2024年2月22日より、作成者署名用DNSレコードの設定方法について、より設定が簡易なCNAMEでのレコード公開方法を案内しておりますので、そちらをご参照ください。
なお、ご利用のDNSでCNAMEが設定できない場合はこの記事の設定を行うことで同様にDKIM作成者署名を行うことが可能でございます。
DKIM認証は、送信元認証(なりすまし防止)を行うための機構の一つです。
DKIM認証は、本来の送信元ドメインではなく、FROMアドレスのドメインに対して認証が行われますので、お客様側でFROMアドレスのドメイン部分を設定した場合、そのFROMアドレスのドメインに対してDKIM認証が行われるようになります。
ワイメールでは、FROMアドレスのドメインを任意のものに設定した場合でも、デフォルトで第三者認証が有効となり、お客様の環境のドメイン名で署名された第三者認証が行われます。この場合は、特にお客様で行っていただく作業はありません。
第三者認証ではなく作成者認証を行いたい場合、変更後のドメインのDNSレコード情報を編集できる権限をお持ちの場合は、ワイメールで生成された公開鍵情報(所定のTXTレコード)をDNSレコードに登録していただくことにより、作成者認証を行うことができます。
※作成者認証と第三者認証のいずれも暗号強度などに違いはありません。
※DMARC検証時のルール上、第三者認証は許可されず無効として扱われます。
※SPF/DKIM/DMARC認証はあくまで送信元のなりすましを防ぐための機構であり、迷惑メールフォルダ行きの可能性を低減させることを保証するものではありません。
第三者署名ではなく作成者署名で認証を行いたい場合
以下の「作成者署名用DKIMレコードの設定方法」→「送信時に作成者署名を付与するよう設定する」の手順を参考に、設定を行ってください。
作成者署名用DKIMレコードの設定方法
1.まず、ワイメールのDNSに登録されている、お客様のDKIM用公開鍵情報を調べます。
下記のページにアクセスします。
http://www.cman.jp/network/support/nslookup.html
各項目を下記のように入力し、「nslookup実行」ボタンをクリックします。
- ホスト名(FQDN)またはIPアドレス: selector._domainkey."ワイメールで利用中のドメイン"
- オプション: TXT
- DNSサーバ: ns1.y-ml.com
表示された結果の、「text =」以降のすべての文字列をコピーし、適当なテキストエディタなどに貼り付け保存します。
文字列中の「;」の前に、バックスラッシュ(¥マーク)が含まれていた場合は、それらを削除して保存してください。
2.次に、FROMアドレスに指定したドメインのDNSレコードに、1で調べた公開鍵を登録します。登録方法に関しては、下記の設定例をご参照ください。
※サービスの仕様により、値に「*」が入力できない場合は、「g=*;」の文字列は削除していただいて構いません。
DNSレコードの設定は以上となります。
3.設定したDNSレコードが正常に応答するかどうか確認します。
先ほど利用したDNSチェックサイトで、再度、各項目を下記のように入力し、チェックします。
- ホスト名(FQDN)またはIPアドレス: selector._domainkey."FROMアドレスに指定したドメインまたはサブドメイン"
- オプション: TXT
- DNSサーバ: 指定なし
応答値に、1で保存した文字列が表示されていれば正常にレコードが反映されています。
送信時に作成者署名を付与するよう設定する
DNSレコードの設定が完了したら、目的の送信元アドレスからの送信時に作成者署名が付与されるよう設定します。
1.コントロールパネルの「共通設定」→「作成者署名設定」を開きます。
2.作成者署名を付与したい目的のメールアドレス(「基本設定の編集」で「送信元(From)アドレス」に指定したアドレス)を登録します。
3.実際に作成者認証が通るか確認します。
DKIMに対応しているYahooメールやGmailなどで、ワイメールから送信されたメールを受信し、メールヘッダを確認してください。下記のように、Authentication-Resultsヘッダに「dkim=pass (ok) 」、「header.i=@送信元アドレスのドメイン名」という記述があれば、作成者認証に成功しています。
Authentication-Results: ・・・ example.com from=example.com; dkim=pass (ok) header.i=@example.jp