DKIM署名、DMARCを設定したい
対象プラン
さくらのレンタルサーバ
ライト
スタンダード
プレミアム
ビジネス
ビジネスプロ
マネージド
メールボックス
このマニュアルでは、DKIM署名およびDMARCの設定についてご案内しています。
※「さくらのマネージドサーバ」のOSがFreeBSD9.1のサーバーは、OSの仕様により対象外となります。対象外のサーバーは、リプレースによるOSアップデート後に対応いたします。
DKIM
送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましをしていないことが証明できる機能です。
DMARC
DKIMなどで迷惑メールと判定されたメールをどのように処理するかを指示するDNSの設定値です。
関連情報
Gmail宛てにメールを送信するお客様へ・メール送信者のガイドライン変更(Gmail)に伴う設定変更のお願い
送信先で迷惑メール扱いされない?DKIM機能って何?
※他社のネームサーバーを利用されている方はこちら
|
サーバーコントロールパネルログイン
ログイン方法は下記を参照ください。
サーバーコントロールパネルにログインしたい
|
|
DKIM設定画面を表示
1メール(ビジネス以上は、ユーザー・メール)から『メールドメイン』をクリックします。
2サーバーに登録されているドメイン名が表示されますので、DKIM署名を行いたいドメインの『設定』をクリックし、『DKIM設定』をクリックします。
SPF、DKIM、DMARCが設定済みであるかは、メールドメインの一覧で確認できます。
|
|---|
|
DKIM、DMARCを設定
以下の項目を選択、入力します。
|
設定内容 |
| 秘密鍵 |
『秘密鍵を新規作成する』を選択。
お手持ちの秘密鍵を利用する場合はこちらをご確認ください |
| セレクタ |
表示された値をご利用ください。
(※1)セレクタが必要な場合のみ書き換えてください。
|
| DKIMレコード |
『利用する』にチェック。(※2)
|
| DMARCレコード |
DKIMの設定と同時にDMARC設定を行う場合は、『利用する』にチェックを入れてください。(※3)
| DMARCポリシー (p) |
ご不明な場合は『迷惑メールフォルダに保存する(Quarantine)』をお勧めいたします。 |
| 集計レポート送信先 (rua) |
集計レポート(日次)を受け取るメールアドレスを入力。
空欄の場合は送信されません。
(※4)DKIM署名を行うドメインと同じドメイン名のメールアドレスを指定してください。
|
DMARCレコードの詳細はこちらをご確認ください
|
(※1)セレクタの詳細や利用方法に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
(※2)DKIMレコードの『利用する』チェックを外して設定完了した場合は、DKIMレコードは登録されず、秘密鍵の登録と秘密鍵を用いた公開鍵の作成を行います。
DKIMレコード登録前に公開鍵の確認をされたい時にご利用ください。
この場合、DKIMレコードは後から設定することができます。
(※3)DMARCは後から設定することもできます。
(※4)異なるドメインのメールアドレスへレポートを送信を行う場合は、レポート送信先ドメインのDNS設定が必要です。
例)_dmarc.example.com. で rua=mailto:report@example.jp とする場合、example.com._report._dmarc.example.jp. のTXTレコード登録が必要です。
異なるドメインのメールアドレスへレポート送信の詳細についてはサポート対象外です。
お手持ちの秘密鍵を利用する場合
『作成済の秘密鍵をアップロードする』にチェックを入れ、RSA秘密鍵ファイルをアップロードしてください。
秘密鍵を暗号化している場合は、復号するために必要なパスフレーズを入れてください。
|
|---|
|
設定内容を保存
『設定する』ボタンをクリックして、設定完了です。
※情報が反映するまでに数時間~48時間程度必要となる場合があります。
ご注意ください
DKIM署名は以下の条件のみ対象になります。
- SMTP Authで認証している。(通常のメールソフトでの送信)
- ウェブメールで送信している。
- sendmailコマンドで送信している。
php、cgiプログラム等において、sendmailコマンドを使わずに直接相手先のメールサーバへアクセスしている場合は署名されません。sendmailコマンドで送信するプログラムをご利用ください。
- サーバーから、localhost:25で送信されている。
※メーリングリストでの転送はFromを書き換えないため、DKIM/DMARCは対応していません。
|
|---|
※さくらのネームサーバーを利用されている方はこちら
他社のネームサーバーを利用している場合、公開鍵がネームサーバーに登録されている必要があります。
他社のネームサーバー(DNS)で行う操作方法や設定内容は、サポート対象外です。
|
サーバーコントロールパネルログイン
ログイン方法は下記を参照ください。
サーバーコントロールパネルにログインしたい
|
|
DKIM設定画面を表示
1メール(ビジネス以上は、ユーザー・メール)から『メールドメイン』をクリックします。
2サーバーに登録されているドメイン名が表示されますので、DKIM署名を行いたいドメインの『設定』をクリックし、『DKIM設定』をクリックします。
SPF、DKIM、DMARCが設定済みであるかは、メールドメインの一覧で確認できます。
|
|---|
|
公開鍵の情報を確認する
1公開鍵を作成する
以下の項目を選択、入力します。
|
設定内容 |
| 秘密鍵 |
『秘密鍵を新規作成する』を選択。
お手持ちの秘密鍵を利用する場合はこちらをご確認ください |
| セレクタ |
表示された値をご利用ください。
(※1)セレクタが必要な場合のみ書き換えてください。
|
| DKIMレコード |
『利用する』のチェックを外してください。(※2)
|
| DMARCレコード |
他社のネームサーバー(DNS)を利用している場合、『利用する』にチェックを入れましても、DMARCの利用はできません。
ご利用の他社のネームサーバー(DNS)にDMARCレコードの登録が必要です。(※2)
DMARCレコードの詳細はこちらをご確認ください
|
(※1)セレクタの詳細や利用方法に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
(※2)本項目はさくらインターネットのネームサーバーにDKIM/DMARCレコードを登録するためのチェックボックスです。
他社のネームサーバー(DNS)を利用している場合、『利用する』にチェックを入れましてもDKIM/DMARCレコードは登録されません。
ご利用の他社のネームサーバー(DNS)にDKIM/DMARCレコードの登録が必要です。
お手持ちの秘密鍵を利用する場合
『作成済の秘密鍵をアップロードする』にチェックを入れ、RSA秘密鍵ファイルをアップロードしてください。
秘密鍵を暗号化している場合は、復号するために必要なパスフレーズを入れてください。
2『設定する』ボタンをクリックして、公開鍵の情報を確認してください。
|
|---|
|
他社のネームサーバーにレコードを追加する
1ご利用の他社のネームサーバーにて、公開鍵を含むDKIMレコードをTXT形式で追加してください。
DKIMレコード:
[セレクタ名]._domainkey.[ドメイン名]. IN TXT ( "v=DKIM1; k=rsa; p=[DKIM 公開鍵]" )
レコード内容の詳細は、RFC5617 を参照してください。
DKIMレコード設定例
rs20240118._domainkey.example.com. IN TXT ( "v=DKIM1; k=rsa; p=XXXXXXX" )
※他社のネームサーバー(DNS)によって登録方法が異なります。詳細は提供元にご確認ください。
登録が完了後、他社のネームサーバーのTTL指定の時間を過ぎるまでお待ちください。
ご注意ください
DKIM署名は以下の条件のみ対象になります。
- SMTP Authで認証している。(通常のメールソフトでの送信)
- ウェブメールで送信している。
- sendmailコマンドで送信している。
php、cgiプログラム等において、sendmailコマンドを使わずに直接相手先のメールサーバへアクセスしている場合は署名されません。sendmailコマンドで送信するプログラムをご利用ください。
- サーバーから、localhost:25で送信されている。
※メーリングリストでの転送はFromを書き換えないため、DKIM/DMARCは対応していません。
|
|---|
DMARCレコードの『利用する』にチェックを入れると、メールの受け手側に認証に失敗したメールの対応方法を指定することができます。
※この設定に従うかはメールソフトによって異なります。
Googleでは初回は「報告のみ行う(none)」に設定にし、DMARC レポートを定期的に検証して、メールがどのように認証、配信されているかを確認することを推奨しています。
DMARC レコードを定義する(外部サイト)
レポートの見方がご不明な場合は迷惑メールフォルダに保存する(Quarantine)にご設定いただくと迷惑メールフォルダに振り分けられます。
- 報告のみ行う(none)
メールソフト側の振り分け機能を利用する場合にご利用ください。
- 迷惑メールフォルダに保存する(Quarantine)
サーバー内の迷惑メールフォルダにメールを移動します。
ウェブメールや、メールソフトではIMAP受信で確認いただけます。
メールソフトの設定をPOP受信にされている場合、迷惑メールフォルダに入ったメールはメールソフトで受信されませんのでご注意ください。
- 受信させない(Reject)
認証に失敗したメールを破棄します。
注意事項
必要なメールも認証に失敗する可能性があります。『受信させない(Reject)』を選択して破棄されたメールは復旧することができませんので、ご自身の責任で設定してください。
※DMARCレコードの詳細については、サポート対象外です。
DMARCレコード:
_dmarc.[ドメイン名]. IN TXT ( "v=DMARC1; p=[ポリシー]; aspf=[SPFアライメントモード]; adkim=[DKIMアライメントモード]; rua=mailto:[メールアドレス]" )
DMARCレコード設定例
_dmarc.example.com. IN TXT ( "v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:hoge@example.com" )
※他社のネームサーバー(DNS)によって登録方法が異なります。詳細は提供元にご確認ください。
レポートには、送信元、送信先の情報、および認証のステータスなどが記載されています。
このレポートを見ることで、送信先のメールが SPF や DKIMで認証しているか確認できますので、受信状況の把握や送信元の認証状況をお客様で分析して、DMARCポリシーの指針にご利用ください。
レポートはXMLで記述されておりますので、XMLビュアー(リーダー)や、DMARC解析ツールなどで確認してください。
※集計レポートの詳細や項目内容に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
このマニュアルでは、DKIM署名およびDMARCの設定についてご案内しています。
※「さくらのマネージドサーバ」のOSがFreeBSD9.1のサーバーは、OSの仕様により対象外となります。対象外のサーバーは、リプレースによるOSアップデート後に対応いたします。
DKIM
送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましをしていないことが証明できる機能です。
DMARC
DKIMなどで迷惑メールと判定されたメールをどのように処理するかを指示するDNSの設定値です。
関連情報
Gmail宛てにメールを送信するお客様へ・メール送信者のガイドライン変更(Gmail)に伴う設定変更のお願い
送信先で迷惑メール扱いされない?DKIM機能って何?
※他社のネームサーバーを利用されている方はこちら
|
サーバーコントロールパネルログイン
ログイン方法は下記を参照ください。
サーバーコントロールパネルにログインしたい
|
|
DKIM設定画面を表示
1メール(ビジネス以上は、ユーザー・メール)から『メールドメイン』をクリックします。
2サーバーに登録されているドメイン名が表示されますので、DKIM署名を行いたいドメインの『設定』をクリックし、『DKIM設定』をクリックします。
SPF、DKIM、DMARCが設定済みであるかは、メールドメインの一覧で確認できます。
|
|---|
|
DKIM、DMARCを設定
以下の項目を選択、入力します。
|
設定内容 |
| 秘密鍵 |
『秘密鍵を新規作成する』を選択。
お手持ちの秘密鍵を利用する場合はこちらをご確認ください |
| セレクタ |
表示された値をご利用ください。
(※1)セレクタが必要な場合のみ書き換えてください。
|
| DKIMレコード |
『利用する』にチェック。(※2)
|
| DMARCレコード |
DKIMの設定と同時にDMARC設定を行う場合は、『利用する』にチェックを入れてください。(※3)
| DMARCポリシー (p) |
ご不明な場合は『迷惑メールフォルダに保存する(Quarantine)』をお勧めいたします。 |
| 集計レポート送信先 (rua) |
集計レポート(日次)を受け取るメールアドレスを入力。
空欄の場合は送信されません。
(※4)DKIM署名を行うドメインと同じドメイン名のメールアドレスを指定してください。
|
DMARCレコードの詳細はこちらをご確認ください
|
(※1)セレクタの詳細や利用方法に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
(※2)DKIMレコードの『利用する』チェックを外して設定完了した場合は、DKIMレコードは登録されず、秘密鍵の登録と秘密鍵を用いた公開鍵の作成を行います。
DKIMレコード登録前に公開鍵の確認をされたい時にご利用ください。
この場合、DKIMレコードは後から設定することができます。
(※3)DMARCは後から設定することもできます。
(※4)異なるドメインのメールアドレスへレポートを送信を行う場合は、レポート送信先ドメインのDNS設定が必要です。
例)_dmarc.example.com. で rua=mailto:report@example.jp とする場合、example.com._report._dmarc.example.jp. のTXTレコード登録が必要です。
異なるドメインのメールアドレスへレポート送信の詳細についてはサポート対象外です。
お手持ちの秘密鍵を利用する場合
『作成済の秘密鍵をアップロードする』にチェックを入れ、RSA秘密鍵ファイルをアップロードしてください。
秘密鍵を暗号化している場合は、復号するために必要なパスフレーズを入れてください。
|
|---|
|
設定内容を保存
『設定する』ボタンをクリックして、設定完了です。
※情報が反映するまでに数時間~48時間程度必要となる場合があります。
ご注意ください
DKIM署名は以下の条件のみ対象になります。
- SMTP Authで認証している。(通常のメールソフトでの送信)
- ウェブメールで送信している。
- sendmailコマンドで送信している。
php、cgiプログラム等において、sendmailコマンドを使わずに直接相手先のメールサーバへアクセスしている場合は署名されません。sendmailコマンドで送信するプログラムをご利用ください。
- サーバーから、localhost:25で送信されている。
※メーリングリストでの転送はFromを書き換えないため、DKIM/DMARCは対応していません。
|
|---|
※さくらのネームサーバーを利用されている方はこちら
他社のネームサーバーを利用している場合、公開鍵がネームサーバーに登録されている必要があります。
他社のネームサーバー(DNS)で行う操作方法や設定内容は、サポート対象外です。
|
サーバーコントロールパネルログイン
ログイン方法は下記を参照ください。
サーバーコントロールパネルにログインしたい
|
|
DKIM設定画面を表示
1メール(ビジネス以上は、ユーザー・メール)から『メールドメイン』をクリックします。
2サーバーに登録されているドメイン名が表示されますので、DKIM署名を行いたいドメインの『設定』をクリックし、『DKIM設定』をクリックします。
SPF、DKIM、DMARCが設定済みであるかは、メールドメインの一覧で確認できます。
|
|---|
|
公開鍵の情報を確認する
1公開鍵を作成する
以下の項目を選択、入力します。
|
設定内容 |
| 秘密鍵 |
『秘密鍵を新規作成する』を選択。
お手持ちの秘密鍵を利用する場合はこちらをご確認ください |
| セレクタ |
表示された値をご利用ください。
(※1)セレクタが必要な場合のみ書き換えてください。
|
| DKIMレコード |
『利用する』のチェックを外してください。(※2)
|
| DMARCレコード |
他社のネームサーバー(DNS)を利用している場合、『利用する』にチェックを入れましても、DMARCの利用はできません。
ご利用の他社のネームサーバー(DNS)にDMARCレコードの登録が必要です。(※2)
DMARCレコードの詳細はこちらをご確認ください
|
(※1)セレクタの詳細や利用方法に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
(※2)本項目はさくらインターネットのネームサーバーにDKIM/DMARCレコードを登録するためのチェックボックスです。
他社のネームサーバー(DNS)を利用している場合、『利用する』にチェックを入れましてもDKIM/DMARCレコードは登録されません。
ご利用の他社のネームサーバー(DNS)にDKIM/DMARCレコードの登録が必要です。
お手持ちの秘密鍵を利用する場合
『作成済の秘密鍵をアップロードする』にチェックを入れ、RSA秘密鍵ファイルをアップロードしてください。
秘密鍵を暗号化している場合は、復号するために必要なパスフレーズを入れてください。
2『設定する』ボタンをクリックして、公開鍵の情報を確認してください。
|
|---|
|
他社のネームサーバーにレコードを追加する
1ご利用の他社のネームサーバーにて、公開鍵を含むDKIMレコードをTXT形式で追加してください。
DKIMレコード:
[セレクタ名]._domainkey.[ドメイン名]. IN TXT ( "v=DKIM1; k=rsa; p=[DKIM 公開鍵]" )
レコード内容の詳細は、RFC5617 を参照してください。
DKIMレコード設定例
rs20240118._domainkey.example.com. IN TXT ( "v=DKIM1; k=rsa; p=XXXXXXX" )
※他社のネームサーバー(DNS)によって登録方法が異なります。詳細は提供元にご確認ください。
登録が完了後、他社のネームサーバーのTTL指定の時間を過ぎるまでお待ちください。
ご注意ください
DKIM署名は以下の条件のみ対象になります。
- SMTP Authで認証している。(通常のメールソフトでの送信)
- ウェブメールで送信している。
- sendmailコマンドで送信している。
php、cgiプログラム等において、sendmailコマンドを使わずに直接相手先のメールサーバへアクセスしている場合は署名されません。sendmailコマンドで送信するプログラムをご利用ください。
- サーバーから、localhost:25で送信されている。
※メーリングリストでの転送はFromを書き換えないため、DKIM/DMARCは対応していません。
|
|---|
DMARCレコードの『利用する』にチェックを入れると、メールの受け手側に認証に失敗したメールの対応方法を指定することができます。
※この設定に従うかはメールソフトによって異なります。
Googleでは初回は「報告のみ行う(none)」に設定にし、DMARC レポートを定期的に検証して、メールがどのように認証、配信されているかを確認することを推奨しています。
DMARC レコードを定義する(外部サイト)
レポートの見方がご不明な場合は迷惑メールフォルダに保存する(Quarantine)にご設定いただくと迷惑メールフォルダに振り分けられます。
- 報告のみ行う(none)
メールソフト側の振り分け機能を利用する場合にご利用ください。
- 迷惑メールフォルダに保存する(Quarantine)
サーバー内の迷惑メールフォルダにメールを移動します。
ウェブメールや、メールソフトではIMAP受信で確認いただけます。
メールソフトの設定をPOP受信にされている場合、迷惑メールフォルダに入ったメールはメールソフトで受信されませんのでご注意ください。
- 受信させない(Reject)
認証に失敗したメールを破棄します。
注意事項
必要なメールも認証に失敗する可能性があります。『受信させない(Reject)』を選択して破棄されたメールは復旧することができませんので、ご自身の責任で設定してください。
※DMARCレコードの詳細については、サポート対象外です。
DMARCレコード:
_dmarc.[ドメイン名]. IN TXT ( "v=DMARC1; p=[ポリシー]; aspf=[SPFアライメントモード]; adkim=[DKIMアライメントモード]; rua=mailto:[メールアドレス]" )
DMARCレコード設定例
_dmarc.example.com. IN TXT ( "v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:hoge@example.com" )
※他社のネームサーバー(DNS)によって登録方法が異なります。詳細は提供元にご確認ください。
レポートには、送信元、送信先の情報、および認証のステータスなどが記載されています。
このレポートを見ることで、送信先のメールが SPF や DKIMで認証しているか確認できますので、受信状況の把握や送信元の認証状況をお客様で分析して、DMARCポリシーの指針にご利用ください。
レポートはXMLで記述されておりますので、XMLビュアー(リーダー)や、DMARC解析ツールなどで確認してください。
※集計レポートの詳細や項目内容に関するサポートは対象外となります。専門書籍やウェブサイトなどでご確認ください。
