このマニュアルでは、DKIM署名、ARC署名およびDMARCの設定についてご案内しています。
DKIM/ARC/DMARCとは
DKIM
送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましをしていないことが証明できる機能です。
ARC
メール転送時にDKIM署名が失敗する問題を解決するために設計された仕組みです。
メールを転送すると、件名や内容、ヘッダーが変更されることがあり、これがDKIMの検証で「失敗」と見なされることがあります。
ARC署名は、各中継サーバーがメールを認証した結果をヘッダーに追加します。
この履歴情報を使って、受信側のサーバーはメールの信頼性を判断できます。
これにより受信者はメールが正当なものであるかどうかを確認しやすくなり、フィッシングやなりすましを防ぎやすくなります。
注意事項(ARC)
- ARCは、DKIM設定を行うことで自動的に利用開始になるため、個別の設定項目はありません。
- メールの内部配送にはARC署名されません。
- 同じサーバーで作成されているメールアドレス宛に転送した場合、内部配送になるためARC署名されません。
- メーリングリストのメンバーに同じサーバーで作成されているメールアドレスがある場合、そのメンバーのメールは、内部配送になるためARC署名されません。
DMARC
DKIMなどで迷惑メールと判定されたメールをどのように処理するかを指示するDNSの設定値です。
関連情報
Gmail宛てにメールを送信するお客様へ・メール送信者のガイドライン変更(Gmail)に伴う設定変更のお願い 送信先で迷惑メール扱いされない?DKIM機能って何?はじめに
- DKIM、DMARCの設定の実施後、ネームサーバー(DNS)の反映とともにご利用いただけるようになります。(情報が反映するまで数時間~48時間を要します)
- 設定するメールドメインのネームサーバーをご確認ください。
ネームサーバーが以下の場合はDKIM署名、DMARCを設定する(さくらのネームサーバー利用の場合)へお進みください。ネームサーバー1 ns1.dns.ne.jp ネームサーバー2 ns2.dns.ne.jp 上記以外のネームサーバーが設定されている場合はDKIM署名、DMARCを設定する(他社のネームサーバー利用の場合)へお進みください。
ネームサーバーがご不明な場合は以下のツール等でご確認ください。(ツールの利用方法はサポート対象外です)
Google Admin Toolbox(外部サイト)
DKIM署名、DMARCを設定する(さくらのネームサーバー利用の場合)
サーバーコントロールパネルログイン1「サーバーコントロールパネル」にログインします。ログイン方法は下記を参照ください。 サーバーコントロールパネルにログインしたい注意事項 「メールアドレス / パスワード」でログインした場合は、メール設定しかコントロールパネルに表示されませんので、必ず「初期ドメインまたは追加されたドメイン / パスワード」でログインをお願いいたします。 コントロールパネルにドメインなどの設定項目が表示されない | |||||||||||||||
DKIM設定画面を表示1メール(ビジネス以上は、ユーザー・メール)から『メールドメイン』をクリックします。
2サーバーに登録されているドメイン名が表示されますので、DKIM署名を行いたいドメインの『設定』をクリックし、『DKIM設定』をクリックします。
SPF、DKIM、DMARCが設定済みであるかは、メールドメインの一覧で確認できます。 
| |||||||||||||||
DKIM、DMARCを設定以下の項目を選択、入力します。 
(※1)セレクタの詳細や利用方法に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。 (※2)DKIMレコードの『利用する』チェックを外して設定完了した場合は、DKIMレコードは登録されず、秘密鍵の登録と秘密鍵を用いた公開鍵の作成を行います。
(※3)DMARCは後から設定することもできます。 (※4)異なるドメインのメールアドレスへレポートを送信を行う場合は、レポート送信先ドメインのDNS設定が必要です。 お手持ちの秘密鍵を利用する場合 『作成済の秘密鍵をアップロードする』にチェックを入れ、RSA秘密鍵ファイルをアップロードしてください。 
| |||||||||||||||
設定内容を保存『設定する』ボタンをクリックして、設定完了です。 ※情報が反映するまでに数時間~48時間程度必要となる場合があります。 ご注意ください DKIM署名は以下の条件のみ対象になります。
|
DKIM署名、DMARCを設定する(他社のネームサーバー利用の場合)
他社のネームサーバーを利用している場合、公開鍵がネームサーバーに登録されている必要があります。
他社のネームサーバー(DNS)で行う操作方法や設定内容は、サポート対象外です。
サーバーコントロールパネルログイン1「サーバーコントロールパネル」にログインします。ログイン方法は下記を参照ください。 サーバーコントロールパネルにログインしたい注意事項 「メールアドレス / パスワード」でログインした場合は、メール設定しかコントロールパネルに表示されませんので、必ず「初期ドメインまたは追加されたドメイン / パスワード」でログインをお願いいたします。 コントロールパネルにドメインなどの設定項目が表示されない | |||||||||||
DKIM設定画面を表示1メール(ビジネス以上は、ユーザー・メール)から『メールドメイン』をクリックします。
2サーバーに登録されているドメイン名が表示されますので、DKIM署名を行いたいドメインの『設定』をクリックし、『DKIM設定』をクリックします。
SPF、DKIM、DMARCが設定済みであるかは、メールドメインの一覧で確認できます。
| |||||||||||
公開鍵の情報を確認する1公開鍵を作成する以下の項目を選択、入力します。
(※1)セレクタの詳細や利用方法に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。 (※2)本項目はさくらインターネットのネームサーバーにDKIM/DMARCレコードを登録するためのチェックボックスです。 お手持ちの秘密鍵を利用する場合 『作成済の秘密鍵をアップロードする』にチェックを入れ、RSA秘密鍵ファイルをアップロードしてください。
2『設定する』ボタンをクリックして、公開鍵の情報を確認してください。
| |||||||||||
他社のネームサーバーにレコードを追加する1ご利用の他社のネームサーバーにて、公開鍵を含むDKIMレコードをTXT形式で追加してください。DKIMレコード: レコード内容の詳細は、RFC5617(外部サイト) を参照してください。 ※RFC(Request for Comments)はインターネット上で誰でも閲覧することができる、インターネット技術の標準的な仕様を記した文書です。 DKIMレコード設定例 rs20240118._domainkey.example.com. IN TXT ( "v=DKIM1; k=rsa; p=XXXXXXX" ) ※他社のネームサーバー(DNS)によって登録方法が異なります。詳細は提供元にご確認ください。 登録が完了後、他社のネームサーバーのTTL指定の時間を過ぎるまでお待ちください。 ご注意ください DKIM署名は以下の条件のみ対象になります。
|
DMARCレコード
DMARCレコードの『利用する』にチェックを入れると、メールの受け手側に認証に失敗したメールの対応方法を指定することができます。
※この設定に従うかはメールソフトによって異なります。
DMARCポリシー
Googleでは初回は「報告のみ行う(none)」に設定にし、DMARC レポートを定期的に検証して、メールがどのように認証、配信されているかを確認することを推奨しています。
DMARC レコードを定義する(外部サイト)レポートの見方がご不明な場合は迷惑メールフォルダに保存する(Quarantine)にご設定いただくと迷惑メールフォルダに振り分けられます。
- 報告のみ行う(none)
メールソフト側の振り分け機能を利用する場合にご利用ください。 - 迷惑メールフォルダに保存する(Quarantine)
サーバー内の迷惑メールフォルダにメールを移動します。
ウェブメールや、メールソフトではIMAP受信で確認いただけます。
メールソフトの設定をPOP受信にされている場合、迷惑メールフォルダに入ったメールはメールソフトで受信されませんのでご注意ください。 - 受信させない(Reject)
認証に失敗したメールを破棄します。
注意事項
必要なメールも認証に失敗する可能性があります。『受信させない(Reject)』を選択して破棄されたメールは復旧することができませんので、ご自身の責任で設定してください。
他社のネームサーバーを利用している場合のDMARCレコード
※DMARCレコードの詳細については、サポート対象外です。
DMARCレコード:
_dmarc.[ドメイン名]. IN TXT ( "v=DMARC1; p=[ポリシー]; aspf=[SPFアライメントモード]; adkim=[DKIMアライメントモード]; rua=mailto:[メールアドレス]" )
DMARCレコード設定例
_dmarc.example.com. IN TXT ( "v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:hoge@example.com" )
※他社のネームサーバー(DNS)によって登録方法が異なります。詳細は提供元にご確認ください。
集計レポート(rua)について
レポートには、送信元、送信先の情報、および認証のステータスなどが記載されています。
このレポートを見ることで、送信先のメールが SPF や DKIMで認証しているか確認できますので、受信状況の把握や送信元の認証状況をお客様で分析して、DMARCポリシーの指針にご利用ください。
レポートはXMLで記述されておりますので、XMLビュアー(リーダー)や、DMARC解析ツールなどで確認してください。
※集計レポートの詳細や項目内容に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
よくあるご質問
DKIM署名、DMARCの設定に関するよくあるご質問は、以下をご確認ください。
DKIMおよびDMARC設定に関するよくあるご質問