![ドメイン番人の無料診断が27項目に拡張](/blog/diagnose-expansion/hero.avif) ## この記事でわかること - 無料ドメイン診断 `/diagnose` が **5 カテゴリ × 27 項目** に拡張されたこと - メール認証(SPF / DKIM / DMARC)を看板スコアとして維持しつつ、DNS・Web セキュリティ・ドメイン管理・ブランド保護を「詳細診断(任意)」として追加した狙い - 期限切れ・なりすまし・冗長性などの **重大な指摘** が自動でハイライト表示されるようになったこと ## 5 カテゴリ × 27 項目に拡張しました これまでの無料ドメイン診断は SPF / DKIM / DMARC というメール認証 3 種を中心に、設定の有無と整合性を 0〜100 のスコアでお返しする仕組みでした。今回、それを土台に **メール認証の周辺・DNS インフラ全般・Web 配信のセキュリティ・ドメイン登録の管理状態・ブランド保護** までを 1 度の診断でまとめてチェックできるようにしています。 ![ドメイン診断の5カテゴリ全体像](/blog/diagnose-expansion/categories-overview.svg) 入力するのは引き続き**ドメイン名 1 つだけ**です。所要時間は 5〜10 秒、登録不要です。 ## なぜ広げたか|「メール認証だけ完璧でも事故は起きる」 運用では、メール認証はしっかり設定したつもりでも、**別のところで止まる**ことが少なくありません。具体例を 3 つ挙げます。 - **SSL 証明書の更新を忘れて停止**:DNS は健全、メールも届く。けれどある日 Web サイトに「保護されていない通信」が表示されて取引先からの信頼を失う - **NS が 1 件だけ**:DNS 事業者の障害で **メールも Web も同時に停止**。冗長化ができていれば回避できた - **registrar lock 解除のまま**:ドメイン奪取の被害に遭ったとき、防御線が 1 枚少ない状態だった これらは「メール認証スコア」だけ見ていても気付けません。だからこそ、看板スコアは**メール認証のままで残しつつ**、隣接する観点を **任意で展開できる詳細診断** として横並びに置く設計にしました。 ## 5 つの新カテゴリと、各カテゴリの中身 ![各カテゴリの代表的な項目](/blog/diagnose-expansion/categories-items.svg) それぞれのカテゴリで何を見ているかを簡潔に紹介します。 ### メール認証 周辺(8 項目) SPF / DKIM / DMARC の **本体は看板スコア側**で評価しているため、こちらでは「設定するともう一段安全になる」周辺項目をまとめています。 - **MX レコード**: 受信できる設計か、送信専用なら明示されているか - **BIMI**: ブランドロゴ表示の準備度(任意) - **MTA-STS / TLS-RPT**: 受信時の TLS 強制ポリシーとレポート設定 - **DMARC pct=100 / アラインメント strict / rua**: DMARC を「効くように」運用できているか - **DKIM 鍵長 ≥2048 ビット**: Gmail / Outlook の現行ガイドライン適合 詳しい関係は[SPF・DKIM・DMARCの違いをわかりやすく解説](/blog/spf-dkim-dmarc-difference)を併せてご覧ください。 ### DNS インフラ(8 項目) DNS 自体の健全性です。**メールが届くかどうかとは別に、DNS が落ちたら全部止まる**という観点で見ています。 - **NS 冗長性 ≥2** と **NS の事業者分散** - **DNSSEC(DS レコード)** の有無 - **CAA**(誤った認証局からの SSL 発行を防止) - **AAAA / IPv6** 対応 - **SOA TTL** の妥当性 - **DNS 応答速度** - **TXT レコードの過剰・SPF 重複**(SPF が 2 件以上は RFC 違反) DNS レコードの種類自体については[DNSレコードの種類をわかりやすく](/blog/dns-record-types)で図解しています。 ### Web セキュリティ(6 項目) HTTPS で Web を配信しているドメインの安全性です。 - **HTTPS 接続成功と証明書有効性** - **証明書の有効期限 残日数**:14 日以内なら緊急、30 日以内なら警告 - **HSTS** ヘッダの max-age と **HSTS preload** 申請の前提 - **HTTP/2 / HTTP/3** の対応(Alt-Svc 広告で確認) - **CT log** から見た発行 CA の多様性(不審な証明書発行の早期発見) 期限管理だけは別記事[SSL証明書の有効期限を確認する3つの方法](/blog/ssl-expiration-check)で詳しく紹介しています。 ### ドメイン管理(3 項目) ドメイン登録そのものの状態を、RDAP(WHOIS の後継 API)と DNSSEC のチェーンで確認します。 - **ドメイン有効期限の残日数**:30 日未満なら緊急。失効すると Web ・メール・SSL がすべて停止します - **レジストラ転送ロック**(`clientTransferProhibited`)の有無 - **DS と DNSKEY の整合**:親ゾーンの DS と自ゾーンの DNSKEY が両方あるか 期限切れの怖さは[ドメインの更新忘れと redemption からの復旧手順](/blog/domain-renewal-recovery)に体験記をまとめています。 ### ブランド保護(2 項目) なりすましやフィッシングの被害を防ぐ「攻撃者から見た自社ドメイン」の観点です。 - **似たドメイン (typosquatting) の存在**:`m → rn` `l → 1` `o → 0` などの紛らわしい置き換えで作られたドメインが**他者によって登録されていないか** - **主要 TLD の取得状況**:`example.com` を持っているなら `example.net` `example.jp` `example.co.jp` も自社で押さえているか なりすましメール対策の全体像は[なりすましメール対策](/blog/email-spoofing-prevention)を参照してください。 ## 重大な指摘は自動でハイライトされます 5 カテゴリの中から「即対応すべき」項目だけを抜き出して、結果画面の上部に **重大な指摘** として並べる仕組みも入れています。具体的には以下のような状況です。 - SSL 証明書が **期限切れ または 14 日以内に切迫** - ドメイン有効期限が **30 日未満** - **NS が 1 件のみ**で冗長化されていない - **レジストラ転送ロックが解除** - **DNSSEC のチェーンが切断**(DS あり / DNSKEY 無しの致命パターン) - **SPF PermError**(`include:` の数が 10 を超えるなど) - **DMARC レコード未設定** - **DKIM 鍵長が 1024 ビット未満** 詳細を見るより前に、**まず手を打つべき 1〜3 項目**が一目でわかるようにしています。 ## 既存ユーザー・連携クライアントへの影響 既に診断ツールをご利用中の方や、Agent Skills / MCP 経由で `/api/diagnose` を呼んでいる方への配慮として、以下を守って実装しました。 - **看板スコア** (SPF/DKIM/DMARC、A〜F グレード、加重 35/25/40) は計算式・出力フィールドとも**完全に維持** - 新フィールド(`details` の 5 カテゴリと `critical_issues`)は**すべて optional 追加**。読み取らない既存クライアントは何の修正も不要 - API 入力スキーマは引き続き `{ domain, turnstileToken }`、認証フローも変更なし ## まずは現状を把握しましょう 自社ドメインの 5 カテゴリ 27 項目の状態は、[無料ドメイン診断](/diagnose)でドメイン名を入れるだけで確認できます。看板スコアの直下、「詳細診断(任意)」を展開すると各カテゴリの内訳がご覧いただけます。 「指摘が多くてどこから手を付ければいいかわからない」「重大な指摘の意味が掴めない」といった場合は、[お問い合わせ](/contact)からお気軽にご相談ください。優先順位の整理から実装代行まで、運用に合わせて専門家がサポートします。