DKIM はどうやって確認する?コマンド 4 種を整理
目次
この記事でわかること
- DKIM レコードを DNS から引き出す
dig/nslookup/ PowerShell の具体的なコマンド - 受信メールの
Authentication-Resultsヘッダから DKIM 検証結果とセレクタを読み解く方法 - セレクタ名が分からないときに「逆引き」で特定する手順
DKIM の概念はDKIM設定の確認方法にまとめています。本記事は確認作業をターミナルとメールソフトで進めるためのコマンド逆引き集です。
DKIM レコードはどこに公開されているか
DKIM の公開鍵は次の場所に TXT または CNAME で登録されています。
<セレクタ>._domainkey.<ドメイン名>
たとえば example.co.jp を Google Workspace で運用していれば、確認すべきホスト名は google._domainkey.example.co.jp になります。Microsoft 365 なら selector1._domainkey.example.co.jp と selector2._domainkey.example.co.jp の2本です。セレクタ名がサービスごとに違う背景はDKIMセレクタとはで整理しています。DNS が Cloudflare の場合の登録手順は Cloudflare DNS で DKIM を設定する手順 を参照してください。
dig コマンド(macOS / Linux)
最も標準的な確認方法です。+short オプションを付けると値だけが返るため、見やすくなります。
Google Workspace の DKIM を確認
dig TXT google._domainkey.example.co.jp +short
返り値の例:
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..."
Microsoft 365 の DKIM を確認(CNAME)
Microsoft 365 は CNAME 経由のため、最初に CNAME を辿ります。
dig CNAME selector1._domainkey.example.co.jp +short
dig CNAME selector2._domainkey.example.co.jp +short
CNAME 先が分かれば最終 TXT も辿れます。
出力の読み方
DKIM レコードは次のタグで構成されています。
v=DKIM1:バージョン識別子(必須)k=rsa:鍵種別(省略時は rsa)p=:公開鍵本体(base64)t=yがついていると テストモード(受信側は失敗してもエラー扱いしない)
p= の値が空(p=;)のレコードは「失効済み」を意味し、その鍵での署名は受信側で全て失敗扱いになります。
Windows 環境(nslookup と PowerShell)
nslookup
Windows 環境では nslookup が標準で使えます。-q=TXT でレコード種別を指定します。
nslookup -q=TXT google._domainkey.example.co.jp
CNAME を確認する場合は次のとおりです。
nslookup -q=CNAME selector1._domainkey.example.co.jp
nslookup は OS によって出力が折り返され p= の値が途中改行されることがあるため、空白を取り除いて1行にしてから比べてください。
PowerShell(Resolve-DnsName)
Windows の PowerShell には専用コマンドレットがあります。
Resolve-DnsName -Type TXT -Name google._domainkey.example.co.jp
DNS サーバーを明示したいときは -Server 8.8.8.8 を付けます。社内 DNS が古い値をキャッシュしているケースの切り分けに有効です。
Resolve-DnsName -Type TXT -Name google._domainkey.example.co.jp -Server 8.8.8.8
メールヘッダーから「実際に動いているか」を確認
DNS にレコードが見えても、それが実際の送信メールで使われているとは限りません。最終確認は 受信メールのヘッダー で行います。
Gmail に自社ドメインからテストメールを送り、Authentication-Results 行を探します。
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=google header.b=...
spf=pass smtp.mailfrom=example.co.jp
dmarc=pass header.from=example.co.jp
確認すべきは次の3点です。
dkim=passになっているか(failneutralnoneだと NG)header.s=のセレクタ名が想定通りか(DNS で確認した値と一致しているか)header.i=のドメインが From ヘッダーと一致しているか(DMARC アラインメントの観点)
dkim=fail の代表的な原因は、鍵長が短すぎる・公開鍵が DNS から引けない・転送経路で本文が改変された、の3つです。詳しい切り分けはDMARC失敗時のトラブルシューティングも参考にしてください。転送や本文の差異で署名が壊れる挙動は正規化方式に左右されるため、DKIM 正規化|simple と relaxed の違いもあわせて読むと理解が深まります。
セレクタが分からないときの逆引き手順
「他社経由で送信されているらしいが、どのサービスを使っているか不明」というケースは中小企業でよくあります。このときも Authentication-Results ヘッダが手がかりになります。
- 該当するメールを受信し、ソースまたはオリジナルメッセージを表示
header.s=の値を控える(例:s1024、mailo、em1234)- ヘッダー全体に含まれる
From・Return-Path・Receivedのホスト名から送信ベンダーを推測(mailgun.org、sendgrid.net、amazonses.com など) - 想定したセレクタで
dig TXT <セレクタ>._domainkey.<ドメイン>を打ち、TXT が返れば一致
header.s= だけで送信元サービスが特定できない場合、Received 行に並ぶサーバー名を順に追うと配送経路が見えます。
オンラインツールでまとめて確認する
コマンド操作が難しい場合や、社内で結果を共有したい場合はオンラインツールが便利です。
- mxtoolbox:セレクタを指定すると DKIM の TXT を解析してくれる
- dmarcian:DKIM・SPF・DMARC の整合性を1画面で表示
- ドメイン番人 /diagnose:日本語でレポートを返し、DMARC・SPF・DKIM・SSL を一括チェック
オンラインツールは「セレクタ名を入れる欄があるか」が要点です。ホスト名にセレクタを含む特殊なレコードのため、入力欄がないと正しく確認できません。メールヘッダー貼り付け型のツールはセレクタ自動検出が効くので、送信元サービスが不明なドメインの調査に向いています。
自社の状況を確認してみませんか
設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。