お名前.comでSPF/DKIM/DMARCを設定する方法

お名前.comはドメインレジストラ兼ネームサーバー提供者です。SPF・DKIM・DMARCはいずれも「DNSレコードに値を公開する」作業であり、お名前.comのDNS管理画面で行います。ただし、値そのものはメール送信サービス側が発行します。

• SPF — 送信元IPを宣言するTXTレコード。apex（ドメイン直下）に1つだけ設定する。
• DKIM — 送信サービスが生成した公開鍵をTXTまたはCNAMEで公開する。ホスト名はサービスごとに異なる。
• DMARC — ポリシーと報告先を宣言するTXTレコード。ホスト名は必ず _dmarc.example.com 形式。

お名前.com Naviにログイン後、以下の手順でDNSレコード設定画面へ進みます。

1. 上部メニューから「ドメイン」をクリックし、対象ドメインを選択します。
2. ドメイン詳細画面の左メニューまたは中段から「ネームサーバーの設定」→「DNS設定」を選びます。

ドメイン詳細画面のDNS設定メニュー位置

3. 「DNS設定/転送設定」ページが開きます。対象ドメインの右側にある「設定する」ボタンをクリックします。

DNS設定一覧。対象ドメインの「設定する」をクリック

4. DNSレコード設定ページのトップが表示されます。既存のAレコードやMXレコードがここに並んでいます。

DNSレコード設定ページ。既存レコードの確認と新規追加はここから行う

5. ページ下部または「追加」ボタン付近で、新しいレコードの種別・ホスト名・値を入力するフォームが現れます。

新規レコード追加フォーム全体

入力値の例（Google Workspace）

種別: TXT　ホスト名: 空欄（apex）　値:

v=spf1 include:_spf.google.com ~all

入力値の例（Microsoft 365）

v=spf1 include:spf.protection.outlook.com ~all

SPFレコード追加フォームの入力例。ホスト名欄は空欄のままにする

入力後、「確認」→「設定する」で保存します。反映には最大72時間かかる場合があります（通常数分〜数時間）。

DKIMの公開鍵レコードは送信サービスが発行します。ホスト名（セレクター）と値はサービス管理画面で確認します。

セレクター名の例

• Google Workspace: google._domainkey.example.com
• Microsoft 365: selector1._domainkey.example.com、selector2._domainkey.example.com
• SendGrid: s1._domainkey.example.com（カスタムドメイン設定による）

お名前.comでの入力

• 種別: TXT（または指示がCNAMEの場合はCNAME）
• ホスト名: google._domainkey など（.example.com 部分は省略）
• 値: サービスが発行した v=DKIM1; k=rsa; p=... という長い文字列

DKIMレコード追加フォームの入力例。ホスト名にセレクター部分のみ入力する

種別: TXT　ホスト名: _dmarc　値は以下から選択します。

まず監視から始める（推奨）

v=DMARC1; p=none; rua=mailto:[email protected]

隔離ポリシー（なりすましを疑わしいフォルダへ）

v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]

拒否ポリシー（最も厳格）

v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]

rua= はDMARCレポートの受信先メールアドレスです。自分のドメインのメールアドレスを指定します。省略も可能ですが、問題発生時の検知が難しくなります。

DMARCレコード追加フォームの入力例。ホスト名欄に「_dmarc」と入力する

• ダブルクォーテーション（"）は入力不要。システムが自動付与する。
• ホスト名欄にはサブドメイン部分のみ入力する。ドメイン名（.example.com）は省略する。apex（ドメイン直下）は空欄またはプルダウンから選択。
• TTL（有効期間）はデフォルト値（3600秒）で通常は問題ない。
• 入力可能文字数は公式ヘルプ（お名前.com DNS入力可能文字）を参照。DKIM公開鍵など長い値も対応している。
• CNAMEレコードを設定する場合、値の末尾にピリオド（.）が必要かどうかはサービスの指示に従う。不明な場合はピリオドなしで試す。
• 設定後に「確認」画面が表示されるので、内容を確認してから「設定する」ボタンを押す。

DNSの設定場所はお名前.comか、別の場所か

ドメインをお名前.comで取得していても、ネームサーバーをCloudflareやAWS Route 53に変更している場合は、お名前.com NaviのDNS設定ではなく、そのサービスの管理画面で設定します。現在のネームサーバーを確認するには、DNSJPのDNSルックアップでNSレコードを調べてください。

SPF・DKIMの値はどこで確認するのか

お名前.comはDNSの箱を提供しているだけです。SPFの include 先やDKIMの公開鍵は、実際にメールを送るサービス（Google Workspace、Microsoft 365、SendGrid等）の管理画面で確認します。サービスによっては「ドメイン認証」や「メール送信設定」のページに手順が記載されています。

ネームサーバー設定とDNSレコード設定の違い

お名前.com NaviにはDNSレコード設定ページとネームサーバー変更ページの両方があります。SPF/DKIM/DMARCを追加する場合は必ず「DNSレコード設定」を使います。ネームサーバーを変更すると既存のDNS設定が別のサービスに移行するため、意図せず既存レコードを失う可能性があります。

DNSレコード追加フォームの下部。「確認」→「設定する」の順で保存する

DNSの変更が反映されるまで数分〜72時間かかります。反映後は以下の方法で確認できます。

• DNSJPのSPF/DKIM/DMARC一括確認: SPF/DKIM/DMARC一括確認ツールでドメインを入力すると、3つのレコードをまとめてチェックできます。
• DNSJPのメールセキュリティ診断: メールセキュリティ診断では100点満点のスコアと改善アドバイスを確認できます。
• DNSJPのDMARCチェック: DMARCチェックでポリシー・構文・RUAアドレスを詳細確認できます。
• コマンドラインで確認する場合:

# SPF確認
dig TXT example.com

# DMARC確認
dig TXT _dmarc.example.com

# DKIM確認（google._domainkeyの例）
dig TXT google._domainkey.example.com

設定値が正しく表示されれば反映完了です。

• SPFレコードを2つ追加してしまい permerror になる。apexのTXTレコードを一覧で確認し、v=spf1 が複数あれば1つに統合する。
• DKIMのホスト名に .example.com を含めてしまう。ホスト名欄にはセレクター部分（例: google._domainkey）のみ入力する。
• DMARCのホスト名を _dmarc.example.com とフルドメインで入力してしまう。お名前.com NaviではホストをAPIではなくサブドメイン部分のみ（_dmarc）で入力する。
• 設定後すぐに確認して「反映されていない」と判断する。DNSキャッシュが残っているため、数分〜数時間待ってから再確認する。
• DKIM公開鍵の値をコピー途中で切れた状態で貼り付けてしまう。サービス管理画面から値をすべて選択してコピーし、改行や余分なスペースが入っていないか確認する。

1. お名前.com NaviのDNS設定画面に入る（ネームサーバーがお名前.comの場合のみ有効）。
2. SPFはapexのTXTに1つだけ設定する。複数の送信サービスは include: で1行にまとめる。
3. DKIMの公開鍵は送信サービスの管理画面で確認し、指定のホスト名でTXT（またはCNAME）に追加する。
4. DMARCはホスト名 _dmarc のTXTで設定する。まず p=none で始め、レポートを確認しながら段階的に強化する。
5. 設定後はDNSJPのメールセキュリティ診断で3レコードをまとめて確認し、スコアと改善点を把握する。

• お名前.com: GmailのDMARC/SPF/DKIM設定
• お名前.com: DNS入力可能文字
• お名前.com Naviガイド: DNSレコード設定
• Google: Email sender guidelines
• Google: Set up DKIM