前回の記事では、なりすましメール対策の第一歩として「SPFレコード」の設定方法を解説しました。しかし、ビジネスメールの信頼性を盤石にするためには、もう一段階上のセキュリティ対策が不可欠です。それが**「DKIM(DomainKeys Identified Mail)」**です。
SPFが「送信元サーバーの正当性(=手紙の差出人住所が本物か)」を証明するのに対し、DKIMは**「メール内容の完全性(=手紙が途中で開封・改ざんされていないか)」**を証明する技術です。これを「電子署名」と考えると分かりやすいでしょう。
このDKIMを設定することで、あなたの会社から送られるメールの信頼性は飛躍的に向上し、取引先や顧客にメールが届かない、迷惑メールと判定されるといったリスクを大幅に軽減できます。
この記事では、Google WorkspaceでDKIMを設定するための具体的な手順から、設定がうまくいかない時の確認方法、よくある失敗例までを詳しく解説します。
DKIMの仕組みを簡単に理解しよう
DKIMは少し複雑に見えますが、基本的な仕組みは「秘密鍵」と「公開鍵」という2つの鍵を使った暗号技術です。
- 送信時(Googleのサーバー): あなたがメールを送ると、Googleのサーバーが「秘密鍵」を使ってメールに暗号化された電子署名を付与します。
- 受信時(相手のサーバー): メールを受け取った相手のサーバーは、あなたのドメインのDNSサーバーに登録されている「公開鍵」を使って、その電子署名を検証(復号)します。
- 検証: 検証が成功すれば、「このメールは正当な送信元(あなたの会社)から送られ、途中で改ざんされていない」ことが証明されます。
私たちがこれから行う作業は、この**「公開鍵」を自社のDNSサーバーに正しく登録すること**です。
Google WorkspaceでのDKIM設定 3ステップ
Google WorkspaceでのDKIM設定は、大きく分けて3つのステップで完了します。手順に沿って進めれば、専門知識がなくても設定可能です。
ステップ1:Google管理コンソールでDKIMキー(公開鍵)を生成する
まず、Google Workspaceの管理画面で、あなたのドメイン専用の公開鍵を作成します。
- Google管理コンソールに管理者アカウントでログインします。
- 左側のメニューから
[アプリ] > > [Gmail]の順にクリックします。 - [メールの認証] をクリックします。
- [ドメイン] のプルダウンメニューから、DKIMを設定したいあなたのドメインを選択します。
- [新しいレコードを生成] ボタンをクリックします。
- 表示された設定画面で、以下のように選択します。
- DKIM 鍵のビット長: 2048 を選択します。(セキュリティ強度が高く推奨されています)
- プレフィックス セレクタ: デフォルトの「google」のままで問題ありません。
- [生成] ボタンをクリックします。
すると、画面に**「DNS ホスト名(TXT レコード名)」と「TXT レコードの値」**という2つの長い文字列が表示されます。これが、あなたのドメインの公開鍵情報です。この2つの文字列を、間違いのないようにテキストエディタなどにコピーしておきましょう。
ステップ2:DNSサーバーにTXTレコードを追加する
次に、ステップ1で生成した公開鍵を、あなたのドメインのDNSサーバーに登録します。この作業は、あなたがドメインを取得したサービス(例:お名前.com, Xserverドメインなど)の管理画面で行います。
- ドメイン管理サービスの管理画面にログインし、DNSレコードの編集画面を開きます。
- 新しいレコードを追加する設定で、以下の情報を入力(コピー&ペースト)します。
- タイプ: TXT
- ホスト(名前、ホスト名など): ステップ1でコピーした**「DNS ホスト名」**の文字列(
google._domainkeyなど)を貼り付けます。 - 値(内容、テキストなど): ステップ1でコピーした**「TXT レコードの値」**の文字列(
v=DKIM1; k=rsa; p=...で始まる非常に長い文字列)を貼り付けます。
- 設定を保存します。
これで、公開鍵の登録作業は完了です。
ステップ3:Google管理コンソールで認証を開始する
DNS設定がインターネット全体に反映されるまでには、数分から最大で48時間ほどかかる場合があります。少し時間を置いてから、最後の仕上げを行いましょう。
- 再びGoogle管理コンソールの [メールの認証] 画面に戻ります。
- [認証を開始] ボタンをクリックします。
システムがDNSレコードを正しく確認できると、画面上部のステータスが「メールを認証しています」に変わります。これでDKIMの設定はすべて完了です!
DKIMが正しく設定されたか確認する方法
設定が完了したら、実際に機能しているか確認しましょう。オンラインツールを使う方法もありますが、最も簡単で確実なのは、Gmail宛にテストメールを送ってみることです。
- 設定した独自ドメインのアドレスから、個人のGmailアドレスなどにテストメールを送信します。
- 受信したメールを開き、右上の「︙」メニューから**「メッセージのソースを表示」**をクリックします。
- 表示されたヘッダー情報の中から「DKIM」という文字列を探し、
DKIM-Signatureの項目にdkim=passと表示されていれば、認証は成功しています。
よくあるDKIM設定の失敗例と対処法
「認証を開始」ボタンを押してもステータスが変わらない、テストメールでdkim=failになってしまう、といった場合は、設定に誤りがある可能性があります。以下のよくある失敗例を確認してみてください。
- ホスト名(TXTレコード名)の入力ミス
google._domainkeyの部分を正しく入力できていますか? DNSサービスによっては、ドメイン名(example.com)が自動で補完される場合があります。その場合、google._domainkey.example.comと入力すると、google._domainkey.example.com.example.comのように重複してしまい、正しく認識されません。ホスト名の欄にはgoogle._domainkeyの部分だけを入力するのが一般的です。 - 公開鍵(TXTレコードの値)のコピーミス
v=DKIM1;...から始まる公開鍵の文字列は非常に長いため、コピーする際に途中で切れてしまったり、不要なスペースや改行が入ってしまったりすることがあります。再度、管理コンソールから正確にコピーし直してみてください。 - DNSサービスの文字数制限 一部のDNSサービスでは、TXTレコードに入力できる文字数に255文字という制限があります。2048ビットの公開鍵はこの長さを超えるため、そのままでは登録できません。その場合、公開鍵の文字列を255文字以下の複数の部分に分割し、それぞれをダブルクォーテーション(
" ")で囲んで登録する必要があります。 (例:"v=DKIM1;...前半...""...中盤...""...後半") この分割方法はDNSサービスによって仕様が異なるため、サービスのヘルプを確認するか、サポートに問い合わせるのが確実です。 - 単純なDNSの反映待ち 設定はすべて正しいにもかかわらず、認証に失敗することがあります。これは、DNSの変更がまだインターネット全体に行き渡っていないことが原因です。最大48時間は焦らずに待ってみましょう。
まとめ:SPFとDKIMで、ビジネスメールの信頼性を盤石に
DKIMの設定は、一見すると複雑に感じるかもしれません。しかし、手順通りに進めれば、あなたの会社から送信されるメールの信頼性を飛躍的に高めることができる、非常に費用対効果の高いセキュリティ対策です。
SPFとDKIMの両方を設定することで、なりすましや改ざんのリスクからあなたのビジネスを守り、大切なメールが確実に相手に届く環境を整えることができます。
【DNS設定が難しい、時間がない方へ】 ミラーマスター合同会社では、Google Workspaceの初期設定はもちろん、SPFやDKIMといった高度なメールセキュリティ設定までをワンストップでサポートする「Google Workspace構築支援サービス」を提供しています。専門家による確実な設定で、セキュリティに関する不安を解消し、本来の事業に集中しませんか?
コメント