## この記事でわかること - お名前.com で DNS を編集する 2 ルート(標準 DNS / NS 切替先)の判定方法 - SPF・DKIM・DMARC それぞれで追加すべき DNS レコードの中身(type / name / value の指針) - 送信元(Google Workspace / Microsoft 365 / レンタルサーバー)ごとの SPF include 値の違い - 設定後の検証方法(dig / mxtoolbox / 無料診断) ## まず「DNS 編集の 2 ルート」を整理する 「お名前.com の管理画面でいくら設定しても反映されない」というご相談で多いのが、DNS 編集場所を間違えているケースです。お名前.com で取得したドメインの DNS 編集には 2 つのルートがあります。 ![お名前.com の DNS ルート判定フロー](/blog/onamae-email-auth-setup/dns-route-decision.svg) ### ルート A: お名前.com の標準 DNS を使っている場合 ネームサーバーが `01.dnsv.jp` `02.dnsv.jp` のままなら、お名前.com Navi の「DNS レコード設定(共有)」画面で TXT・CNAME を直接追加します。SPF・DKIM・DMARC を 1 件ずつ登録するのが標準的な運用です。 ### ルート B: ネームサーバーを切替済みの場合 Cloudflare、Route 53、レンタルサーバー側など別の DNS に委任している場合、お名前.com の DNS 画面では編集できません。この場合は **委任先 DNS の管理画面** でレコードを追加する必要があります。「お名前.com で設定したのに効かない」ケースの多くがこのパターンです。 判別は `dig NS your-domain.jp` コマンドの結果で行えます。コマンドが使えない場合は[mxtoolbox の DNS Lookup](https://mxtoolbox.com/) で NS レコードを確認してください。 ## 設定すべき DNS レコード 3 種 ルート A・B どちらの場合でも、追加する DNS レコードの中身は共通です。 ![お名前.com に追加する DNS レコード 3 種](/blog/onamae-email-auth-setup/required-dns-records.svg) > 最新の管理画面操作については[お名前.com 公式ヘルプ](https://help.onamae.com/)を必ずご確認ください。本記事では UI に依存する手順ではなく、設定すべき値の中身を整理しています。 ### SPF(送信元 IP の許可) | 項目 | 値 | | --- | --- | | type | TXT | | ホスト名 | `@`(ドメイン直下) | | value | `v=spf1 include:_spf.google.com ~all`(送信元による) | ポイントは value の `include` 部分が **送信元サービスごとに変わる** こと。詳しくは次章で整理します。SPF レコードの構文と上限の詳細は[SPF 設定方法を徹底解説](/blog/spf-setup-guide)を参照してください。 ### DKIM(電子署名の公開鍵) | 項目 | 値 | | --- | --- | | type | TXT | | ホスト名 | `selector._domainkey`(セレクタ名は送信元が指定) | | value | `v=DKIM1; k=rsa; p=MIGfMA0G...`(送信元が発行した公開鍵) | セレクタ名は送信元ごとに固定です。Google Workspace なら `google._domainkey`、Microsoft 365 なら `selector1._domainkey` と `selector2._domainkey` の 2 つを CNAME で登録します。設定後の検証は[DKIM が正しく設定できているか確認する方法](/blog/dkim-verification)で確認できます。 ### DMARC(なりすまし時の方針) | 項目 | 値 | | --- | --- | | type | TXT | | ホスト名 | `_dmarc` | | value | `v=DMARC1; p=none; rua=mailto:dmarc@your-domain.jp` | 最初は `p=none` で集計レポートのみ受け取り、レポート内容を確認してから `quarantine` → `reject` へ段階的に強化します。詳細は[DMARC 設定方法を徹底解説](/blog/dmarc-setup-guide)を参照してください。 ## 送信元別の SPF include 値 SPF の include 値は、実際にメールを送っているサービスごとに異なります。「自社で何を使ってメールを送っているか」を棚卸ししてから値を組み立ててください。各社の include 値や認証方式(SPF include / CNAME 方式 / API キー方式など)は変更されることがあるため、**必ず利用中サービスの公式ドキュメントで最新の値を確認してください**。 | 送信元サービス | include 値の例(公式ドキュメントで要確認) | | --- | --- | | Google Workspace | `_spf.google.com` | | Microsoft 365 | `spf.protection.outlook.com` | | さくらのレンタルサーバ | [さくら公式マニュアル](/blog/sakura-email-auth-setup)を参照 | | Xserver | [Xserver 設定ガイド](/blog/xserver-email-auth-setup)を参照 | | ロリポップ | [ロリポップ設定ガイド](/blog/lolipop-email-auth-setup)を参照 | | ConoHa WING | [ConoHa WING 設定ガイド](/blog/conoha-wing-email-auth-setup)を参照 | | メール配信サービス(SendGrid / Mailgun 等) | 各社公式ドキュメント。サービスによっては SPF include ではなく CNAME 方式を推奨 | 複数の送信元から送っている場合は include を並べます。例として Google Workspace と Microsoft 365 を併用している場合の値はこうなります。 ``` v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all ``` ただし include の数が増えると **DNS ルックアップ 10 回上限**(RFC 7208)に抵触しやすくなります。3 つを超えるあたりから注意してください。詳細は[SPF レコード設定ガイド](/blog/spf-setup-guide)と[SPF flattening の対処法](/blog/spf-flattening)も参照してください。 ## 設定後の検証手順 DNS の伝播には数分〜数時間かかります。即時に判定できないので、以下のいずれかで反映を確認します。 ### ターミナルで dig コマンド 最も正確に確認できます。 ``` dig TXT your-domain.jp +short dig TXT _dmarc.your-domain.jp +short dig TXT google._domainkey.your-domain.jp +short ``` ### Web ツールで確認 ブラウザだけで完結させたい場合は[MXToolbox の SPF / DMARC Lookup](https://mxtoolbox.com/) が広く使われています。世界各地の DNS サーバーから検証してくれるため、伝播状況の確認にも便利です。 ### 本サイトの無料診断 3 つを一度にチェックしたい場合は本サイトの[無料ドメイン診断](/diagnose) が便利です。SPF・DKIM・DMARC・SSL の状態をまとめてレポートします。判定が `Permerror` や構文エラーの場合は、value 文字列のクォートや改行が原因のことが多いので、お名前.com の管理画面で再度コピー&ペーストしてみてください。 ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。