ドメイン番人
メール認証SPFDKIMDMARC

Xserverのメール認証設定|Gmail対応30分

ドメイン番人5 分で読めます
目次

この記事でわかること

  • エックスサーバー(Xserver)の DKIM 自動設定機能の位置づけと、利用するときの注意点
  • SPF と DMARC は別途 DNS に追加が必要な理由
  • 既定の SPF と外部サービスの SPF が衝突したときの整理方法と検証手段

Xserver で混乱しやすいポイント

エックスサーバーは国内で広く使われており、送信者要件強化を機に「Xserver はメール認証をどこまで自動でやってくれるか」という相談が増えました。

最初に押さえるべきは、Xserver で DKIM は自動設定がサポートされているエックスサーバー公式マニュアルで確認可能)一方、SPF と DMARC は DNS への手動追加が必要という 2 点です。「DKIM 自動 = 認証完了」と早合点すると、SPF や DMARC が空のままで Gmail から弾かれる事故につながります。

Xserver:DKIM 自動と SPF/DMARC 手動の関係

パターン A: Xserver をメールサーバーとして使う場合

Xserver で作成したメールアドレス([email protected] 等)を送信元として使い、DNS も Xserver で管理するケースです。

DKIM は自動設定機能を活用する

DKIM(ディーキム:電子署名による改ざん検知)は、Xserver のサーバーパネル側で「DKIM 設定を有効化する」スイッチが用意されています。有効化すると秘密鍵を Xserver 側で保管し、<セレクタ>._domainkey.<ドメイン> の TXT を DNS に自動追加します。

  • type: TXT
  • name: <セレクタ>._domainkey(Xserver が発行する値)
  • value: v=DKIM1; k=rsa; p=<公開鍵>

セレクタ名と公開鍵の発行は Xserver 側で行われるため、利用者が手で値を入れる必要はありません。最新の操作手順と DKIM 自動設定の対象プランは、エックスサーバーの公式マニュアルで必ずご確認ください

注意点として、Xserver の DKIM 自動設定は「Xserver から送信されたメール」にしか署名できません。Google Workspace や Resend から送るメールには、サービス側が発行する別セレクタの DKIM を別途追加します。DKIM はセレクタが違えば複数並べて構いません

SPF レコードは手動で追加する

SPF(エスピーエフ:送信元 IP の許可リスト)は、ドメインの apex に TXT レコードとして 1 件だけ追加します。

  • type: TXT
  • name: @(apex)
  • value の方針: v=spf1 で始め、Xserver 公式マニュアルが提示する include 文字列(Xserver のメール送信を許可するもの)を入れ、最後を ~all または -all で締める

外部サービスを併用する場合は、それぞれの include を 1 行に並べます。SPF は 1 ドメインに 1 件のみで、TXT を 2 行作ると認証が崩れます。SPF の DNS lookup を要するメカニズム(include / a / mx / exists / redirect など)の合計が 10 個を超えると Permerror になります(RFC 7208 §4.6.4)。

DMARC は段階的に追加する

DMARC(ディーマーク:SPF・DKIM の結果をどう扱うかのポリシー)は、_dmarc.<ドメイン> の TXT レコードとして手動で追加します。

  • type: TXT
  • name: _dmarc
  • value の方針: v=DMARC1; p=none; rua=mailto:[email protected] から始める

p=none で 2〜4 週間レポートを観察してから、quarantinereject と段階的に強化します。レポートの読み方はDMARC 設定ガイドで詳しく扱っています。

パターン B: DNS だけ Xserver、メールは別サービス

「サイトは Xserver、メールは Google Workspace / SendGrid」のような構成です。Xserver の DKIM 自動設定はオフで構いません(Xserver から送らないので署名する対象がない)。

既定 SPF と外部サービス SPF の衝突に注意

Xserver でドメインを追加した時点で、既定の SPF が apex に入っている場合があります。この状態で Google の include:_spf.google.com を「もう 1 件の TXT」として追加すると、SPF レコードが複数行存在し、全体が Permerror で無効化されます。

既定 SPF と外部 SPF の衝突パターン

正しい対応は次のいずれかです。

  1. 既定 SPF と外部サービスの include を 1 行の TXT に統合する
  2. Xserver からメールを送らないなら、既定 SPF を削除して外部サービスの SPF だけを残す

DKIM も外部サービス指定のセレクタを Xserver の DNS 画面で TXT または CNAME として追加します。CNAME 方式に対応するサービスを使えば、送信側が鍵をローテーションしたときに自動追従できます。

設定後の検証方法

DNS の反映には伝搬時間がかかります。次のいずれかで確認します。

  • dig: dig TXT example.com / dig TXT _dmarc.example.com / dig TXT <selector>._domainkey.example.com
  • mxtoolbox の SPF / DKIM / DMARC チェッカー
  • ドメイン番人の無料ドメイン診断で一括チェック

最終確認として、送ったメールを Gmail / Outlook で受信し「メッセージのソースを表示」で Authentication-Results ヘッダの spf=passdkim=passdmarc=pass を確かめます。3 つすべて pass で認証完了です。

他社ホスティング併用時は、さくら向けのさくらインターネットの SPF/DKIM/DMARC 設定の進め方や、基礎のDKIM 検証の仕組みも参考になります。

まとめ

  • Xserver は DKIM 自動設定が使える。SPF と DMARC は手動追加が必要
  • DKIM 自動は「Xserver から送るメール」のみが対象。外部送信は別セレクタが必要
  • DNS だけ Xserver の構成では、既定 SPF と外部 SPF を 1 行に統合して衝突を回避
  • セレクタや include 文字列は推測せず、最新の公式マニュアルの値を使う

自社の状況を確認してみませんか

設定状況がわからない方は、無料のドメイン診断で現状をチェックできます。 DMARC・SPF・DKIM・SSL の状態が数十秒でレポートされます。 判断に迷う場合はお問い合わせからご相談ください。専門家がわかりやすくサポートいたします。

SSL 証明書、Web セキュリティヘッダ、サブドメイン棚卸しの単発チェックも合わせて 無料ツール一覧 にまとめています。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから