT レコードの値が空白の場合は、DKIM レコードがありません。

新しい DKIM レコードを作成するには、DKIM 鍵 ペアを生成するに移動します。次に、 DKIM レコードをドメインに追加する（このページ）に移動します。

DKIM レコードをドメインに追加する

DKIM レコードを作成したら、そのレコード（DKIM 鍵を含む）をドメインに追加する必要があります。

おすすめの手順

1. ドメインホストにログインします。
2. ドメインの DNS TXT レコードを更新するページに移動します。
3. DKIM ホスト名と推奨値を使用して、TXT レコードを追加または更新します。

DKIM 鍵を ドメインに追加するに移動します。

認証エラーを修正する

DKIM レコードを作成してドメインに追加した後、「認証されていません」というエラーが表示される場合は、設定を完了する必要があります。

おすすめの手順: [メールの認証] ページに移動して [**認証を開始**] をクリックします。DKIM を有効にして確認する をご覧ください。

DKIM レコードの値を確認する

DKIM レコードに正しいホスト名/TXT レコード名と TXT レコードの値/DKIM 鍵が含まれていることを確認します。DKIM 鍵を ドメインに追加するをご覧ください。

成功の条件

DKIM レコードを作成し、DKIM レコードをドメインに追加して、認証エラーを修正し、DKIM レコードの値が正しいことを確認すると、DKIM のステータスが [DKIM でメールを認証しています] と表示されます。 これで設定は完了です。

詳細なトラブルシューティング

• メールが DKIM 認証に合格することを確認する
• ドメイン プロバイダで DKIM 鍵を確認する
• メール転送を確認する
• TXT レコードの文字数制限を確認する
• DKIM 署名の数を確認する
• メール送信の方法を確認する
• DKIM 署名付きのメールを拒否するサーバーの管理者に問い合わせる

メールが DKIM 認証に合格することを確認する

メールが DKIM 認証に合格したかどうかは、Gmail で確認できます。

おすすめの手順:

1. ブラウザで Gmail を開きます。
2. ヘッダーを確認するメールを開きます。
3. 返信アイコン の横にあるその他アイコン [メッセージのソースを表示] をクリックします。
   • 新しいウィンドウに、詳細ヘッダーが表示されます。
4. [クリップボードにコピー] をクリックします。

追加の手順:

• メールが DKIM 認証に合格しない場合は、別の受信者（個人の Gmail アドレスなど）にメールを送信してみてください。この操作は、受信サーバーの問題を排除するのに役立ちます。
• Google Admin Toolbox Messageheader ツールにメールヘッダーを入力して、DKIM のステータスを確認します。
• ヘッダー全体からメールの経路を確認すると Gmail のメールが認証されているかどうかを確認するをご覧ください。

ドメイン プロバイダで DKIM 鍵を確認する

ほとんどの DKIM TXT レコードの最大文字数は 255 文字です。TXT レコードに 255 文字の制限がある場合、2,048 ビット長のキーを 1 つのテキスト文字列として入力することはできません 。入力した場合、DKIM 鍵が切り捨てられたり、DKIM レコードが間違った順序で送信されたりする場合があります。

おすすめの手順:

• DKIM TXT レコードの値全体を 1 つの テキスト文字列として入力できない場合は、TXT レコードの文字数制限を確認する の手順を行ってください。
• プロバイダの DKIM TXT レコードの値を管理コンソールの値と比較して、DKIM 鍵が正しいことを確認します。
  1. 管理コンソールから DKIM TXT レコードの値（google._domainkey など）を取得します。
  2. Google 管理者ツールボックス Dig ツールに移動します。
  3. [TXT] をクリックします。
  4. ステップ 1 の DKIM TXT レコードの値を入力し、末尾にピリオド（.）とドメイン名を追加します。
  5. その結果を管理コンソールの値と比較します。すべてのキー文字が正しい順序で含まれている場合、DKIM 鍵は 2 つの部分に分けることができます。

メール転送を確認する

ドメインに DKIM が正しく設定されていても、転送メールが DKIM 認証に合格しないことがあります。これは、メールサーバーがメールを転送する方法が原因である可能性があります。

メール送信者向けのおすすめの手順:

• 転送中にメールが変更されていないことを確認します。[Authentication-results:] ヘッダーを探します。dkim エントリの横にあるテキストが「body hash did not verify 」となっている場合、メールは送信中に変更されています。
• 送信ゲートウェイを使用している場合は、送信されるメールが送信前に変更されていないことを確認します。たとえば、送信ゲートウェイによっては、すべての送信メールの下部にフッターを追加するようになっています。メールの送信後にメールの内容が変更されるため、DKIM が失敗する可能性があります。

メール受信者向けのおすすめの手順:

• メールログ検索 を使用して、メールが転送されたことを確認します。メールを迷惑メールとして報告したユーザーが元の受信者でない場合は、メールが転送された可能性があります。
• メールを転送したサービスに問い合わせて、メールの転送方法を変更できるかどうかを確認します。

メールを Gmail に転送するおすすめの方法もご覧ください。

TXT レコードの文字数制限を確認する

DKIM 値の入力中にエラーが表示される場合は、DNS TXT レコードに使用できる文字数がドメイン プロバイダによって制限されている可能性があります。

おすすめの手順:

2, 048 ビットの DKIM 鍵を使用している場合、その鍵を 255 文字の制限がある DNS レコードに 1 つのテキスト文字列として入力することはできません。その場合は次の手順を実施してください。

1. 鍵の文字を複数のテキスト文字列に分割します。
2. 各文字列を引用符で囲みます。
3. ドメイン プロバイダの TXT レコードの値欄に、文字列を 1 つずつ入力します。

この例では、長い DKIM 鍵が 2 つのテキスト文字列に分割され、各文字列が引用符で囲まれています。

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

以下の方法もお試しください。

• DKIM 鍵ペアを生成するときに、1,024 ビットの鍵を選択して使用します。
• 255 文字を超える TXT レコードに対応できるかどうかをドメインホストに問い合わせます。対応できる場合は、DKIM 鍵ペアを生成するの手順に沿って、2, 048 ビットの DKIM 鍵で DNS レコードを更新できます。

追加する TXT レコードは、ドメイン プロバイダで 49 件以内にすることをおすすめします。この数は、ほとんどのドメイン プロバイダでサポートされている最大数です。

DKIM 署名の数を確認する

メールには複数の DKIM 署名を付加できます。ただし、Gmail では、[Authentication-Results:] メールヘッダーに記載されている最初の 5 つの署名のみがチェックされます。Gmail は、ヘッダーに表示されている順に署名をチェックします。認証署名がヘッダーに記載されている最初の 5 つの署名のいずれでもない場合、メールは DKIM 認証に合格しません。また、メールが DMARC に合格しない原因となる可能性もあります。

Gmail がメールの署名をチェックしているかどうかを確認するには、メールの [Authentication-Results:] ヘッダーを確認します。Gmail メールヘッダーを確認する手順について詳しくは、ヘッダー全体からメールの経路を確認する をご覧ください。

メール送信の方法を確認する

DKIM が正しく設定されているにもかかわらず、メールが迷惑メールに振り分けられる場合は、DKIM 以外の原因が考えられます。

おすすめの手順:

• 特に大量のメールを送信する場合は、Gmail ユーザーにメールを送信する際の推奨ガイドライン に沿って操作してください。

DKIM 署名付きのメールを拒否するサーバーの管理者に問い合わせる

DKIM が正しく設定されていても、ドメインから送信したメールが受信サーバーによって拒否されたり、受信者の迷惑メールフォルダに振り分けられたりする可能性はあります。

おすすめの手順:

• 拒否したメールサーバーの管理者にお問い合わせください。
• DKIM 認証の結果に関するレポートが届くように DMARC を設定します。 DMARC を設定するをご覧ください。
• Google Workspace 以外のメールシステムで DKIM を設定する場合は、送信メールに DKIM の長さタグ（l= ）を使用しないでください。このタグを使用するメールは悪用される可能性があります。詳しくは、RFC 6376 の セクション 8.2 をご覧ください。