ドメイン番人
メール認証SPFDKIM設定方法

Salesforceのメール認証SPF/DKIM設定ガイド

ドメイン番人5 分で読めます
目次

この記事でわかること

  • Email Relay と Direct Delivery の違いと使い分け
  • DKIM Keys画面で発行した公開鍵をDNSに反映するときの落とし穴
  • 自社ドメインを差出人にする場合のDMARCアラインメント

なぜSalesforceのメールが迷惑メール判定されるのか

Salesforce Sales / Service Cloud の標準機能でケースの自動返信や商談メールを送ると、送信元アドレスは自社ドメインなのに実際の送信サーバーはSalesforce側という構成になります。受信側から見ると「example.co.jp と名乗っているのにSalesforceのサーバーから飛んできた」状態で、SPF / DKIMが揃っていないと迷惑メール判定されやすくなります。

2024年2月のGoogle、2025年5月のMicrosoftの送信者要件強化以降、SPFまたはDKIMが通らない大量送信は受信拒否される可能性があります。CRMからの自動メールは件数が多く、影響を強く受けます。

Email RelayとDirect Deliveryの比較

まず決めるべき: Email Relay か Direct Delivery か

Salesforceから外部に送信する経路は大きく2種類あります。どちらを選ぶかで必要なDNS設定が変わるため、最初にここを確定させます。

Direct Delivery(標準の経路)

Salesforceのメールサーバーから受信側に直接配送する方式です。設定が簡単な反面、SPFのincludeにSalesforceが指定する値を入れる必要があります。中小規模の利用では多くこちらが選ばれます。

Email Relay(自社SMTPリレー経由)

Salesforce → 自社のSMTPリレー(Microsoft 365 / Google Workspace 等)→ 受信側、と経由する方式です。送信元IPは自社のリレーサーバーになるため、SPFは自社のリレー側のincludeで通せます。Setup → Email → Email Relays で設定します。ガバナンス要件で「外部メールは全て自社リレー経由」が必須ならEmail Relayを選びます。

Direct Delivery 用のSPF設計

Direct Delivery を選んだ場合、SPFにはSalesforceが指定するinclude値を追加します。具体値は変わる可能性があるため、必ずSalesforce公式ヘルプで確認してください。本記事では考え方だけ示します。

レコード種別 name value の指針
TXT (SPF) @ v=spf1 で始め、Salesforceが案内するincludeを追加し ~all で締める
TXT (DKIM) Salesforceが指定するセレクタ._domainkey DKIM Keys画面で生成された公開鍵を登録
TXT (DMARC) _dmarc v=DMARC1; p=none; rua=mailto:[email protected] から開始

他のメールサービス併用時はSPFのlookup上限10個に到達しやすい点に注意(SPFフラット化参照)。

DKIM Keys画面で発行する公開鍵の扱い

Salesforce の DKIM 設定は Setup → Email Administration → DKIM Keys で行います。ここで「Create New Key」を選び、ドメイン・セレクタ・鍵長(推奨: 2048 bit)を指定すると、公開鍵が生成されます。

公式手順: Set Up a DomainKeys Identified Mail Key (Salesforceヘルプ)

Salesforce DKIMの登録フロー

実務でハマりやすい3点:

  1. 公開鍵の改行混入: 長いTXTレコードのコピペ時に改行が入り検証失敗
  2. セレクタ名のミス: Salesforce側のセレクタとDNSのレコード名がずれる
  3. 「Active」化忘れ: DNS反映後にDKIM Keys画面で「Activate」を押さないと署名されない

DNS反映後は外部から dig で実値を確認します(DKIM検証)。

DMARCアラインメントを通すための差出人ドメイン

Salesforceからの送信で「差出人」を [email protected] のように自社ドメインにしている場合、DKIM署名のドメイン(d=)と差出人のドメインが揃う必要があります。これがDMARCアラインメントです。

DKIM Keys画面でセレクタを example.co.jp に対して発行していれば署名ドメインも揃います。一方、差出人だけ自社ドメインでDKIM署名がSalesforce既定ドメインになっているとDMARC failになります。DMARCの段階強化(none → quarantine → reject)はDMARC設定ガイドを参照してください。

Account Engagement / Marketing Cloud は別仕組み

本記事は Salesforce Sales / Service Cloud の標準メール送信が対象です。Account Engagement (Pardot) や Marketing Cloud は別の送信インフラで、SPF includeもDKIM鍵管理も独立しています。複数併用時は、製品ごとの送信元棚卸し → それぞれの include / セレクタ追加 → SPF lookup 10個の上限検算、の順で設計します。

設定後の確認

外部から実値を引いてレコードが配信されているかを必ず確認します(SPF設定ガイドDKIM検証ガイド)。最後に Gmail 宛にテスト送信し、ヘッダの「Authentication-Results」で spf=pass dkim=pass dmarc=pass が揃えば運用可能な状態です。

まとめ

  • Email Relay か Direct Delivery かを最初に決める
  • Direct DeliveryならSalesforce指定のincludeをSPFに追加
  • DKIM Keys画面で発行 → DNS登録 → Activate の3手順を忘れない
  • 差出人ドメインとDKIM署名ドメインを揃えてDMARCアラインメント
  • 詳しい操作は必ずSalesforce公式ヘルプで確認

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSLの状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから