DKIM を使用して、カスタム ドメインから送信される送信電子メールを検証するUse DKIM to validate outbound email sent from your custom domain

概要: この記事では、Microsoft 365 で DomainKeys Identified Mail (DKIM) を使用して、カスタム ドメインから送信されたメッセージを送信先のメール システムが信頼するようにする方法を説明します。Summary: This article describes how you use DomainKeys Identified Mail (DKIM) with Microsoft 365 to ensure that destination email systems trust messages sent outbound from your custom domain.

ドメインから送信されたように見えるメッセージをなりすまし者が送信できないようにするためには、SPF と DMARC に加え、DKIM を使用する必要があります。You should use DKIM in addition to SPF and DMARC to help prevent spoofers from sending messages that look like they are coming from your domain. DKIM を使用すると、送信電子メールのメッセージ ヘッダー内にデジタル署名を追加できるようになります。DKIM lets you add a digital signature to outbound email messages in the message header. 複雑そうですが、実際には複雑ではありません。It may sound complicated, but it's really not. DKIM の構成時に、関連付けるドメインを承認するか、または暗号化認証を使用して電子メール メッセージにその名前を署名します。When you configure DKIM, you authorize your domain to associate, or sign, its name to an email message by using cryptographic authentication. ドメインから電子メールを受信する電子メール システムでは、このデジタル署名を使用して、受け取った受信メールが正当であるかどうかを判断することができます。Email systems that receive email from your domain can use this digital signature to help determine if incoming email that they receive is legitimate.

基本的には、秘密キーを使用してドメインの送信メールのヘッダーを暗号化します。Basically, you use a private key to encrypt the header in your domain's outgoing email. 受信側サーバーが署名のデコードに使用できるドメインの DNS レコードに、公開キーを発行します。You publish a public key to your domain's DNS records that receiving servers can then use to decode the signature. 公開キーを使用することで、そのメッセージが送信者本人からのものであり、ドメインを偽装している他人からのものでないことを確認します。They use the public key to verify that the messages are really coming from you and not coming from someone spoofing your domain.

Microsoft 365 では、初期ドメインの 'onmicrosoft.com' に対応する DKIM が自動的にセットアップされます。Microsoft 365 automatically sets up DKIM for its initial 'onmicrosoft.com' domains. つまり、初期ドメイン名に対応する DKIM のセットアップに関して、ユーザーは何もする必要がないということです (例: litware.onmicrosoft.com)。That means you don't need to do anything to set up DKIM for any initial domain names (for example, litware.onmicrosoft.com). ドメインの詳細については、「ドメインに関する FAQ」を参照してください。For more information about domains, see Domains FAQ.

カスタム ドメインの DKIM に関しても、何も操作しなくて構いません。You can choose to do nothing about DKIM for your custom domain too. カスタム ドメインに対応する DKIM をセットアップしていないと、Microsoft 365 が秘密キーと公開キーのペアを作成して、DKIM 署名を有効にし、カスタム ドメインに対応する Microsoft 365 の既定ポリシーを構成します。If you don't set up DKIM for your custom domain, Microsoft 365 creates a private and public key pair, enables DKIM signing, and then configures the Microsoft 365 default policy for your custom domain. ほとんどのユーザーの場合はこれで十分ですが、次の状況ではカスタム ドメインの DKIM を手動で構成する必要があります。While this is sufficient coverage for most customers, you should manually configure DKIM for your custom domain in the following circumstances:

  • Microsoft 365 に複数のカスタム ドメインがある場合You have more than one custom domain in Microsoft 365

  • DMARC も設定する場合 (推奨)You're going to set up DMARC too (recommended)

  • 秘密キーを制御する場合You want control over your private key

  • CNAME レコードをカスタマイズする場合You want to customize your CNAME records

  • たとえば、サード パーティ製の大容量メーラーを使用する場合、サードパーティのドメインから発信される電子メールに DKIM キーを設定することがあります。You want to set up DKIM keys for email originating out of a third-party domain, for example, if you use a third-party bulk mailer.

この記事の内容:In this article:

悪意のあるスプーフィング防止の点で DKIM のしくみが SPF 単独よりも優れているといえる理由How DKIM works better than SPF alone to prevent malicious spoofing

SPF ではメッセージ エンベロープに情報を追加しますが、DKIM は実際にメッセージ ヘッダー内の署名を暗号化します。メッセージを転送すると、そのメッセージのエンベロープの一部が転送サーバーによって取り除かれる可能性があります。デジタル署名は、電子メール ヘッダーの一部であるため、電子メール メッセージと共に残ります。したがって、DKIM はメッセージが転送された場合にも機能します。次の例で説明します。SPF adds information to a message envelope but DKIM actually encrypts a signature within the message header. When you forward a message, portions of that message's envelope can be stripped away by the forwarding server. Since the digital signature stays with the email message because it's part of the email header, DKIM works even when a message has been forwarded as shown in the following example.

SPF チェックが失敗したときに DKIM 認証を通過した転送されたメッセージを示す図

この例で、ドメインに対して SPF TXT レコードしか発行しなかったとしたら、受信者のメール サーバーによってメールがスパムとしてマークされ、誤検知の結果になる可能性があります。このシナリオでは DKIM を追加することによって、誤検知のスパム報告が減少しています。DKIM は、IP アドレスだけではなく、公開キー暗号化を使って認証を行うので、SPF よりもはるかに強力な認証形態といえます。展開では DMARC だけでなく、SPF と DKIM の両方を使うことをお勧めします。In this example, if you had only published an SPF TXT record for your domain, the recipient's mail server could have marked your email as spam and generated a false positive result. The addition of DKIM in this scenario reduces false positive spam reporting. Because DKIM relies on public key cryptography to authenticate and not just IP addresses, DKIM is considered a much stronger form of authentication than SPF. We recommend using both SPF and DKIM, as well as DMARC in your deployment.

基本事項:DKIM では秘密キーを使用して、暗号化された署名をメッセージ ヘッダーに挿入します。署名ドメイン、つまり送信ドメインは、d= フィールドの値としてヘッダーに挿入されます。確認ドメイン、つまり受信者のドメインは、d= フィールドを使用して、DNS から公開キーを検索し、メッセージを認証します。メッセージが確認されれば、DKIM チェックは合格です。The nitty gritty: DKIM uses a private key to insert an encrypted signature into the message headers. The signing domain, or outbound domain, is inserted as the value of the d= field in the header. The verifying domain, or recipient's domain, then use the d= field to look up the public key from DNS and authenticate the message. If the message is verified, the DKIM check passes.

手動で 1024 ビット キーを 2048 ビット DKIM 暗号化キーにアップグレードするManually upgrade your 1024-bit keys to 2048-bit DKIM encryption keys

DKIM キーでは 1024 ビットと 2048 ビットの両方がサポートされています。次の手順では、1024 ビット キーを 2048 ビットにアップグレードする方法について説明します。Since both 1024 and 2048 bitness are supported for DKIM keys, these directions will tell you how to upgrade your 1024-bit key to 2048. 次の手順は、2 つのユース ケースに向けたものです。目的の構成に最適なものを選択してください。The steps below are for two use-cases, please choose the one that best fits your configuration.

  1. DKIM の構成が済んでいる場合は、次のようにしてビットを転換します。When you already have DKIM configured, you rotate bitness as follows:

    1. PowerShell で Office 365 のワークロードに接続しますConnect to Office 365 workloads via PowerShell. (このコマンドレットは、Exchange Online のものです)。(The cmdlet comes from Exchange Online.)

    2. 次のコマンドを実行します。Run the following command:

      Rotate-DkimSigningConfig -KeySize 2048 -Identity {Guid of the existing Signing Config}
      
  2. DKIM の新規実装の場合は、次のようにします。Or for a new implementation of DKIM:

    1. PowerShell で Office 365 のワークロードに接続しますConnect to Office 365 workloads via PowerShell. (これは、Exchange Online コマンドレットです)。(This is an Exchange Online cmdlet.)

    2. 次のコマンドを実行します。Run the following command:

      New-DkimSigningConfig -DomainName {Domain for which config is to be created} -KeySize 2048 -Enabled $True
      

Microsoft 365 への接続状態を維持して、構成を検証します。Stay connected to Microsoft 365 to verify the configuration.

  1. 次のコマンドを実行します。Run the following command:

    Get-DkimSigningConfig -Identity {Domain for which the configuration was set} | Format-List
    

ヒント

この新しい 2048 ビット キーは RotateOnDate の時点で有効になります。それまでの間は、1024 ビット キーの電子メールが送信されます。This new 2048-bit key takes effect on the RotateOnDate, and will send emails with the 1024-bit key in the interim. 4 日後に、2048 ビット キーで再度テストしてください (つまり、2 番目のセレクターへの転換が有効になってからテストします)。After four days, you can test again with the 2048-bit key (that is, once the rotation takes effect to the second selector).

2 番目のセレクターに転換する場合は、a) Microsoft 365 にセレクターの転換を任せて、6 か月以内に 2048 ビットへのアップグレードを実行するか、b) 4 日後に 2048 ビットが使用されていることを確認して、前述の該当するコマンドレットを使用して 2 番目のセレクター キーを手動で転換します。If you want to rotate to the second selector, your options are a) let the Microsoft 365 service rotate the selector and upgrade to 2048-bitness within the next 6 months, or b) after 4 days and confirming that 2048-bitness is in use, manually rotate the second selector key by using the appropriate cmdlet listed above.

DKIM を手動でセットアップする手順Steps you need to do to manually set up DKIM

DKIM を構成するには、次の手順を完了します。To configure DKIM, you will complete these steps:

DNS でカスタム ドメインに対して 2 つの CNAME レコードを発行するPublish two CNAME records for your custom domain in DNS

DNS の DKIM 署名を追加する各ドメインに対して、2 つの CNAME レコードを発行する必要があります。For each domain for which you want to add a DKIM signature in DNS, you need to publish two CNAME records.

以下のコマンドを実行してセレクター レコードを作成します。Run the following commands to create the selector records:

New-DkimSigningConfig -DomainName <domain> -Enabled $false
Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

Microsoft 365 の初期ドメインに加えてプロビジョニングされたカスタム ドメインがある場合には、追加の各ドメインに対して 2 つの CNAME レコードを発行する必要があります。If you have provisioned custom domains in addition to the initial domain in Microsoft 365, you must publish two CNAME records for each additional domain. したがって、2 つのドメインがある場合は、2 つの追加 CNAME レコードなどを発行する必要があります。So, if you have two domains, you must publish two additional CNAME records, and so on.

CNAME レコードには次の形式を使用します。Use the following format for the CNAME records.

重要

GCC High のお客様の場合、domainGuid の計算方法が異なります。If you are one of our GCC High customers, we calculate domainGuid differently! domainGuid を計算するために initialDomain の MX レコードを参照する代わりに、カスタム ドメインから直接計算します。Instead of looking up the MX record for your initialDomain to calculate domainGuid, instead we calculate it directly from the customized domain. たとえば、カスタム ドメインが "contoso.com" の場合、domainGuid は "contoso-com" となり、ピリオドはすべてダッシュに置き換えられます。For example, if your customized domain is "contoso.com" your domainGuid becomes "contoso-com", any periods are replaced with a dash. したがって、initialDomain が指し示す MX レコードに関係なく、CNAME レコードで使用する domainGuid は、常に上記の方法を使用して計算します。So, regardless of what MX record your initialDomain points to, you'll always use the above method to calculate the domainGuid to use in your CNAME records.

Host name:            selector1._domainkey
Points to address or value:    selector1-<domainGUID>._domainkey.<initialDomain>
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-<domainGUID>._domainkey.<initialDomain>
TTL:                3600

ここで、Where:

  • Microsoft 365 では、セレクターは常に "selector1" または "selector2" になります。For Microsoft 365, the selectors will always be "selector1" or "selector2".

  • domainGUID は、mail.protection.outlook.com の前に表示される、カスタム ドメインのカスタム MX レコードの domainGUID と同じです。domainGUID is the same as the domainGUID in the customized MX record for your custom domain that appears before mail.protection.outlook.com. たとえば、次に示すドメイン contoso.com の MX レコードでは、domainGUID は contoso-com です。For example, in the following MX record for the domain contoso.com, the domainGUID is contoso-com:

    contoso.com.contoso.com. 3600 IN MX 5 contoso-com.mail.protection.outlook.com3600 IN MX 5 contoso-com.mail.protection.outlook.com

  • initialDomain は、Microsoft 365 へのサインアップ時に使用したドメインです。initialDomain is the domain that you used when you signed up for Microsoft 365. 初期ドメインの末尾は常に onmicrosoft.com です。Initial domains always end in onmicrosoft.com. 初期ドメインを決定する方法の詳細については、「 ドメインに関する FAQ」を参照してください。For information about determining your initial domain, see Domains FAQ.

たとえば、初期ドメイン (cohovineyardandwinery.onmicrosoft.com) と 2 つのカスタム ドメイン (cohovineyard.com と cohowinery.com) がある場合は、追加のそれぞれのドメインに対して 2 つの CNAME レコードをセットアップして、合計で 4 つの CNAME レコードをセットアップする必要があります。For example, if you have an initial domain of cohovineyardandwinery.onmicrosoft.com, and two custom domains cohovineyard.com and cohowinery.com, you would need to set up two CNAME records for each additional domain, for a total of four CNAME records.

Host name:            selector1._domainkey
Points to address or value:    selector1-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohovineyard-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector1._domainkey
Points to address or value:    selector1-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

Host name:            selector2._domainkey
Points to address or value:    selector2-cohowinery-com._domainkey.cohovineyardandwinery.onmicrosoft.com
TTL:                3600

注意

2 番目のレコードを作成することは重要ですが、作成時に使用できるのはセレクターのうち 1 つのみである場合があります。It's important to create the second record, but only one of the selectors may be available at the time of creation. 本質的に、2 番目のセレクターはまだ作成されていないアドレスを指している可能性があります。In essence, the second selector might point to an address that hasn't been created yet. それでも、キーの交換がシームレスに行われるようになるため、2 番目の CNAME レコードを作成することをお勧めします。We still recommended that you create the second CNAME record, because your key rotation will be seamless.

注意事項

キーを作成する方法のいくつかのデザイン変更実装するため、自動キーのローテーションは一時的に無効になっています。Automatic key rotation has been temporarily disabled as we implement some design changes in how we create keys. 複数のキーを持つことで、定期的にローテーションさせることができます。It's a good practice to have multiple keys so that you can rotate them periodically. 解読するのは困難ですが、なりすましなどから保護するための実用的な対策戦略です。Although it's hard to crack, it's still a practical mitigation strategy to protect against things like impersonation. Rotate-DkimSigningConfig」ドキュメントを参考にして、組織でこれを行うことができます。You can follow the Rotate-DkimSigningConfig document to help do this for your organization. 自動ローテーションは 2020 年 8月より再度有効になる予定です。We expect that automatic rotation will be enabled again by August 2020.

カスタム ドメインに対して DKIM 署名を有効にするEnable DKIM signing for your custom domain

DNS に CNAME レコードを発行したら、Microsoft 365 で DKIM 署名を有効にする準備が整ったことになります。Once you have published the CNAME records in DNS, you are ready to enable DKIM signing through Microsoft 365. これは、Microsoft 365 管理センターか、PowerShell を使用して行うことができます。You can do this either through the Microsoft 365 admin center or by using PowerShell.

管理センター経由でカスタム ドメインの DKIM 署名を有効にするにはTo enable DKIM signing for your custom domain through the admin center

  1. 職場または学校のアカウントを使用して、Microsoft 365 にサインインします。Sign in to Microsoft 365 with your work or school account.

  2. 左上にあるアプリ起動ツールのアイコンを選択して、[管理] をクリックします。Select the app launcher icon in the upper-left and choose Admin.

  3. 左下のナビゲーションで、[管理者] を展開し、[Exchange] を選択します。In the lower-left navigation, expand Admin and choose Exchange.

  4. [保護] > [dkim] の順に移動します。Go to Protection > dkim.

  5. DKIM を有効にするドメインを選択してから、[このドメインのメッセージに DKIM 署名で署名する][有効] を選択します。各カスタム ドメインにこの手順を繰り返します。Select the domain for which you want to enable DKIM and then, for Sign messages for this domain with DKIM signatures, choose Enable. Repeat this step for each custom domain.

PowerShell を使用してカスタム ドメインの DKIM 署名を有効にするにはTo enable DKIM signing for your custom domain by using PowerShell

  1. Exchange Online PowerShell に接続しますConnect to Exchange Online PowerShell.

  2. 次のコマンドを実行します。Run the following command:

    Set-DkimSigningConfig -Identity <domain> -Enabled $true
    

    ここで、 domain は DKIM 署名を有効にするカスタム ドメインの名前です。Where domain is the name of the custom domain that you want to enable DKIM signing for.

    たとえば、ドメイン名 contoso.com の場合は次のようになります。For example, for the domain contoso.com:

    Set-DkimSigningConfig -Identity contoso.com -Enabled $true
    

DKIM 署名が Microsoft 365 に対して適切に構成されていることを確認するにはTo Confirm DKIM signing is configured properly for Microsoft 365

数分待ってから、これらの手順に従って、DKIM が適切に構成されていることを確認してください。待っている間に、ドメインに関する DKIM 情報がネットワーク全体に広まります。Wait a few minutes before you follow these steps to confirm that you have properly configured DKIM. This allows time for the DKIM information about the domain to be spread throughout the network.

  • Microsoft 365 の DKIM が有効になっているドメイン内のアカウントから、Outlook.com や Hotmail.com などの別の電子メール アカウントにメッセージを送信します。Send a message from an account within your Microsoft 365 DKIM-enabled domain to another email account such as outlook.com or Hotmail.com.

  • テスト目的には .aol.com アカウントは使用しないでください。AOL は SPF チェックに合格すると、DKIM チェックをスキップする場合があります。この場合、テストは成り立ちません。Do not use an aol.com account for testing purposes. AOL may skip the DKIM check if the SPF check passes. This will nullify your test.

  • メッセージを開き、ヘッダーを確認します。メッセージのヘッダーを表示する方法は、メッセージング クライアントによって異なります。Outlook でメッセージ ヘッダーを表示する方法については、「電子メール メッセージ ヘッダーを表示する」をご覧ください。Open the message and look at the header. Instructions for viewing the header for the message will vary depending on your messaging client. For instructions on viewing message headers in Outlook, see View internet message headers in Outlook.

    DKIM 署名されたメッセージには、CNAME エントリの発行時に定義したホスト名とドメインが含まれます。メッセージは、次の例のようになります。The DKIM-signed message will contain the host name and domain you defined when you published the CNAME entries. The message will look something like this example:

      From: Example User <example@contoso.com>
      DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
          s=selector1; d=contoso.com; t=1429912795;
          h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
          bh=<body hash>;
          b=<signed field>;
    
  • 認証結果のヘッダーを確認します。各受信側のサービスでは受信メールのスタンプに若干異なる形式が使用されますが、結果には DKIM=passDKIM=OK などが含まれている必要があります。Look for the Authentication-Results header. While each receiving service uses a slightly different format to stamp the incoming mail, the result should include something like DKIM=pass or DKIM=OK.

DKIM の複数のドメインを構成するにはTo configure DKIM for more than one custom domain

後で別のカスタム ドメインを追加して、その新しいドメインに対して DKIM を有効にする場合は、各ドメインに対してこの記事の手順を完了する必要があります。If at some point in the future you decide to add another custom domain and you want to enable DKIM for the new domain, you must complete the steps in this article for each domain. 具体的には、「DKIM を手動でセットアップする方法」のすべての手順を完了します。Specifically, complete all steps in What you need to do to manually set up DKIM.

カスタム ドメインの DKIM 署名ポリシーを無効にするDisabling the DKIM signing policy for a custom domain

署名ポリシーを無効にしても、DKIM は完全には無効になりません。Disabling the signing policy does not completely disable DKIM. 一定の期間が経過すると、Microsoft 365 はドメインの既定のポリシーを自動的に適用します。After a period of time, Microsoft 365 will automatically apply the default policy for your domain. 詳細については「DKIM と Microsoft 365 の既定の動作」をご覧ください。For more information, see Default behavior for DKIM and Microsoft 365.

Windows PowerShell を使用して DKIM 署名ポリシーを無効にするにはTo disable the DKIM signing policy by using Windows PowerShell

  1. Exchange Online PowerShell に接続しますConnect to Exchange Online PowerShell.

  2. DKIM 署名を無効にする各ドメインに対して次のいずれかのコマンドを実行します。Run one of the following commands for each domain for which you want to disable DKIM signing.

    $p = Get-DkimSigningConfig -Identity <domain>
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    次に例を示します。For example:

    $p = Get-DkimSigningConfig -Identity contoso.com
    $p[0] | Set-DkimSigningConfig -Enabled $false
    

    またはOr

    Set-DkimSigningConfig -Identity $p[<number>].Identity -Enabled $false
    

    ここで、 number はポリシーのインデックスです。Where number is the index of the policy. 以下に例を示します。For example:

    Set-DkimSigningConfig -Identity $p[0].Identity -Enabled $false
    

DKIM と Microsoft 365 の既定の動作Default behavior for DKIM and Microsoft 365

DKIM を有効にしない場合、Microsoft 365 は既定のドメインに対して 1024 ビットの DKIM 公開キーと、それに関連する秘密キー (これはデータセンターに内部的に保存されます) を作成します。If you do not enable DKIM, Microsoft 365 automatically creates a 1024-bit DKIM public key for your default domain and the associated private key which we store internally in our datacenter. 既定では、Microsoft 365 は、所定のポリシーを持たないドメインに対して既定の署名構成を使用します。By default, Microsoft 365 uses a default signing configuration for domains that do not have a policy in place. これは、ユーザーが DKIM をセットアップしなければ、Microsoft 365 が、その既定のポリシーと、自らが作成するキーを使用して、そのドメインに対して DKIM を有効にすることを意味しています。This means that if you do not set up DKIM yourself, Microsoft 365 will use its default policy and keys it creates to enable DKIM for your domain.

また、DKIM 署名を有効にしてから無効にした場合にも、一定の期間が過ぎると、Microsoft 365 が自動的にドメインに対して既定のポリシーを適用します。Also, if you disable DKIM signing after enabling it, after a period of time, Microsoft 365 will automatically apply the default policy for your domain.

次の例では、fabrikam.com の DKIM が、ドメインの管理者ではなく、Microsoft 365 によって有効にされていることを想定しています。In the following example, suppose that DKIM for fabrikam.com was enabled by Microsoft 365, not by the administrator of the domain. これは、必須の CNAME が DNS に存在しないことを意味します。This means that the required CNAMEs do not exist in DNS. このドメインからのメールの DKIM 署名は、次のようなものになります。DKIM signatures for email from this domain will look something like this:

From: Second Example <second.example@fabrikam.com>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    s=selector1-fabrikam-com; d=contoso.onmicrosoft.com; t=1429912795;
    h=From:To:Message-ID:Subject:MIME-Version:Content-Type;
    bh=<body hash>;
    b=<signed field>;

この例のホスト名とドメインには、fabrikam.com の DKIM 署名がドメイン管理者によって有効にされた場合に CNAME が指し示す値が含まれています。In this example, the host name and domain contain the values to which the CNAME would point if DKIM-signing for fabrikam.com had been enabled by the domain administrator. 最終的には、Microsoft 365 から送信されるすべてのメッセージは DKIM 署名されたメッセージになります。Eventually, every single message sent from Microsoft 365 will be DKIM-signed. 自分で DKIM を有効にしている場合、ドメインは From: アドレス内のドメインと同じになります (この場合は fabrikam.com)。If you enable DKIM yourself, the domain will be the same as the domain in the From: address, in this case fabrikam.com. 自分で DKIM を有効にしない場合は、ドメインは同じにならず、代わりに組織の初期ドメインが使用されます。If you don't, it will not align and instead will use your organization's initial domain. 初期ドメインを決定する方法の詳細については、「 ドメインに関する FAQ」を参照してください。For information about determining your initial domain, see Domains FAQ.

サードパーティのサービスがカスタム ドメインに代わって電子メールを送信つまり偽装できるように DKIM を設定するSet up DKIM so that a third-party service can send, or spoof, email on behalf of your custom domain

一部の一括電子メール サービス プロバイダー、または Software-as-a-Service プロバイダーでは、サービスから送信される電子メールに DKIM キーを設定できます。この場合、必要な DNS レコードを設定するために自分とサードパーティの間で調整が必要です。まったく同じ方法を用いる組織は 2 つとありません。それどころか、プロセスは完全に組織に依存します。Some bulk email service providers, or software-as-a-service providers, let you set up DKIM keys for email that originates from their service. This requires coordination between yourself and the third-party in order to set up the necessary DNS records. No two organizations do it exactly the same way. Instead, the process depends entirely on the organization.

contoso.com および bulkemailprovider.com 用に適切に構成された DKIM を示すメッセージの例は、次のようになります。An example message showing a properly configured DKIM for contoso.com and bulkemailprovider.com might look like this:

Return-Path: <communication@bulkemailprovider.com>
 From: <sender@contoso.com>
 DKIM-Signature: s=s1024; d=contoso.com
 Subject: Here is a message from Bulk Email Provider's infrastructure, but with a DKIM signature authorized by contoso.com

この例では、この結果を達成するために、次を実行しました。In this example, in order to achieve this result:

  1. 一括電子メール プロバイダーは、Contosoc に DKIM の公開キーを付与しました。Bulk Email Provider gave Contoso a public DKIM key.

  2. Contoso は、その DNS レコードに DKIM キーを発行しました。Contoso published the DKIM key to its DNS record.

  3. 電子メールを送信する場合、一括電子メール プロバイダーは対応する秘密キーを使用してキーに署名しました。これにより、一括電子メール プロバイダーはメッセージ ヘッダーに DKIM 署名を添付します。When sending email, Bulk Email Provider signs the key with the corresponding private key. By doing so, Bulk Email Provider attached the DKIM signature to the message header.

  4. 受信側の電子メールシステムでは、メッセージの From: (5322.from) アドレスのドメインに対して DKIM-Signature d=<domain> 値を認証することによって DKIM チェックを実行します。Receiving email systems perform a DKIM check by authenticating the DKIM-Signature d=<domain> value against the domain in the From: (5322.From) address of the message. この例では、次の値が一致します。In this example, the values match:

    sender@contoso.comsender@contoso.com

    d=contoso.comd=contoso.com

次の手順: Microsoft 365 に SPF をセットアップした後Next steps: After you set up DKIM for Microsoft 365

DKIM はスプーフィングを防止するように設計されていますが、SPF と DMARC を併用すると DKIM はより有効に機能します。Although DKIM is designed to help prevent spoofing, DKIM works better with SPF and DMARC. DKIM をセットアップした後、まだ SPF を構成していなければ、SPF を構成する必要があります。Once you have set up DKIM, if you have not already set up SPF you should do so. SPF の概要と SPF を迅速に構成する方法については、「スプーフィングを防止するために Microsoft 365 で SPF を設定する」を参照してください。For a quick introduction to SPF and to get it configured quickly, see Set up SPF in Microsoft 365 to help prevent spoofing. Microsoft 365 における SPF の使用方法についての詳細や、ハイブリッド展開などの非標準の展開のトラブルシューティングについては、「How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing」をご確認ください。For a more in-depth understanding of how Microsoft 365 uses SPF, or for troubleshooting or non-standard deployments such as hybrid deployments, start with How Microsoft 365 uses Sender Policy Framework (SPF) to prevent spoofing. 次は、「DMARC を使用してメールを検証する」を参照してください。Next, see Use DMARC to validate email. スパム対策メッセージ ヘッダーには、Microsoft 365 が KIM チェックに使用する構文とヘッダー フィールドが含まれています。Anti-spam message headers includes the syntax and header fields used by Microsoft 365 for DKIM checks.