SPF / DKIM / DMARCチェッカー
ドメインのメール認証DNSレコードを確認します。SPFポリシー、DKIMセレクターレコード、DMARC適用、レポートタグ、よくある設定ミスを検証できます。
SPF、DKIM、DMARCについて
SPF、DKIM、DMARCは連携して、受信メールサーバーがあなたのドメインから送信されたと主張するメールが正当かどうかを判断するのに役立ちます。強力な認証設定は、DNSレコードの不足や競合によるなりすまし、フィッシング、配信問題を減らします。
このチェッカーは公開TXTレコードを読み取り、重要な部分であるSPF送信者ポリシー、セレクターのDKIM公開鍵、認証失敗時に受信側が適用すべきDMARCポリシーを説明します。
DKIMセレクター
DKIMキーは default._domainkey.example.com のようなセレクター固有の名前に保存されます。セレクターが分からない場合は、メールプロバイダーのドキュメントを確認するか、最近のメールヘッダーのDKIM-Signature内にある s= の値を確認してください。
このチェッカーが確認する内容
SPF
- SPF TXTレコードが1つだけ存在するか確認します。
- +all や neutral ?all など、許可が広すぎるポリシーを検出します。
- SPFのDNSルックアップ上限10回に対するメカニズム数を推定します。
DKIM
- selector._domainkey レコードを検索します。
- v、k、p、h、s、t などのキータグを解析します。
- 欠落、空、失効済み、または弱い可能性のあるRSAキーを検出します。
DMARC
- _dmarc ポリシーレコードと解析済みタグを確認します。
- p=none、quarantine、reject の適用状況を確認します。
- レポート、アライメント、割合指定のロールアウト設定を確認します。
よくある修正
SPFレコードは1つだけ公開する
複数のSPF TXTレコードは恒久的なSPFエラーの原因になります。承認済み送信元を1つの v=spf1 レコードに統合し、DNSルックアップ数を10未満に保ってください。
準備ができたらDMARCを監視モードから進める
p=none はレポート収集には有用ですが、認証に失敗したメールを隔離または拒否する指示にはなりません。SPFとDKIMのアライメントが整ったら、pct= とレポートを使いながら段階的に適用を強めてください。
DKIMキーは慎重にローテーションする
新しいセレクターを追加し、メールサービスでそのセレクターを使って署名するよう更新します。DNSとメールフローが安定するまで待ち、使用されなくなった古いキーを削除または失効させます。