Microsoft Office 365のDKIMレコードの設定方法

DKIMを付与してDMARCを促進

2025年7月7日
著者: Yunes Tarada
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 How to Setup Microsoft Office 365 DKIM record? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

主なポイント

1. Office 365でDKIMを有効にすると、メールのセキュリティと到達率が向上します。
2. 複数のドメインを使用する場合は、Microsoft 365 DefenderポータルでDKIMを手動で設定する必要があります。
3. DKIMをDNSに設定するには、DNS管理コンソールでCNAMEレコードを作成する必要があります。
4. DKIMレコードを検証することで、メール認証が正しく機能しているかを確認できます。
5. DKIMは、ドメインのなりすましやフィッシングを防ぎ、各種セキュリティ基準や規制への準拠を支援します。

DKIM（DomainKeys Identified Mail）は、Office 365と共に使用できるメール認証方法で、送信者のドメインの正当性を検証し、メールの内容が転送中に変更されていないことを保証します。

DKIMデジタル署名は、送信されるメールに追加され、受信サーバーがメッセージの起源と完全性を検証できるようにします。
この署名は、ドメイン名に関連付けられた秘密鍵を使用して作成されます。
DKIMで署名されたメールメッセージを受信したメールサーバーは、ドメインのDNSレコードに公開されている公開鍵を使用して署名を検証できます。

署名が有効であれば、メールサーバーはメッセージがあなたのドメインから送信され、偽装されたメールでないことを確信できます。
さらに、DMARCと組み合わせることで、DKIMはあなたの正当なメールがスパムとしてマークされたり、メールフィルターによって拒否される代わりに、受信者の受信トレイに届く可能性を高めます。

Office 365でDKIMを設定するための前提条件

Office 365でDKIMを設定する前に、次の項目が準備されていることを確認してください。

• Microsoft 365管理センターに、必要な管理者権限でアクセスできること
• DNSホスティングプロバイダーを通じて、カスタムドメインのDNSレコードを更新できること
• 検証済みのカスタムドメインがOffice 365テナントに追加されていること

注：Office 365のDKIMは、Microsoftのセキュリティ更新により、従来のExchange Onlineポータルではなく、現在は Microsoft 365 Defenderポータルから設定します。

Office 365のカスタムドメインでDKIMを設定する方法

Office 365をメールサービスとして使用している場合は、次の重要なポイントに注意してください。

• メール送信に既定のonmicrosoft.comドメインを使用している場合、DKIMを手動で設定する必要はありません。
• 単一のカスタムメールドメインの場合、Microsoftは既定で2048ビットキーを使用したDKIMを自動的に有効にします。
• Office 365に複数のカスタムドメインを登録している場合のみ、DKIMを手動で設定する必要があります。

以下の手順に従って、Office 365のカスタムドメインにDKIMを設定します。

1. Defenderポータルにログイン

• MicrosoftアカウントでMicrosoft Defenderにログインしてください。
• ポータルで、「メールとコラボレーション」の下にある「ポリシーとルール」に移動してクリックします。
• 「ポリシーとルール」ページで、「脅威ポリシー」を選択します。
  

2. DKIMのDNSレコードを生成します。

• DomainKeys Identified Mail(DKIM)を選択して、DKIMタブを開きます。
• DKIMページで、DKIMを有効化したいドメインを選択します。
  （これは送信メールに使用するドメインです。）
  
• 次にEnableボタンを切り替えて、DKIMの有効化プロセスを開始します。
  ダイアログボックスが表示され、ステータス情報が表示される場合があります。
  Create DKIM keysボタンをクリックすると、DKIMキーを確認できます。
  DKIMキーを作成します。
  
• また、PowerDMARCのDKIM ジェネレーターを使用してDKIMレコードを作成することもできます。

3. CNAMEレコードをコピーしてDNSに追加する

画面には2つのCNAME形式のDKIMレコードが表示されます。
これらのレコードには、メール認証に必要なDKIM公開鍵の情報が含まれています。

• 青色のCopyボタンをクリックし、それぞれのCNAMEレコードをクリップボードにコピーします。
• ドメインレジストラまたはホスティングプロバイダーの管理画面を開き、ドメインのDNS設定にこれらのCNAMEレコードを追加します。
• DNS管理コンソールにログインします。
• 新しいDNSレコードを追加するセクションを探します。
• レコードタイプとしてCNAMEを選択します。
• コピーした値を指定されたフィールドに正確に貼り付けます。
• 変更を保存してDNS設定を適用します。
• 「有効にする」スライドを右に移動して、DKIMのアクティベーションプロセスを開始します。
  

4. DefenderでDKIMを有効化する

DNSのCNAMEレコードが伝播した後（反映には時間がかかることがあります）、Microsoft Defenderポータルに戻ります。
DKIM設定画面でカスタムドメインを見つけ、そのドメインのDKIM署名（DKIM signing）を有効にします。
これにより、メール認証（DKIM）が有効になります。

DKIM を有効化できない場合のトラブルシューティング

Microsoft Defenderポータルでドメインの DKIM を有効化できずエラーが表示される場合、主な原因として次のようなものが考えられます。

• DNSレコードがまだ完全に伝播していない場合があります。
  DNSの変更がインターネット全体に反映されるまでには、最大48時間程度かかることがあります。
• CNAMEレコードにタイプミスや記述ミスがある可能性があります。
  例えば、余分なスペースや誤った文字が含まれている場合があります。
• DKIMセレクタが正しく設定されていない、またはMicrosoftが指定している値と一致していない可能性があります。

問題を解決するには、次の方法を確認してください。

• DKIMレコード確認ツールを使用し、公開したDNSレコードが正しく設定されているか確認します。
• DNSの変更が完全に伝播しているか確認します。
  必要に応じて時間を置くか、DNS伝播確認ツールを利用します。
• CNAMEレコードの設定内容とDKIMセレクタの値が正しいか再確認します。
• それでも解決しない場合は、DNSホスティングプロバイダーに問い合わせてください。
• 必要に応じて、Microsoftサポートに連絡して追加のサポートを受けてください。

PowerShellを使用してOffice 365のDKIMを設定する方法

上級ユーザーや管理者の場合、Exchange Online PowerShellを使用すると、DKIMを含むメール認証設定を管理できます。
PowerShellコマンドを使用することで、DKIM設定の自動化や、カスタムドメインでのDKIM署名の有効化・無効化、トラブルシューティングを効率的に行うことができます。

特に、複数のドメインや複雑な環境を管理する場合に便利です。
複数のドメインでDKIMを有効化する場合など、PowerShell を使用して Exchange Online の DKIM 設定を有効化できます。
手順は次のとおりです。

1. Exchange Onlineに接続します。

2. 次のスクリプトを実行して、Office 365のDKIMセレクタを取得します。

3. Office 365 から提供されたCNAMEレコードをDNSに追加します。

4. 次のコマンドを実行して、対象ドメインのDKIMを有効化します。

Office 365のDKIMレコードをDNSに設定する方法

1. DNSプロバイダーの管理コンソールにログインします。
2. DNSレコードの管理画面に移動します。
3. 新しいCNAMEレコードを作成します。
4. Defenderポータルで表示されたホスト名と値を貼り付けます。
5. TTLは3600のままにします。
6. レコードを保存して、Office 365のDKIM設定を完了します。
   DKIMが有効になるまで、24～48時間ほど待ちます。

注：DNSレコードを設定する手順は、使用しているDNSホスティングプロバイダーによって異なります。
また、DNS伝播によってレコードが有効になるまでの時間も、同様にプロバイダーによって異なります。
主なプロバイダーの手順へのリンクは以下のとおりです。

• GoDaddy
• Amazon Web Services（AWS）
• Cloudflare
• cPanel

Office 365のDKIMを無効にする方法

Defenderポータルでは、ワンクリックでOffice 365のDKIMを無効にできます。
ただし、DKIMを無効にすると、特にメール転送などでSPFチェックが失敗する場合に、メールのセキュリティが低下するおそれがある点に注意してください。
一般的にはDKIMを有効のままにしておくことが推奨されています。

Microsoft および当社でも、より適切なメール認証のためにDKIMを有効にしておくことを強く推奨しています。
DKIMを無効にするには、 Email & collaboration > Policies & rules > Threat policies > DomainKeys Identified Mail (DKIM) に移動します。
DKIMページで「Enable」トグルをオフに切り替えることで、DKIMを無効にできます。

注：DKIM検証は、SPFが失敗する可能性があるメール転送などの特殊なケースでも、メッセージをより適切に認証するのに役立ちます。
ドメインでDKIMを有効にしておくことは、良いメール運用のベストプラクティスとされており、Microsoftと当社の両方から強く推奨されています。

最後に

DKIMを正しく設定することは、メール通信を保護し、ドメインをなりすましやフィッシング攻撃から守るために非常に重要です。
DKIMの設定を定期的に確認・更新することで、メール認証を強力かつ効果的に維持できます。
このプロセスを簡単にし、メールセキュリティを継続的に管理するために、PowerDMARCの利用を検討してください。

PowerDMARCは、DKIMの管理と監視を簡単かつ信頼性の高いものにするプラットフォームです。
無料のDMARCトライアルを利用して、そのメリットをぜひ確認してください。

よくある質問

Exchange OnlineのすべてのドメインでDKIMが有効になっていることを確認するにはどうすればよいですか。

Microsoft Defenderポータルの Email & collaboration > Policies & rules > Threat policies > DKIM を確認してください。
各カスタムドメインでDKIMが有効になっていることを確認できます。

Office 365でDKIMキーをローテーションするにはどうすればよいですか。

新しいキー用のCNAMEレコードをDNSに生成し、その後Microsoft Defenderポータルで新しいキーに対してDKIM署名を有効にします。
このプロセスにより、メール署名に使用する暗号鍵を定期的に更新でき、セキュリティの向上につながります。

DKIMキーはどのくらいの頻度でローテーションすべきですか。

DKIMキーは1～2年ごと、またはキーが侵害された疑いがある場合にはそれより早くローテーションすることが推奨されています。
定期的なローテーションにより、強力なメールセキュリティを維持し、攻撃者による古いキーの悪用を防ぐことができます。

関連記事

• Microsoft Office 365のSPF 設定
• Microsoft Office 365のDMARC 設定