DKIM を設定する

Gmail ユーザー: Gmail で迷惑メールやフィッシング メールが届く場合は、こちらをご確認ください。Gmail でメールの送受信に問題がある場合は、こちらをご確認ください。

メール送信者: 個人用 Gmail アカウントにメールを送信する場合は、メールが想定どおりに配信されるように、メール認証を設定する必要があります。すべての送信者は、SPF を設定するか、DKIM を設定する必要があります。一括送信者(1 日あたり 5,000 件以上のメールを送信するユーザー)は、SPF の設定DKIM の設定DMARC の設定が必要です。詳しくは、メール送信者のガイドラインをご覧ください。

DKIM は、DKIM 署名でメールを認証することで、なりすましからドメインを保護します。DKIM を設定するには、公開 DKIM 鍵を生成し、ドメインに追加します。受信サーバーは公開 DKIM 鍵を使用して DKIM 署名を読み取り、ドメインから受信したメールを認証します。

このページの内容

始める前に

  • ドメインで DKIM がすでにデフォルトで設定されている場合や、Google Workspace のお申し込み時に Google パートナーからドメインを購入された場合は、DKIM を設定する必要はありません。ドメインで DKIM がすでに設定されているかどうかを確認するには、多数の無料ツールがインターネットで公開されていますので、そちらをご利用ください。
  • 送信ゲートウェイを使用している場合は、設定が DKIM に干渉しないようにする必要があります。送信ゲートウェイは、すべてのメールの下部にフッターを追加するなど、送信メールに変更を加えるように設定できます。送信メールを処理するために送信ゲートウェイを設定するをご覧ください。

DKIM の仕組み

DKIM を設定するには、ドメインの DKIM 鍵のペアを生成します。

  • DKIM 用にドメインの DNS TXT レコードに保存されている公開鍵。これは、ドメインに追加するキーです。
  • メールサーバーにアップロードされている秘密鍵。この鍵により、各送信メールに DKIM 署名が生成され、追加されます。
秘密鍵を持つ送信者のメールサーバー。
公開鍵を含む送信者の DKIM TXT レコード。
送信者の秘密鍵により、送信メールのヘッダーに DKIM 署名が追加されます。
メールが受信者のドメインに送信されます。
受信者のメールサーバーは DKIM TXT レコードから公開鍵を取得し、その鍵を使用して DKIM 署名を読み取り、メールを認証します。

ステップ 1: DKIM 鍵ペアを生成する

  • Google Workspace を使用している場合は、このセクションの手順に沿って操作してください。
  • Google Workspace を使用していない場合は、インターネットから入手できるツールを使用して、次の操作を行います。
    • DKIM プレフィックス セレクタを確認します。受信トレイにテストメールを送信し、メールのソースを表示して、DKIM-Signature ヘッダーの s の値を確認します。
    • ドメイン名、鍵長、DKIM プレフィックス セレクタを指定して、DKIM 鍵ペアを生成します。
    • 秘密鍵をメールサーバーの構成に保存し、公開鍵をドメインに追加します。
この操作を行うには、特権管理者としてログインする必要があります。

重要: Google Workspace では、組織で Gmail を有効にした後、24 ~ 72 時間ほど待ってから、管理コンソールで DKIM 鍵を取得してください。この時間より前に鍵を生成しようとすると、DKIM レコードが作成されていないというエラーが表示されることがあります。

  1. Google 管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Gmail] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. [メールの認証] をクリックします。
  3. [選択したドメイン] メニューで、DKIM の設定対象となるドメインを選択します。
  4. [新しいレコードを生成] ボタンをクリックします。
  5. [新しいレコードを生成] ボックスで DKIM 鍵の設定を選択します。
    • 2048 - ドメイン プロバイダが 2, 048 ビットの鍵に対応している場合は、このオプションを選択します。ビット長の長い鍵は短い鍵よりも安全です。以前に 1,024 ビットの鍵を使用していて、ドメイン プロバイダが 1,024 ビットと 2,048 ビットの両方に対応している場合は、2,048 ビットの鍵に切り替えることができます。
    • 1024 - ドメインホストが 2, 048 ビットの鍵に対応していない場合は、このオプションを選択します。
    • プレフィックス セレクタのオプション:

  6. [生成] をクリックします。[メールの認証] ページで [TXT レコードの値] が更新され、「DKIM 認証設定が更新されました」というメッセージが表示されます。

    重要: DKIM 鍵を追加した後も、Google 管理コンソールのメールの認証ページには引き続き [このドメインの DNS レコードを更新する必要があります] というメッセージが最長で 48 時間ほど表示されることがあります。ドメイン プロバイダで DKIM 鍵を正しく追加した場合は、このメッセージを無視してかまいません。

  7. [メールの認証] ウィンドウに表示されている DKIM 値をコピーします。この値は、次のステップでドメイン プロバイダに追加します。

    DNS ホストの名前(TXT レコード名) - このテキストは、DKIM TXT レコードの名前です。この名前は、ドメイン プロバイダの TXT レコードの [Host] フィールドに追加します。
    TXT レコードの値 - このテキストは DKIM 鍵で、この鍵はドメイン プロバイダの TXT レコードの [TXT Value] フィールドに追加します。

重要: [認証を開始] はまだクリックしないでください。これは後で行います。

ステップ 2: DKIM 鍵をドメインに追加する

DKIM 鍵ペアを生成したら、DKIM TXT レコードを作成して、公開 DKIM 鍵をドメインに追加します。

ドメインのログイン情報、設定、TXT レコードについては、ご利用のドメイン プロバイダにお問い合わせください。サードパーティのドメイン プロバイダに関しては、Google のテクニカル サポートの対象外です。
  1. ドメインホスト(通常はドメイン名の販売元)にログインします。ドメインホストがわからない場合は、ドメイン登録事業者を特定するをご覧ください。
  2. ドメインの DNS TXT レコードを更新するページに移動します。このページを見つける方法については、ドメインのドキュメントをご確認ください。

  3. 次の情報を含めて TXT レコードを追加または更新します(使用するドメインのドキュメントを参照)。

    フィールド名 入力する値
    タイプ レコードタイプは TXT です。
    ホスト(名前、ホスト名、エイリアス) TXT レコード名を構成する文字列。たとえば、google._domainkey のようにします。 [こちらの手順](#dkim-values)(このページの上部)をご覧ください。
    TXT レコード値を構成する文字列。先頭は v=DKIM1 のような形式にする必要があります。[こちらの手順](#dkim-values)(このページの上部)をご覧ください。

    注: 一部のドメイン プロバイダでは、TXT レコードの長さが制限されています。該当する場合は、ドメイン プロバイダの TXT レコードの文字数制限を確認するをご確認ください。

  4. 変更を保存します。

  5. サブドメインを使用している場合は、ドメイン プロバイダに問い合わせて、サブドメインの TXT レコードを追加する方法をご確認ください。

  6. DKIM を複数のドメインに設定する場合は、ドメインごとに次の手順を完了してください。ドメインごとに、管理コンソールで一意の DKIM 鍵を取得する必要があります。

    DKIM 鍵を追加してから DKIM 認証が機能するようになるまでには、最長で 48 時間ほどかかることがあります。

ステップ 3: DKIM を有効にして確認する

  • Google Workspace を使用している場合は、このセクションの手順に沿って操作してください。
  • Google Workspace を使用していない場合は、インターネットで入手できるツールのいずれかを使用します。

  1. Google 管理コンソールで、メニュー アイコン [アプリ] [Google Workspace] [Gmail] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. [メールの認証] をクリックします。
  3. [選択したドメイン] メニューで、DKIM を有効にするドメインを選択します。
  4. [認証を開始] をクリックします。DKIM の設定が完了して正しく機能すると、ページ上部のステータスが [DKIM でメールを認証しています] に変わります。
  5. Gmail または Google Workspace を使用しているユーザーにメールを送信します。(自分自身にテストメールを送っても DKIM が有効であることを確認することはできません)。

  6. 受信者の受信トレイで該当のメールを開き、メッセージ ヘッダー全体を確認します。

    注: メッセージ ヘッダーを表示する手順は、メール アプリケーションによって異なります。Gmail でメッセージ ヘッダーを表示するには、[返信] の横にある [その他] [メッセージのソースを表示] をクリックします。

  7. メッセージ ヘッダーで Authentication-Results の文字列を探します。メッセージ ヘッダーの形式は受信サービスによって異なりますが、DKIM の結果では DKIM=passDKIM=OK などのように表示されます。 メッセージ ヘッダーに DKIM に関する行が含まれていない場合、ドメインから送信されたメールは DKIM で署名されません。

次のステップ

  • 組織に対して SPF 認証と DMARC 認証も設定することをおすすめします。一括送信者は、DKIM、SPF、DMARC を設定する必要があります。詳しくは、メール送信者のガイドラインをご覧ください。
  • DKIM が機能しているかどうか、またはドメインから送信されたメールが迷惑メールに分類されるかどうかがわからない場合は、DKIM に関する問題のトラブルシューティングをご覧ください。
  • 必要に応じて、BIMI を設定して、ドメインから送信されるメールに組織のロゴを追加することも検討してください。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。