DKIM キーの作成
DomainKeys Identified Mail (DKIM) は、送信者であることを証明するためにメールにデジタル署名を付けるセキュリティ標準です。この署名により、受信サーバーは、メッセージコンテンツが送信中に変更または偽造されていないことを検証できます。DKIMはメールプロバイダとのTrustを構築するため、メッセージがスパムフォルダではなくInboxに送信される可能性が高くなります。有効な DKIM 鍵によってドメインの所有権が検証され、Salesforce でユーザーにメールを送信できるようになります。
必要なエディション
| 使用可能なインターフェース: Salesforce Classic および Lightning Experience |
| 使用可能なエディション: Database.com を除くすべてのエディション |
| 必要なユーザー権限 | |
|---|---|
| DKIM 鍵の管理: | 「アプリケーションのカスタマイズ」 |
DomainKeys Identified Mail (DKIM) を使用してメールをデジタル署名すると、メッセージがドメインから送信されたことが鍵で証明されます。
Salesforce は DKIM 鍵ペアを使用して、会社に代わって送信される送信メールに署名します。これにより、正当な送信者としてのドメインの評価が高まります。各 DKIM 鍵のペアは、1 つの非公開鍵と 1 つの公開鍵で構成されます。Salesforce は公開鍵を公開し、非公開鍵は Salesforce に保存されます。これらのリンクされた鍵は、送信メールドメインを検証し、送信メールの信頼性を検証するのに役立ちます。
メールの転送中、Salesforce は非公開鍵を使用して DKIM 署名を生成し、その署名を送信メールに追加します。受信者がメールを受信すると、DKIM 署名がドメインの公開 DNS レコードを介して公開鍵に対して検証されます。この検証により、送信者が本人であることを証明します。
- [設定] から、[クイック検索] ボックスに「DKIM キー」と入力し、[DKIM キー] を選択します。
-
[Create New Key (新規キーの作成)] をクリックします。
新しい DKIM 鍵のペアは、デフォルトで [無効] 状態になります。
-
RSA キーのサイズを選択します。
特定のアプリケーションでより小さな鍵が必要な場合以外は、2048 ビットを選択します。
- [セレクター] に、このキーを識別する最大 62 文字の英字、数字、ハイフンで構成される一意の文字列を入力します。文字または数字で開始します。たとえば、example-sf-a です。
-
[代替セレクター] に、最大 62 文字、数字、ハイフンで構成される別の一意の文字列を入力します。文字または数字で開始します。たとえば、example-sf-b です。
Salesforce では、代替セレクターを使用してキーが自動循環されます。「DKIM キーに関する考慮事項」を参照してください。
-
Salesforce からメールを送信するために使用するドメイン名を入力します。
DKIM 鍵を保存すると、ドメイン名を編集できなくなります。
-
[ドメイン一致パターン] には、Salesforce がこの DKIM キーを使用してメールに署名する前にドメイン名を一致させる必要があるドメインパターンのカンマ区切りリストを入力します。
推奨されるドメイン一致パターン値の 2 つの例を次に示します。
- ドメイン: example.com および Domain Match Pattern: example.com
- ドメイン: mail.example.com およびドメイン一致パターン: mail.example.com
重要 所有するドメインの DKIM キーのドメイン一致パターンリストでは、ワイルドカードを使用しないでください。この項目ではワイルドカードを使用できますが、このオプションは推奨されなくなりました。所有するサブドメイン (mail.example.com など) のメールを送信および署名するには、サブドメインごとに個別の DKIM キーを作成します。 -
変更を保存します。
Salesforce は、Salesforce が所有するドメインの DNS TXT (テキスト) レコードに主鍵と代替鍵の 2 つの DKIM 公開鍵を公開します。代替キーは、キーの循環中に使用されます。
Salesforce では、ドメインに対応する正規ドメイン名 (CNAME) レコードも生成されます。これは、DKIM 鍵ペアの後半部分になります。このプロセスは通常 15 分以内に終了します。
-
CNAME レコードと代替 CNAME レコードをドメインの DNS レコードに追加します。
-
鍵の詳細を表示するには、[設定] の DKIM 鍵リストから、鍵のセレクターをクリックします。
Salesforce が非公開鍵の TXT レコードの公開を完了すると、[CNAME レコード] 項目と [代替 CNAME レコード] 項目が表示されます。
[TXT レコード状況] が [公開中] の場合、数分待ってからもう一度お試しください。
-
ドメインの DNS に CNAME レコードと代替 CNAME レコードを追加します。
DNS プロバイダーと連携してこのステップを完了します。
ドメインが example.com でセレクターが example-sf-a と example-sf-b の DKIM キーの DNS CNAME レコードの例を次に示します。
NAME TTL CLASS TYPE VALUE -------------------------------------------------- example-sf-a._domainkey.example.com. 3600 IN CNAME example-sf-a.k4tyd2.custdkim.salesforce.com. example-sf-b._domainkey.example.com. 3600 IN CNAME example-sf-b.e6mxu6.custdkim.salesforce.comDNS 伝達が完了すると、CNAME および代替 CNAME レコードが DKIM の [鍵の詳細] ページに表示されます。
メモ DNS の変更が反映されるまで最大 72 時間かかる場合があります。
-
鍵の詳細を表示するには、[設定] の DKIM 鍵リストから、鍵のセレクターをクリックします。
-
DNS 伝達が完了したら、ドメインを有効化します。
- [設定] の [DKIM キー] リストから、キーの [編集] をクリックします。
-
[DKIM Key Details (DKIM キーの詳細)] ページで、[Activate (有効化)] をクリックします。
CNAME レコードがドメインの DNS レコードに公開されるまで、DKIM キーを有効化することはできません。
セキュリティ上の理由により、Salesforce は 30 日ごとに DKIM 鍵を循環させます。DKIM キーを有効化すると、Salesforce は次の循環のために無効なセカンダリ DKIM キーを作成します。循環のために DKIM 鍵設定を更新する必要はありません。「DKIM キーに関する考慮事項」を参照してください。
