## この記事でわかること - Mailchimpの「Verify a domain」と「Authenticate a domain」の違い - DKIM(CNAME 2本)の設定で何が変わるのか - Mailchimp配信時のDMARCアライメントの仕組み - 設定後に管理画面とdigの両方で確認する理由 ## Mailchimpで「迷惑メールに入る」と言われる本当の理由 Mailchimpを使っていて「最近Gmailで迷惑メール扱いされる」「届かない人が増えた」という相談が増えています。原因のほとんどは、**Authenticate a domain(DKIM設定)が完了していない**ことです。 2024年2月のGoogle、2025年5月のMicrosoftによる[送信者要件強化](/blog/microsoft-dmarc-mandatory-2025)以降、From: が自社ドメインに見えるメールは**自社ドメインのDKIM署名**が必須になりました。Mailchimpの「Verify a domain」だけでは送信者検証であり、DNSベースのDKIM認証ではない点が落とし穴です。 最新の管理画面操作は[公式マニュアル](https://mailchimp.com/help/set-up-email-domain-authentication/)をご確認ください。本記事はUIに依存しない設計と確認の考え方に絞ります。 ![Mailchimp Verify a domain と Authenticate a domain の違い](/blog/mailchimp-email-auth/verify-vs-authenticate.svg) ## Verify a domain と Authenticate a domain の違い | 項目 | Verify a domain | Authenticate a domain | | --- | --- | --- | | 仕組み | postmaster宛のメールにコードが届く → 入力 | DNSにCNAME 2本を追加 | | 目的 | ドメイン所有確認(Mailchimp内部用) | DKIM署名と Return-Path を自社ドメインに揃える | | 受信側からの見え方 | `From: name@example.jp via mailchimpapp.net` のように `via` 表記 | `From: name@example.jp` のみ | | DMARC pass | しないことが多い | する | | 2024年要件 | 不十分 | 必須 | CNAMEはDKIMの公開鍵を間接参照する方式で、SendGridのDomain Authenticationと同様の考え方です。鍵ローテーションをMailchimp側で実施できる利点があります。 ### 追加するDNSレコード 具体的なホスト名は管理画面で発行されたものをそのまま使いますが、構造は以下の通りです(実際の値はアカウント・ドメインで変わります)。 ``` k1._domainkey.example.jp CNAME dkim1.mcsv.net k2._domainkey.example.jp CNAME dkim2.mcsv.net ``` **Mailchimpは原則SPFのincludeを要求しません**。Return-PathがMailchimp側のドメイン(`bounce.mcsv.net` 等)になり、SPFはそのドメインで評価されるためです。SPFはGoogle Workspace等の他サービス分だけ書けばOKです。 ただしDMARCの観点では話が変わります。 ## DMARCアライメントの考え方 DMARCはSPFまたはDKIMのいずれかが**「From:のドメイン」と「認証されたドメイン」が一致(aligned)**していればpassとなります。Mailchimpの場合の典型例: ![Mailchimp配信時のDMARCアライメント関係](/blog/mailchimp-email-auth/dmarc-alignment.svg) - SPFアライメント: Return-Path が `bounce.mcsv.net` のため From: の `example.jp` と不一致 → **不成立** - DKIMアライメント: Authenticate a domain設定済なら d= が `example.jp` → **成立** - DMARC結果: DKIMで通れば **pass** つまり、**MailchimpではDKIM(Authenticate a domain)の設定こそがDMARCを通す鍵**です。Verify a domain だけで運用していると、DMARCアライメントが両方不成立となり、ポリシーを `quarantine` 以上にした瞬間に配信が止まる事故が起きます。DMARCアライメントの詳細は[DMARCアライメント解説](/blog/dmarc-alignment-explained)、段階強化のロードマップは[DMARC設定ガイド](/blog/dmarc-setup-guide)を参照してください。 ### サブドメイン分離の判断 「メルマガはMailchimp、トランザクションメールはSendGrid、人間が送るのはGoogle Workspace」のように送信元が複数ある場合、Mailchimpの送信元アドレスを `news.example.jp` のようなサブドメインに分けると運用が楽になります。 - DMARCポリシーをサブドメイン単位で調整できる(`sp=` タグ) - DKIM署名のドメインがサブドメインで完結し、ルートドメインの認証と独立する - 万が一Mailchimp由来で配信問題が起きても、ルートドメインの到達率に波及しない ルートドメインを使う設計でも問題ありませんが、配信規模が月数千通を超えるならサブドメイン分離を検討する価値があります。判断基準は[5,000通基準のチェック観点](/blog/dmarc-5000-mails-check)で詳しく解説しています。なお、一斉配信そのものの到達率を上げる観点は[一斉送信メールが迷惑メールに入る原因と対策](/blog/bulk-mail-deliverability)にまとめています。 ## 設定後の確認: 管理画面と dig の両方を見る Mailchimpの管理画面で「Authenticated」表示が出ても、**DNS伝播やキャッシュの都合で実際のレコードが期待値と違っている**ことがあります。逆にdigで正しい値が返っていても管理画面側のステータス更新が遅れることもあります。両方を確認するのが鉄則です。 具体的なdigコマンドや確認ポイントは[DKIM設定 確認方法](/blog/dkim-verification)に詳しくまとめています。Web上のチェックツール([MXToolbox](https://mxtoolbox.com/)等)や、ドメイン番人の[無料ドメイン診断](/diagnose)も併用できます。最終確認は実際にGmail宛にテスト送信し、`Authentication-Results` ヘッダで `dkim=pass` `dmarc=pass` がそろっていることを確認してください。 ### まとめ - Verify a domain は所有確認だけ。DKIM認証ではない - Authenticate a domain(CNAME 2本)が2024年以降は必須 - SPF includeは原則不要。Return-PathがMailchimp側で完結する - DMARCアライメントはDKIM側で成立する設計 - 配信規模が大きいならサブドメイン分離を検討 - 管理画面の「認証済み」表示と dig の両方で確認する ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSLの状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。