SalesforceのDKIM鍵を設定・有効化する方法 2026年03月12日

• Salesforce
• 設定手順

Salesforceから顧客へメールを送信する際、「なりすましメール」と判定されないための対策はお済みでしょうか？
これまでSalesforceでは、送信ドメインの正当性を証明する手段として「DKIM鍵」の活用を推奨してきました。しかし、Spring '26リリース（2026年3月〜）以降、このドメイン検証は「推奨」から「必須」へと変わります。
本記事では、メール送信ができなくなるリスクを回避するため、DKIM鍵の作成から有効化までの手順を分かりやすく解説します。

CONTENTS

• DKIMとは？Salesforceで設定が必要な理由
• Salesforce DKIM鍵の作成・有効化 4ステップ
• よくある質問（FAQ）
• まとめ

• DKIMとは？Salesforceで設定が必要な理由

  DKIM（DomainKeys Identified Mail）とは、「メールの送信者が本人であることを証明するデジタル署名のことです。

  Salesforceからメールを送る際、裏側ではSalesforceのサーバーがあなたの代わりにメールを配送しています。このとき、受信側のサーバー（GmailやOutlookなど）は、「これは本当に許可された送信元からのメールか？ 改ざんされていないか？」を厳しくチェックします。

  DKIMを設定して「有効化」すると、メールに目に見えない独自の署名が付与されます。受信側はこの署名を自社のドメイン情報（DNS）と照合し、「正当な送信元である」と確信できるため、迷惑メール扱いされなくなるのです。

  なぜ今、Salesforceで設定が「必須」なのか？

  これまでDKIM設定は、メール到達率を高めるための「推奨」という位置づけであり、設定の義務化はされておりませんでした。しかし、Spring '26（2026年3月〜）のアップデートで、以下の前提に変わっています。

  1. ドメイン検証の義務化

     Spring '26以降、Salesforceから外部へメールを送信する場合、DKIM鍵などによるドメイン検証が必須となります。

  2. 未設定メールの破棄

     検証されていないドメインからのメールは、受信側に届く前にMTA（メール転送エージェント）によってブロックされ、完全に破棄されます。

  3. 業務への影響

     単なるメルマガだけでなく、Apexクラス、フロー、メールアラートといったシステム自動送信メールもすべて対象です。

  つまり、DKIMを有効化していない組織では、「ある日突然、Salesforceからの通知メールが一切飛ばなくなる」という致命的なリスクを抱えることになります。詳細の確認は参考記事「【重要】Salesforce送信メールの仕様変更：Spring '26からのドメイン検証義務化と対策」をご確認ください。

• Salesforce DKIM鍵の作成・有効化 4ステップ

  設定には、Salesforceの設定を行うことができるシステム管理権限と自社DNSサーバー（ドメイン管理画面）の操作権限が必要です。それぞれの権限を誰が持つかの確認は、システム担当の方に確認すると良いでしょう。

  以下、DKIM鍵の設定ステップです。

  ステップ①：SalesforceでDKIMキーを生成する

  Salesforceの「設定」画面から、クイック検索で「DKIM キー」を選択して、「新規作成」をクリックします。
  

  以下の項目を入力します。
  

  設定項目	設定内容	補足
  RSA キーサイズ	1024 ビット	対応ビット数は、事前にDNS管理サービスで確認が必要です。推奨は、セキュリティが強固な2048ビットです。
  セレクター	任意の英数字（例：s1）
  代替セレクター	セレクターと別の英数字（例：s2）
  ドメイン	自社のメールアドレスのドメイン （例：atsumel.jp）
  ドメイン一致設定	「正確なドメインのみ」もしくは「サブドメインを含める」	メールにサブドメインを使う場合のサブドメインを含めた設定例は以下を参考にしてください。 xxxxxxx.co.jp,*.xxxxxxx.co.jp

  
  全ての項目を入力した「保存」をクリック。

  ステップ②：DNSレコード（CNAME）の取得

  ステップ①で保存が完了した後に、「CNAME レコード」が表示されます。（CNAMEレコードが表示されるまでは時間を要しますので、しばらく待ちましょう。）

  CNAMEレコードが表示されたら、これらをコピーして、自社のネットワーク担当者またはDNS管理サービス（Xserver、お名前.com、AWS Route53など）に登録を依頼しましょう。

  CNAMEレコードは以下のように表示されます。
  

  表示されたCNAMEレコードは、以下の設定項目に登録をすることが一般的です。ただしDNS管理サービスによって登録箇所が違うことがあるので注意しましょう。

  設定項目	入力値（例）	補足
  レコードタイプ	CNAME
  ホスト名/名前	s1._domainkey.xxxxxxx.co.jp
  値	s1.xxxxx.custdkim.salesforce.com.	最後の「.」を必要とするかは、DNSサービス毎に要確認。
  TTL	3600	既に登録されているTTLの値と同じであることを求められる場合があります。

  CNAMEレコードの登録方法は、DNS管理サービス毎に微妙な仕様が異なるので、登録方法はDNS管理サービスのヘルプを確認しましょう。もし、正確に登録できていない場合はこの後の有効化を行うことができません。

  ステップ③：DNSの反映待ち

  DNSレコードを登録しても、世界中に反映されるまで数時間〜最大48時間ほどかかります。ステータスが「公開済み」に変わるのを待ちましょう。

  ステップ④：有効化ボタンをクリック

  反映が確認できたら、SalesforceのDKIMキー詳細画面に戻り、「有効化」ボタンをクリックします。これで設定完了です！
  

• よくある質問（FAQ）

  質問：鍵の有効化ボタンが押せません。

  回答：DNSレコードが正しく反映されていない可能性があります。外部のDNSチェックツール等で、指定したセレクターのCNAMEが引けるか確認してください。

  質問：設定方法がわかりません。どうすればよいですか？

  回答：Salesforce側の設定はSalesforceのヘルプに確認することができます。DNS管理サーバー側の設定はSalesforceでは回答が難しいため、DNS設定はDNS管理サーバーに確認しましょう。

  質問：DKIM鍵以外にSpring26のアップデートに対応する方法はありますか？

  回答：はい、「承認済みメールドメインの登録」による対応方法が存在します。Spring26に関する記事「【重要】Salesforce送信メールの仕様変更：Spring '26からのドメイン検証義務化と対策」をご確認ください。

• まとめ

  Spring '26の完全適用スケジュールは以下の通りです。

  • Sandbox環境：2026年3月30日まで
  • 本番環境：2026年4月27日まで

  期限直前はDNS反映待ちなどで焦るリスクがあります。「Salesforceからメールが届かない」というトラブルを未然に防ぐため、今すぐ自社の設定状況を確認しましょう。

  「自社のドメイン設定が正しくできているか不安…」という方は、当社の「Salesforce運用・保守支援サポート」まで、ぜひ一度ご相談ください。設定代行からトラブルシューティングまでサポートいたします。