メール向け DNS（MX / SPF / DKIM / DMARC）を確認する

なぜ重要か

金曜に SendGrid を有効化し、月曜に SPF の include ミスで大量バウンス。セキュリティは DMARC 集計で未承認送信者を見つける。IT が MX を Microsoft 365 へ移すがセカンダリ優先度を忘れ、外部メールが遅延。DNS 記録の点検は、高額コンサルに頼る前の配信・セキュリティの必須ステップです。

実際の3つのシーン

SRE

レガシー SMTP 停止前に DNS カットオーバーを検証

地域ごとに TTL を下げたあと MX 優先度を確認します。

きれいな伝播

メールマーケ

ESP オンボで SPF/DKIM を証明

v=spf1 の include とセレクタ付き DKIM の TXT をキャプチャします。

チケット用スクショ

セキュリティ分析

弱い DMARC 方針を洗う

まだ p=none のまま強化計画がないドメインを確認します。

具体策

手順

メール DNS チェックを開きます。

ドメインまたはセレクタ付きラベルを入力
MX/SPF/DMARC はルート。DKIM は selector._domainkey.example.com など ESP ドキュメントに従います。
レコード種別を選ぶ
ルーティングは MX、SPF/DMARC/DKIM の塊は TXT、ベンダー委譲は CNAME など必要なものを複数選択します。
TTL と権威を確認
TTL が短いと切り戻しは楽ですがリゾルバ負荷が増えます。ロールバック窓の計画に使います。
診断抜粋をコピー
タイムスタンプと一緒にベンダーへ貼り、伝播の時系列を追ってもらいます。

SPF 断片の妥当性

Input

ドメイン: example.com
レコード: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
（include が解決し、DNS 参照上限内かも確認）

実践のヒント

疑わしい PDF の mailto: は URL パーサと併用します。
複数リゾルバ：社内スプリット DNS とパブリックが食い違うことがあります。エスカレ時はクラウドシェルの dig と突き合わせます。
DMARC 強化は順序立て：変更管理チケットに TXT の before/after を残します。

よくある落とし穴

よくある誤り

DNS 伝播遅延

キャッシュが現実より遅れます。深夜に切り替えても TTL 待ちで「失敗」と早合判しないこと。

よくある誤り

SPF の TXT が複数

ゾーンごとに SPF の TXT は原則一本。重複は恒久的な失敗の原因です。

よくある誤り

DKIM セレクタのローテ

新旧キー共存期間を確認し、受信側が更新するまで両方検証できるようにします。

向いていない用途

メールボックス単位の MIME 調査：クライアントで生 .eml を。
SMTP 会話トレース：STARTTLS や AUTH はサーバログ領域です。
レピュテーション：Talos 等は DNS 衛生を補完し置き換えではありません。

FAQ

ルックアップは中央にログされる？

ブラウザ環境で実行という MoreKits の方針です。ポリシーで禁止なら社外共有 PC ではサブドメインを打ち込まないなど配慮を。

テストメールは送る？

いいえ。DNS の読み取りのみです。受信箱プレースメントは別ツールです。

IPv6

一部 MX が AAAA を提示します。DNS が正しくてもデュアルスタック到達性は別確認です。

次のステップ

オフィス移転前に Wi‑Fi QR。
Webhook 秘密は HMAC 生成。
URL の構造比較は URL パーサ。

なぜ重要か

実際の3つのシーン

SRE

レガシー SMTP 停止前に DNS カットオーバーを検証

地域ごとに TTL を下げたあと MX 優先度を確認します。

きれいな伝播

メールマーケ

ESP オンボで SPF/DKIM を証明

v=spf1 の include とセレクタ付き DKIM の TXT をキャプチャします。

チケット用スクショ

セキュリティ分析

弱い DMARC 方針を洗う

まだ p=none のまま強化計画がないドメインを確認します。

具体策

手順

ドメインまたはセレクタ付きラベルを入力

MX/SPF/DMARC はルート。DKIM は selector._domainkey.example.com など ESP ドキュメントに従います。

レコード種別を選ぶ

ルーティングは MX、SPF/DMARC/DKIM の塊は TXT、ベンダー委譲は CNAME など必要なものを複数選択します。

TTL と権威を確認

TTL が短いと切り戻しは楽ですがリゾルバ負荷が増えます。ロールバック窓の計画に使います。

診断抜粋をコピー

タイムスタンプと一緒にベンダーへ貼り、伝播の時系列を追ってもらいます。

SPF 断片の妥当性

Input

ドメイン: example.com
レコード: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
（include が解決し、DNS 参照上限内かも確認）

実践のヒント

疑わしい PDF の mailto: は URL パーサと併用します。

複数リゾルバ：社内スプリット DNS とパブリックが食い違うことがあります。エスカレ時はクラウドシェルの dig と突き合わせます。

DMARC 強化は順序立て：変更管理チケットに TXT の before/after を残します。

よくある落とし穴

よくある誤り

DNS 伝播遅延

キャッシュが現実より遅れます。深夜に切り替えても TTL 待ちで「失敗」と早合判しないこと。

よくある誤り

SPF の TXT が複数

ゾーンごとに SPF の TXT は原則一本。重複は恒久的な失敗の原因です。

よくある誤り

DKIM セレクタのローテ

新旧キー共存期間を確認し、受信側が更新するまで両方検証できるようにします。

FAQ

ルックアップは中央にログされる？

ブラウザ環境で実行という MoreKits の方針です。ポリシーで禁止なら社外共有 PC ではサブドメインを打ち込まないなど配慮を。

テストメールは送る？

いいえ。DNS の読み取りのみです。受信箱プレースメントは別ツールです。

IPv6

一部 MX が AAAA を提示します。DNS が正しくてもデュアルスタック到達性は別確認です。