SPFを設定していれば、DKIMは不要ですか？

いいえ、両方の設定が強く推奨されます。SPFは送信元の場所を、DKIMはメール内容の正当性を保証するもので役割が異なります。両方設定することでDMARC認証が可能になります。

秘密鍵と公開鍵はどこで入手できますか？

ご利用のメール配信システムや、レンタルサーバーの管理画面で発行できます。発行された公開鍵をDNSに登録して使用します。

鍵の長さ（ビット数）はどれくらいが良いですか？

現在は2048bitが推奨されています。セキュリティ強度の観点から、1024bitよりも2048bitでの運用が望ましいです。

DKIMとは？電子署名でメール到達率を高める仕組みと設定手順

2023

05/19

Updated

2023.05.19

2023

05/19

Published

2026.01.21

/ faxdm屋ドットコム黒木澄夫

この記事の対象：メールの到達率を改善したい営業担当者や、なりすましメール被害を防ぎたいセキュリティ担当者、およびGmail新ガイドラインへの対応をお急ぎの経営者様に最適な内容です。

dkim-email-security-signature

DKIM（DomainKeys Identified Mail）は、電子メールの送信元が詐称されていないか、またメールの内容が通信途中で改ざんされていないかを検証するための送信ドメイン認証技術の一つです。

近年、フィッシング詐欺や標的型メール攻撃の手口が巧妙化しており、従来のセキュリティ対策だけでは不十分なケースが増えています。特に企業の営業メール配信やメルマガ運用において、DKIMの設定は信頼性を担保するための必須要件となっています。

この記事では、DKIMの仕組みから設定方法、SPFやDMARCとの違いについて、実務的な観点から解説します。

1. DKIMとは
- 1.1. DKIMが必要とされる背景
2. DKIMの仕組みと認証フロー
- 2.1. 認証の具体的な流れ
3. SPF・DKIM・DMARCの違い
4. DKIM設定の手順（DNSレコードの書き方）
- 4.1. 鍵ペアの生成とセレクタの決定
- 4.2. DNSレコード（TXTレコード）の登録
5. 設定後の確認方法
6. DKIM導入のメリットと注意点
7. まとめ
- 7.1. DKIMに関するよくある質問
- 7.2. 参考文献・公式リファレンス

DKIMとは

DKIMは、メールに「電子署名」を付与することで、そのメールが正当な送信者から送られたものであることを証明する技術です。

郵便物に例えるなら、封筒の裏に押される「封蝋（シーリングワックス）」のような役割を果たします。もし配送中に誰かが封を開けたり中身を書き換えたりすれば、封蝋が壊れて痕跡が残ります。デジタル空間においても同様に、メールサーバーから受信サーバーへ届くまでの間に「改ざんが行われていないこと」を暗号技術を使って保証します。

DKIMが必要とされる背景

なぜDKIMの重要性が高まっているのでしょうか。主な理由は以下の通りです。

なりすましメールの防止： 第三者が自社ドメインを騙って送信する不正メールを検知できます。
メール到達率の向上： GoogleやYahoo!などの主要プロバイダーは、DKIM認証を通過したメールを「信頼できるメール」として扱います。
ブランド保護： ドメインレピュテーション（ドメインの社会的信用）を守り、企業の信頼失墜を防ぎます。

DKIMの仕組みと認証フロー

DKIMは「公開鍵暗号方式」を利用して認証を行います。送信側と受信側で2つの「鍵」を使って検証する仕組みです。

秘密鍵（Private Key）： 送信サーバー上に保管される、署名作成用の鍵。
公開鍵（Public Key）： DNSサーバー上に公開される、署名検証用の鍵。

認証の具体的な流れ

送信時（署名の付与）：
送信メールサーバーは、メールのヘッダーや本文のデータを元にハッシュ値を計算し、それを「秘密鍵」で暗号化して「DKIM-Signature」としてヘッダーに追加します。
配送・受信：
メールが受信サーバーに届きます。
受信時（署名の検証）：
受信サーバーは、送信元のDNSサーバーに問い合わせて「公開鍵」を取得します。
照合・判定：
取得した公開鍵を使って署名を復号し、元のデータと照合します。データが一致すれば「認証成功（Pass）」、不一致なら「認証失敗（Fail）」となります。

DKIMの仕組み図解。送信サーバーが秘密鍵で電子署名を付与し、受信サーバーがDNS上の公開鍵を使って署名を検証する流れ。

図解：DKIM（電子署名）の仕組み。2つの鍵（秘密鍵と公開鍵）のペアを使って、メールが改ざんされていないことを証明します。

SPF・DKIM・DMARCの違い

メール認証技術には、DKIMの他にSPF（Sender Policy Framework）とDMARCがあります。これらは相互に補完し合う関係にあり、3つすべてを設定することが現在のセキュリティ標準（ベストプラクティス）です。

認証技術	認証の仕組み	主な特徴
SPF	IPアドレスベース	「どこから送られたか（住所）」を確認します。設定は容易ですが、メール転送時に認証が失敗しやすい弱点があります。
DKIM	電子署名ベース	「内容が書き換えられていないか」を確認します。転送されても署名は維持されるため、認証強度が高いのが特徴です。
DMARC	ポリシーベース	SPFやDKIMで認証失敗したメールの「扱い（拒否・隔離）」を指示します。DMARC設定により、なりすまし対策が完結します。

DKIM設定の手順（DNSレコードの書き方）

DKIMを導入するには、メールサーバーでの設定とDNSサーバーへのレコード登録が必要です。

鍵ペアの生成とセレクタの決定

まず、利用しているメールサーバー（または配信スタンド）の管理画面でDKIM機能を有効化し、公開鍵と秘密鍵のペアを生成します。この際、鍵を識別するための「セレクタ（selector）」という名称が指定されます。

DNSレコード（TXTレコード）の登録

ドメインを管理しているDNSサーバーにログインし、以下の形式でTXTレコードを追加します。

    ホスト名（サブドメイン）： [セレクタ名]._domainkey

    種別： TXT

    値（内容）： v=DKIM1; k=rsa; p=[公開鍵の文字列…]

v=DKIM1：DKIMのバージョンを指定します。
k=rsa：暗号化アルゴリズム（RSAなど）を指定します。
p=...：生成された公開鍵のデータを記述します。

設定後の確認方法

DNSへの登録が完了したら、必ず設定が正しく機能しているか確認しましょう。反映までには数時間～48時間程度かかる場合があります。

方法1：Gmail等の「メッセージのソース」で確認する（推奨）

最も確実なのは、実際にそのドメインから自分のGmail宛にメールを送信し、ヘッダー情報を確認する方法です。

設定したドメインのメールアドレスから、自分のGmailアドレス宛にテストメールを送信します。
Gmailで受信したメールを開き、右上の「︙（三点リーダー）」ボタンをクリックします。
メニューから「原文を表示」を選択します。
開いた画面の「DKIM:’PASS’」と表示されていれば設定完了です。

✅ 成功している場合

DKIM: PASS（ドメイン名: example.com）

ここが「PASS」になっていれば、DKIM署名は正しく機能しています。

方法2：オンラインの確認ツールを使う

DNSレコード自体が正しく公開されているかは、無料のチェックツールでも確認できます。

MxToolbox (DKIM Lookup)
海外の有名なツールです。「Domain Name（ドメイン名）」と「Selector（セレクタ名）」を入力すると、公開鍵が正しく取得できるか診断してくれます。
※セレクタ名とは、DKIM設定時に発行されたレコード名の「._domainkey」の前の部分です。（例：google._domainkey.example.com なら google がセレクタ）

方法3：コマンドプロンプト（ターミナル）で確認する

エンジニアの方は、PCのコマンド機能を使って直接DNSを参照することも可能です。

# Windowsの場合（nslookup）
nslookup -type=TXT [セレクタ]._domainkey.[ドメイン]

# Macの場合（dig）
dig [セレクタ]._domainkey.[ドメイン] TXT

実行結果として、v=DKIM1; k=rsa; p=... という文字列が表示されれば、設定はインターネット上に公開されています。

DKIM導入のメリットと注意点

メリット：メールマーケティング効果の最大化

DKIMを設定することで、正当なメールとしての評価が高まります。結果として、迷惑メールフィルタに引っかかるリスクが減少し、メールマーケティングにおける開封率やクリック率の改善が期待できます。

当社の営業メール配信代行サービスにおいても、DKIM・SPF・DMARCの完全対応を標準としており、高い到達率を実現しています。

注意点：DNS設定のミス

公開鍵の文字列は非常に長いため、コピー＆ペースト時の欠落や改行ミスに注意が必要です。また、DNSサービスによっては255文字以上のレコードを分割して登録する必要がある場合もあります。

🛡️ 次のステップ：DMARC（ディーマーク）の設定へ

SPFとDKIMの設定、お疲れ様でした！
しかし、これだけでは「なりすましメール」を完全に制御することはできません。
最後の砦となる「DMARC」を設定して、メールセキュリティを完成させましょう。

▶ DMARCの設定方法と仕組み解説へ進む

※SPF/DKIMが完了していれば、DMARC設定はとても簡単です。

まとめ

DKIMは、現代のメールセキュリティにおいて欠かすことのできない技術です。特にGmailの送信者ガイドライン強化に伴い、1日5,000通以上メールを送信する企業にとっては事実上の義務となっています。

SPFとDKIM、そしてDMARCを適切に組み合わせることで、自社のブランドを守りながら、効果的な営業活動を行うことが可能です。

「設定方法がよくわからない」「確実に届く営業メールを送りたい」という場合は、専門の配信代行業者を活用するのも一つの有効な手段です。

到達率重視のメール配信とFAXDMで新規開拓を支援します

メール配信・セキュリティ相談はこちら

FAXDM配信代行（1件10円～）も合わせてご提案可能です。

DKIMに関するよくある質問

Q. SPFを設定していれば、DKIMは不要ですか？: いいえ、両方の設定が強く推奨されます。
SPFは「送信元の場所（IP）」を保証し、DKIMは「メールの中身（改ざんされていないこと）」を保証します。両方設定することで、より強力な「DMARC」という認証も利用可能になり、メール到達率がさらに安定します。
Q. 秘密鍵と公開鍵はどこで入手できますか？: ご利用のメール配信システムや、レンタルサーバーの管理画面で発行（生成）できます。発行された「公開鍵」の情報を、ドメイン管理画面（DNSレコード）に登録する流れが一般的です。
Q. 鍵の長さ（ビット数）はどれくらいが良いですか？: 現在は2048bitが推奨されています。古いシステムでは1024bitが使われている場合もありますが、セキュリティ強度の観点から、可能な限り2048bitでの運用が望ましいです。
Q. DNSに登録しても認証されません。: DNSの反映には最大48時間程度かかる場合があります。また、コピー＆ペーストの際に不要なスペースが入っていたり、TXTレコードの分割が必要な場合（文字数制限）もありますので、構文チェッカーなどで確認することをお勧めします。