MailchimpのDKIM設定と確認ガイド
目次
この記事でわかること
- Mailchimpの「Verify a domain」と「Authenticate a domain」の違い
- DKIM(CNAME 2本)の設定で何が変わるのか
- Mailchimp配信時のDMARCアライメントの仕組み
- 設定後に管理画面とdigの両方で確認する理由
Mailchimpで「迷惑メールに入る」と言われる本当の理由
Mailchimpを使っていて「最近Gmailで迷惑メール扱いされる」「届かない人が増えた」という相談が増えています。原因のほとんどは、Authenticate a domain(DKIM設定)が完了していないことです。
2024年2月のGoogle、2025年5月のMicrosoftによる送信者要件強化以降、From: が自社ドメインに見えるメールは自社ドメインのDKIM署名が必須になりました。Mailchimpの「Verify a domain」だけでは送信者検証であり、DNSベースのDKIM認証ではない点が落とし穴です。
最新の管理画面操作は公式マニュアルをご確認ください。本記事はUIに依存しない設計と確認の考え方に絞ります。
Verify a domain と Authenticate a domain の違い
| 項目 | Verify a domain | Authenticate a domain |
|---|---|---|
| 仕組み | postmaster宛のメールにコードが届く → 入力 | DNSにCNAME 2本を追加 |
| 目的 | ドメイン所有確認(Mailchimp内部用) | DKIM署名と Return-Path を自社ドメインに揃える |
| 受信側からの見え方 | From: [email protected] via mailchimpapp.net のように via 表記 |
From: [email protected] のみ |
| DMARC pass | しないことが多い | する |
| 2024年要件 | 不十分 | 必須 |
CNAMEはDKIMの公開鍵を間接参照する方式で、SendGridのDomain Authenticationと同様の考え方です。鍵ローテーションをMailchimp側で実施できる利点があります。
追加するDNSレコード
具体的なホスト名は管理画面で発行されたものをそのまま使いますが、構造は以下の通りです(実際の値はアカウント・ドメインで変わります)。
k1._domainkey.example.jp CNAME dkim1.mcsv.net
k2._domainkey.example.jp CNAME dkim2.mcsv.net
Mailchimpは原則SPFのincludeを要求しません。Return-PathがMailchimp側のドメイン(bounce.mcsv.net 等)になり、SPFはそのドメインで評価されるためです。SPFはGoogle Workspace等の他サービス分だけ書けばOKです。
ただしDMARCの観点では話が変わります。
DMARCアライメントの考え方
DMARCはSPFまたはDKIMのいずれかが「From:のドメイン」と「認証されたドメイン」が一致(aligned)していればpassとなります。Mailchimpの場合の典型例:
- SPFアライメント: Return-Path が
bounce.mcsv.netのため From: のexample.jpと不一致 → 不成立 - DKIMアライメント: Authenticate a domain設定済なら d= が
example.jp→ 成立 - DMARC結果: DKIMで通れば pass
つまり、MailchimpではDKIM(Authenticate a domain)の設定こそがDMARCを通す鍵です。Verify a domain だけで運用していると、DMARCアライメントが両方不成立となり、ポリシーを quarantine 以上にした瞬間に配信が止まる事故が起きます。DMARCアライメントの詳細はDMARCアライメント解説、段階強化のロードマップはDMARC設定ガイドを参照してください。
サブドメイン分離の判断
「メルマガはMailchimp、トランザクションメールはSendGrid、人間が送るのはGoogle Workspace」のように送信元が複数ある場合、Mailchimpの送信元アドレスを news.example.jp のようなサブドメインに分けると運用が楽になります。
- DMARCポリシーをサブドメイン単位で調整できる(
sp=タグ) - DKIM署名のドメインがサブドメインで完結し、ルートドメインの認証と独立する
- 万が一Mailchimp由来で配信問題が起きても、ルートドメインの到達率に波及しない
ルートドメインを使う設計でも問題ありませんが、配信規模が月数千通を超えるならサブドメイン分離を検討する価値があります。判断基準は5,000通基準のチェック観点で詳しく解説しています。なお、一斉配信そのものの到達率を上げる観点は一斉送信メールが迷惑メールに入る原因と対策にまとめています。
設定後の確認: 管理画面と dig の両方を見る
Mailchimpの管理画面で「Authenticated」表示が出ても、DNS伝播やキャッシュの都合で実際のレコードが期待値と違っていることがあります。逆にdigで正しい値が返っていても管理画面側のステータス更新が遅れることもあります。両方を確認するのが鉄則です。
具体的なdigコマンドや確認ポイントはDKIM設定 確認方法に詳しくまとめています。Web上のチェックツール(MXToolbox等)や、ドメイン番人の無料ドメイン診断も併用できます。最終確認は実際にGmail宛にテスト送信し、Authentication-Results ヘッダで dkim=pass dmarc=pass がそろっていることを確認してください。
まとめ
- Verify a domain は所有確認だけ。DKIM認証ではない
- Authenticate a domain(CNAME 2本)が2024年以降は必須
- SPF includeは原則不要。Return-PathがMailchimp側で完結する
- DMARCアライメントはDKIM側で成立する設計
- 配信規模が大きいならサブドメイン分離を検討
- 管理画面の「認証済み」表示と dig の両方で確認する
自社の状況を確認してみませんか
設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSLの状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。