HubSpotのSPF/DKIM設定とDMARC対応
目次
この記事でわかること
- HubSpot の Marketing Email / Transactional Email それぞれで必要な認証設定の違い
- 「Connect your email sending domain」フローで追加される SPF include と DKIM CNAME の意味
- DMARC を pass させるためのサブドメイン戦略(hubspotemail.net を使うか、自社ドメインを使うか)
なぜ HubSpot だけ Gmail で迷惑メール扱いされるのか
HubSpot は標準のままでも送信できますが、From が自社ドメイン(例: [email protected])の場合、SPF/DKIM が自社ドメイン側で揃っていないと DMARC アラインメントが取れず、Gmail や Microsoft 365 で迷惑メール判定されやすくなります。2024 年 2 月の Google 要件、2025 年 5 月の Microsoft 要件以降、この傾向は強まりました。
HubSpot には「Connect your email sending domain」フローがあり、完了すると DKIM が自社ドメインで署名されます。最新の管理画面操作は公式マニュアルをご確認ください。本記事は UI に依存しない設計の方針に絞ります。
設計の起点: どのドメインから送るのか
HubSpot からの送信ドメインには大きく 2 つの選択肢があります。
- HubSpot 共有ドメイン(hubspotemail.net 等)のまま使う: 設定不要だが From も
@hubspotemail.net系になり、ブランド毀損・到達率低下の原因 - 自社ドメインを Connected Email Domain として登録する: From を
[email protected]等にでき、DMARC pass を狙える
ほとんどの企業は 2 を選びます。本記事も 2 を前提に解説します。なお Marketing Hub と Transactional Email Add-on では追加される DNS レコードのセレクタが異なります(後述)。
DNS に追加される 2 種類の CNAME(DKIM)
Connect your email sending domain を完了すると、HubSpot 側から DKIM 公開鍵を 2 本の CNAME で公開するよう案内されます。代表的な形は次のとおりです。
| レコード種別 | name | value の指針 |
|---|---|---|
| CNAME (DKIM) | hs1-<id>._domainkey.example.jp |
HubSpot 側が指示する <hash>.dkim.hubspotemail.net |
| CNAME (DKIM) | hs2-<id>._domainkey.example.jp |
HubSpot 側が指示する <hash>.dkim.hubspotemail.net |
| TXT (SPF) | @(または送信サブドメイン) |
既存の v=spf1 ... に include:_spf.smtp.hubspot.net を追加 |
| TXT (DMARC) | _dmarc |
v=DMARC1; p=none; rua=mailto:[email protected] から開始 |
CNAME を 2 本にする理由は、HubSpot 側で鍵をローテートする際にセレクタを切り替えても自社 DNS を都度書き換えなくて済むようにするためです。TXT で公開鍵直値を貼るのではなく CNAME 委譲する方式なので、鍵更新時のメンテナンスが楽になります。
既存 SPF への include 追加で起きる事故
Google Workspace や Microsoft 365 を使うドメインに HubSpot を足すと、SPF lookup 上限 10 個(RFC 7208)にすぐ達します。詳細と対策はSPF レコードのフラット化を参照。
また v=spf1 レコードを 2 本書くと両方無効になります。必ず既存の 1 本に include を追記してください。
DMARC アラインメントを成立させるサブドメイン戦略
DMARC pass には、From ドメインと SPF/DKIM の認証ドメインがアラインメント(一致または親子関係)している必要があります。HubSpot で典型的なのは次の 2 パターンです。
- トップドメインで送る: From
[email protected]、認証もexample.jpで揃える。ブランドはそのままだが Marketing 大量送信のレピュテーションがトップに乗る - サブドメインで送る: From
[email protected]、認証もmkt.example.jpで揃える。トップドメインのレピュテーションを保護できる
メルマガ配信量が大きい企業ほどサブドメイン分離が推奨です。将来 p=reject まで強化するなら最初からサブドメイン構成が運用しやすくなります。段階強化の流れはDMARC 設定ガイドを参照。
MA ツール特有のリンクトラッキングと DMARC
HubSpot などの MA ツールはメール本文のリンクをトラッキング用ドメインに置換します。フィッシング判定の境界が厳しいフィルタでは警告対象になることもあるため、HubSpot で「Tracking URL」用ドメインも CNAME 委譲し From ドメインと揃えておくとブランド一貫性が高まります。
設定後の確認はDKIM の仕組みと検証手順を参照。dig か無料ドメイン診断でまとめてチェックすると確実です。
まとめ
- HubSpot から自社ドメインで送るなら「Connect your email sending domain」を完了させる
- DKIM は CNAME 2 本(hs1-, hs2-)を委譲し、鍵ローテートを HubSpot に任せる
- 既存 SPF に
include:_spf.smtp.hubspot.netを追記。v=spf1を 2 本にしない - メルマガ大量送信ならサブドメイン分離でトップドメインのレピュテーションを保護
- DMARC は
p=noneから始め、レポートを確認してから段階的に強化 - 最新の管理画面操作は必ずHubSpot 公式マニュアルで確認
自社の状況を確認してみませんか
設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。