## この記事でわかること - Email Relay と Direct Delivery の違いと使い分け - DKIM Keys画面で発行した公開鍵をDNSに反映するときの落とし穴 - 自社ドメインを差出人にする場合のDMARCアラインメント ## なぜSalesforceのメールが迷惑メール判定されるのか Salesforce Sales / Service Cloud の標準機能でケースの自動返信や商談メールを送ると、**送信元アドレスは自社ドメインなのに実際の送信サーバーはSalesforce側**という構成になります。受信側から見ると「example.co.jp と名乗っているのにSalesforceのサーバーから飛んできた」状態で、SPF / DKIMが揃っていないと迷惑メール判定されやすくなります。 2024年2月のGoogle、2025年5月のMicrosoftの送信者要件強化以降、SPFまたはDKIMが通らない大量送信は受信拒否される可能性があります。CRMからの自動メールは件数が多く、影響を強く受けます。 ![Email RelayとDirect Deliveryの比較](/blog/salesforce-email-auth/relay-vs-direct.svg) ## まず決めるべき: Email Relay か Direct Delivery か Salesforceから外部に送信する経路は大きく2種類あります。どちらを選ぶかで必要なDNS設定が変わるため、最初にここを確定させます。 ### Direct Delivery(標準の経路) Salesforceのメールサーバーから受信側に直接配送する方式です。設定が簡単な反面、SPFのincludeに**Salesforceが指定する値**を入れる必要があります。中小規模の利用では多くこちらが選ばれます。 ### Email Relay(自社SMTPリレー経由) Salesforce → 自社のSMTPリレー(Microsoft 365 / Google Workspace 等)→ 受信側、と経由する方式です。**送信元IPは自社のリレーサーバー**になるため、SPFは自社のリレー側のincludeで通せます。Setup → Email → Email Relays で設定します。ガバナンス要件で「外部メールは全て自社リレー経由」が必須ならEmail Relayを選びます。 ### Direct Delivery 用のSPF設計 Direct Delivery を選んだ場合、SPFには**Salesforceが指定するinclude値**を追加します。具体値は変わる可能性があるため、必ず[Salesforce公式ヘルプ](https://help.salesforce.com/)で確認してください。本記事では考え方だけ示します。 | レコード種別 | name | value の指針 | | --- | --- | --- | | TXT (SPF) | `@` | `v=spf1` で始め、Salesforceが案内するincludeを追加し `~all` で締める | | TXT (DKIM) | Salesforceが指定するセレクタ.\_domainkey | DKIM Keys画面で生成された公開鍵を登録 | | TXT (DMARC) | `_dmarc` | `v=DMARC1; p=none; rua=mailto:postmaster@example.co.jp` から開始 | 他のメールサービス併用時はSPFのlookup上限10個に到達しやすい点に注意([SPFフラット化](/blog/spf-flattening)参照)。 ## DKIM Keys画面で発行する公開鍵の扱い Salesforce の DKIM 設定は Setup → Email Administration → DKIM Keys で行います。ここで「Create New Key」を選び、**ドメイン・セレクタ・鍵長(推奨: 2048 bit)**を指定すると、公開鍵が生成されます。 公式手順: [Set Up a DomainKeys Identified Mail Key (Salesforceヘルプ)](https://help.salesforce.com/s/articleView?id=sf.emailadmin_setting_up_dkim.htm) ![Salesforce DKIMの登録フロー](/blog/salesforce-email-auth/dkim-key-flow.svg) 実務でハマりやすい3点: 1. **公開鍵の改行混入**: 長いTXTレコードのコピペ時に改行が入り検証失敗 2. **セレクタ名のミス**: Salesforce側のセレクタとDNSのレコード名がずれる 3. **「Active」化忘れ**: DNS反映後にDKIM Keys画面で「Activate」を押さないと署名されない DNS反映後は外部から `dig` で実値を確認します([DKIM検証](/blog/dkim-verification))。 ### DMARCアラインメントを通すための差出人ドメイン Salesforceからの送信で「差出人」を `noreply@example.co.jp` のように自社ドメインにしている場合、**DKIM署名のドメイン(d=)と差出人のドメインが揃う**必要があります。これがDMARCアラインメントです。 DKIM Keys画面でセレクタを `example.co.jp` に対して発行していれば署名ドメインも揃います。一方、差出人だけ自社ドメインでDKIM署名がSalesforce既定ドメインになっていると**DMARC fail**になります。DMARCの段階強化(none → quarantine → reject)は[DMARC設定ガイド](/blog/dmarc-setup-guide)を参照してください。 ### Account Engagement / Marketing Cloud は別仕組み 本記事は Salesforce Sales / Service Cloud の標準メール送信が対象です。**Account Engagement (Pardot) や Marketing Cloud は別の送信インフラ**で、SPF includeもDKIM鍵管理も独立しています。複数併用時は、製品ごとの送信元棚卸し → それぞれの include / セレクタ追加 → SPF lookup 10個の上限検算、の順で設計します。 ### 設定後の確認 外部から実値を引いてレコードが配信されているかを必ず確認します([SPF設定ガイド](/blog/spf-setup-guide)、[DKIM検証ガイド](/blog/dkim-verification))。最後に Gmail 宛にテスト送信し、ヘッダの「Authentication-Results」で `spf=pass` `dkim=pass` `dmarc=pass` が揃えば運用可能な状態です。 ## まとめ - Email Relay か Direct Delivery かを最初に決める - Direct DeliveryならSalesforce指定のincludeをSPFに追加 - DKIM Keys画面で発行 → DNS登録 → Activate の3手順を忘れない - 差出人ドメインとDKIM署名ドメインを揃えてDMARCアラインメント - 詳しい操作は必ず[Salesforce公式ヘルプ](https://help.salesforce.com/)で確認 ## 自社の状況を確認してみませんか 設定状況がわからない方は、無料の[ドメイン診断](/diagnose)で現状をチェックできます。 DMARC・SPF・DKIM・SSLの状態が数十秒でレポートされます。 判断に迷う場合は[お問い合わせ](/contact)からご相談ください。専門家がわかりやすくサポートいたします。