## この記事でわかること - HubSpot の Marketing Email / Transactional Email それぞれで必要な認証設定の違い - 「Connect your email sending domain」フローで追加される SPF include と DKIM CNAME の意味 - DMARC を pass させるためのサブドメイン戦略(hubspotemail.net を使うか、自社ドメインを使うか) ## なぜ HubSpot だけ Gmail で迷惑メール扱いされるのか HubSpot は標準のままでも送信できますが、From が自社ドメイン(例: `info@example.jp`)の場合、**SPF/DKIM が自社ドメイン側で揃っていないと DMARC アラインメントが取れず**、Gmail や Microsoft 365 で迷惑メール判定されやすくなります。2024 年 2 月の Google 要件、2025 年 5 月の Microsoft 要件以降、この傾向は強まりました。 HubSpot には「Connect your email sending domain」フローがあり、完了すると DKIM が自社ドメインで署名されます。最新の管理画面操作は[公式マニュアル](https://knowledge.hubspot.com/email-deliverability/connect-your-email-sending-domain)をご確認ください。本記事は UI に依存しない**設計の方針**に絞ります。 ![HubSpot のサブドメイン戦略比較](/blog/hubspot-email-auth/subdomain-strategy.svg) ## 設計の起点: どのドメインから送るのか HubSpot からの送信ドメインには大きく 2 つの選択肢があります。 1. **HubSpot 共有ドメイン(hubspotemail.net 等)のまま使う**: 設定不要だが From も `@hubspotemail.net` 系になり、ブランド毀損・到達率低下の原因 2. **自社ドメインを Connected Email Domain として登録する**: From を `info@example.jp` 等にでき、DMARC pass を狙える ほとんどの企業は 2 を選びます。本記事も 2 を前提に解説します。なお Marketing Hub と Transactional Email Add-on では追加される DNS レコードのセレクタが異なります(後述)。 ## DNS に追加される 2 種類の CNAME(DKIM) Connect your email sending domain を完了すると、HubSpot 側から **DKIM 公開鍵を 2 本の CNAME** で公開するよう案内されます。代表的な形は次のとおりです。 | レコード種別 | name | value の指針 | | --- | --- | --- | | CNAME (DKIM) | `hs1-._domainkey.example.jp` | HubSpot 側が指示する `.dkim.hubspotemail.net` | | CNAME (DKIM) | `hs2-._domainkey.example.jp` | HubSpot 側が指示する `.dkim.hubspotemail.net` | | TXT (SPF) | `@`(または送信サブドメイン) | 既存の `v=spf1 ...` に `include:_spf.smtp.hubspot.net` を追加 | | TXT (DMARC) | `_dmarc` | `v=DMARC1; p=none; rua=mailto:postmaster@example.jp` から開始 | CNAME を 2 本にする理由は、HubSpot 側で鍵をローテートする際にセレクタを切り替えても自社 DNS を都度書き換えなくて済むようにするためです。**TXT で公開鍵直値を貼るのではなく CNAME 委譲する方式**なので、鍵更新時のメンテナンスが楽になります。 ### 既存 SPF への include 追加で起きる事故 Google Workspace や Microsoft 365 を使うドメインに HubSpot を足すと、SPF lookup 上限 10 個(RFC 7208)にすぐ達します。詳細と対策は[SPF レコードのフラット化](/blog/spf-flattening)を参照。 また `v=spf1` レコードを 2 本書くと両方無効になります。必ず既存の 1 本に include を**追記**してください。 ## DMARC アラインメントを成立させるサブドメイン戦略 DMARC pass には、From ドメインと SPF/DKIM の認証ドメインがアラインメント(一致または親子関係)している必要があります。HubSpot で典型的なのは次の 2 パターンです。 - **トップドメインで送る**: From `info@example.jp`、認証も `example.jp` で揃える。ブランドはそのままだが Marketing 大量送信のレピュテーションがトップに乗る - **サブドメインで送る**: From `news@mkt.example.jp`、認証も `mkt.example.jp` で揃える。トップドメインのレピュテーションを保護できる メルマガ配信量が大きい企業ほど**サブドメイン分離**が推奨です。将来 `p=reject` まで強化するなら最初からサブドメイン構成が運用しやすくなります。段階強化の流れは[DMARC 設定ガイド](/blog/dmarc-setup-guide)を参照。 ### MA ツール特有のリンクトラッキングと DMARC HubSpot などの MA ツールは**メール本文のリンクをトラッキング用ドメインに置換**します。フィッシング判定の境界が厳しいフィルタでは警告対象になることもあるため、HubSpot で「Tracking URL」用ドメインも CNAME 委譲し From ドメインと揃えておくとブランド一貫性が高まります。 設定後の確認は[DKIM の仕組みと検証手順](/blog/dkim-verification)を参照。`dig` か[無料ドメイン診断](/diagnose)でまとめてチェックすると確実です。 ![HubSpot で追加される DKIM CNAME 2 本](/blog/hubspot-email-auth/dkim-cnames.svg) ### まとめ - HubSpot から自社ドメインで送るなら「Connect your email sending domain」を完了させる - DKIM は CNAME 2 本(hs1-, hs2-)を委譲し、鍵ローテートを HubSpot に任せる - 既存 SPF に `include:_spf.smtp.hubspot.net` を追記。`v=spf1` を 2 本にしない - メルマガ大量送信ならサブドメイン分離でトップドメインのレピュテーションを保護 - DMARC は `p=none` から始め、レポートを確認してから段階的に強化 - 最新の管理画面操作は必ず[HubSpot 公式マニュアル](https://knowledge.hubspot.com/email-deliverability/connect-your-email-sending-domain)で確認 ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。