メール認証チェッカー（SPF/DKIM/DMARC）

ドメインのSPF・DMARC・DKIMレコードを照会し、なりすまし対策の設定状況を確認します。

このメール認証チェッカーについて

差出人(From)の偽装は、ドメインが「どのサーバが自分のメールを送ってよいか」を証明する3つのDNSレコードを公開していない限り簡単にできてしまいます。このツールはドメインの SPF・DMARC・DKIM を照会し、それぞれが設定されているかを表示します。

SPF（ドメイン直下の v=spf1 … TXT）は送信を許可するIPやincludeを列挙します。
DMARC（_dmarc.<domain> の v=DMARC1; p=… TXT）は認証に失敗したメールの扱い（none／quarantine／reject）とレポート送付先を受信側に指示します。
DKIM（<selector>._domainkey.<domain> の公開鍵TXT）は各メッセージの電子署名を受信側が検証できるようにします。

DKIMセレクタについて

DKIMは送信側だけが知るセレクタの下に公開されるため、DNSから一覧で列挙する方法はありません。セレクタを空欄にすると一般的な候補（default・google・selector1…）を試します。プロバイダが使う正確なセレクタが分かれば入力してください。関連: SPF・DKIM・DMARC解説。

よくある質問

SPFはあるのにDKIMが「未設定」と出ます。問題ですか？

DMARCはSPFかDKIMの少なくとも一方がアラインメント付きで通れば成立します。DKIMは転送を経ても残るためより堅牢です。プロバイダが珍しいセレクタを使っている場合は、明示的に入力すれば見つかります。

DMARCポリシーはどれにすべきですか？

まず p=none でレポートを集めて配信に影響を与えずに状況を把握し、正規の送信元が通ることを確認してから p=quarantine、最終的に p=reject へ移行すると、なりすましを完全にブロックできます。

なぜツールはDKIMを自動で見つけられないのですか？

DKIMレコードは送信側が選んだセレクタ名（例: s1, k1, google）の下にあります。DNSは全サブレコードの列挙を許さないため、正しいセレクタを指定しない限り一般的な候補を推測するしかありません。