Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

SPF と DKIM のアラインメントが失敗する

公開日: Mar 3, 2026
説明
メールのなりすましを回避するために、Salesforce の Sender Policy Framework (SPF) レコードをドメインの SPF レコードに含めることをお勧めします。SPF レコードに加えて、DomainKeys Identified Mail (DKIM) 機能も実装することをお勧めします。これにより、貴社に代わって送信された送信メールに Salesforce が署名できるようになります。

ただし、メールドメインが DMARC ポリシーを持っている場合、SPF または DKIM のどちらかがパスするだけでなく、DMARC で定義されているようにアライメントしていなければなりません。

SPF のアライメントが失敗する根本原因: 不達管理およびメールセキュリティコンプライアンス、またはどちらかの設定が有効になっています。DKIM 署名が一致してパスする限り、DMARC はSPF も一致させる必要はありません。そのため、不達処理を継続したいお客様には DKIM の設定をお勧めします。

この 2 つの設定のいずれかが組織で有効になっている場合、envelope-from は、
sampleemail=salesforce.com__abc123@abc123.bnc.salesforce.com などの可変エンベロープリターンパス (VERP) アドレスに変更されます。この場合、envelope-from が From ヘッダーのドメインと一致しないため、DMARC のアライメント要件を満たしません。​

DKIM のアライメントが失敗する根本原因: DKIM 鍵のドメイン項目が From ヘッダーのドメインと一致しません。

注: アライメントに問題があるかどうかを確認するには、Message Head Analyzer​​​​ などの様々な Web ベースのヘッダー分析を使用してください。
解決策
望ましい解決方法は、DKIM 鍵を設定することです。ドメイン項目の内容は、ドメイン一致項目と一致しなければなりません。

Salesforce では、DKIM 鍵を設定できない場合の代替策として、以下を推奨しています。Salesforce Classic および Lightning の不達管理とメールセキュリティコンプライアンスの両方を無効にします。

Salesforce Classic:
  1. [設定] で、クイック検索ボックスに「メール管理」と入力して [送信] をクリックします。
  2. [不達管理の有効化] および [標準メールセキュリティのメカニズムへの準拠を有効化] のチェックを外します。
  3. ドメインの SPF レコードに、「include:_spf.salesforce.com」を追加します。
  4. [保存] をクリックします。

Lightning Experience:
  1. [設定] で、クイック検索ボックスに「メール」と入力して [送信] をクリックします。
  2. [不達管理の有効化] および [標準メールセキュリティのメカニズムへの準拠を有効化] のチェックを外します。
  3. ドメインの SPF レコードに、「include:_spf.salesforce.com」を追加します。
  4. [保存] をクリックします。


参考情報:
DKIM の設定のベストプラクティス
メールのメールヘッダーを探す
私の組織にとってどのメール設定が最適ですか?
Salesforce から送信するメールの到達性設定のガイドライン
Sender Policy Framework レコードと Salesforce SPF レコード
DKIM 鍵の作成に関する考慮事項
SPF と DKIM に関する FAQ
ナレッジ記事番号

000381292

 
読み込み中
Salesforce Help | Article