Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

DKIM の設定のベストプラクティス

公開日: Jul 10, 2024
説明
Winter '19 リリースの重要な更新「メールセキュリティが強化されるように再設計された DomainKeys Identified Mail (DKIM) 鍵機能の有効化」を通じて、Salesforce で DKIM 鍵を作成する新しい方法が導入されました。Winter '20 リリースでは、この機能がすべての組織で実装されました。
 
解決策

以前の方法 (公開鍵と秘密鍵) と比較した、新しい方法 (セキュリティ強化) を使用して DKIM を設定する場合の考慮事項は次のとおりです。
 
  • ドメインの設定で、組織の [私のドメイン] 名ではなく、メールドメインを入力してください。
  • DKIM 鍵を 1 つの Salesforce 組織から別の組織にインポートできなくなります。これによってプロセスのセキュリティが強化されます。
  • Salesforce で DKIM 鍵を作成した後で、CNAME レコードを DNS に公開する必要があります。
  • 同じドメインの同じセレクタ値を持つ 2 つの鍵を使用することはできません。これにより、新しい CNAME レコードを公開できなくなります。このシナリオでは、DKIM レコードは作成できますが、有効化はできません。新しい DKIM 鍵は新しい一意のセレクタを使用して作成する必要があります。
  • DKIM 鍵を 1 つの組織から別の組織にインポートできなくなるため、DKIM を Sandbox で実装している場合、Sandbox の更新後に鍵を再作成する必要があり、生成された CNAME レコードを再び DNS に公開する必要があります。
  • 証明書の有効期限がなくなります。既存の鍵は引き続き動作しますが、新しい鍵は新しい方法を使用して生成する必要があります。
  • DKIM 鍵は API を使用して生成することもできます。この場合もセキュリティが強化された新しい方法に準じます。この方法で新しい CNAME を生成した場合も、DNS に更新する必要があります。詳細は、「EmailDomainKey」を参照してください。
  • Salesforce では、一度に有効になる DKIM 鍵は 1 つだけです。つまり、DIG、NSLOOKUP、または類似のチェックを行っても、回復されるのはその時点のローテーションで有効な鍵に基づいて主鍵または第 2 鍵のどちらかのみとなります。
  • Salesforce によって DNS で適切な CNAME レコードが公開されたと認識されない限り、Salesforce の DKIM 鍵の [有効化] ボタンは無効なままになります。 
  • DKIM の正規化には、「c=relaxed/simple」が使用されます。そのため、ヘッダーの正規化は relaxed であり、本文は simple です。この設定は、現時点では変更できません。

Salesforce で DKIM 鍵を作成する手順については、「DKIM 鍵の作成」を参照してください。


関連情報:
SPF and DKIM alignment fails (SPF と DKIM の位置合わせが失敗する)
Unable to Activate the DKIM keys in Salesforce (Salesforce で DKIM 鍵を有効化できない)


Salesforce サポート YouTube 動画:
How to Setup DKIM Key (DKIM 鍵の設定方法)
ナレッジ記事番号

000381186

 
読み込み中
Salesforce Help | Article