2026年3月9日のSpring ’26アップデートに伴い、Salesforceはメール送信におけるドメイン検証(DKIM設定など)の必須化という、極めて急激な仕様変更に踏み切りました。未検証のドメインからはメール送信が制限されるため、現在多くのSalesforce管理者が急な対応に追われています。
「なぜ、これほど短期間で強制的な仕様変更が行われたのか?」
本記事では、この緊急アップデートの裏にある深刻なセキュリティインシデントの全貌と、管理者が今すぐ行うべきDKIM設定の実務手順について分かりやすく解説します。
厳格化の背景:ハッカー集団「ShinyHunters」の脅威
今回の異例とも言える急な仕様変更の起点となったのは、ハッカー集団「ShinyHunters」が展開した「Salesforce Aura Campaign」と呼ばれる攻撃です。
「Salesforce Aura Campaign」によるデータ窃取の手口
彼らは、Experience Cloud(公開サイト)のゲストユーザー設定の不備を組織的に突きました。具体的には、/s/sfsites/aura というAPIエンドポイントに対してツールを悪用してスキャンを行い、不適切に公開されていたリードや取引先責任者の情報(氏名、メールアドレス、電話番号など)を数百社から不正に取得したと主張しています。
なぜ「データ窃取」が「DKIM必須化」に直結するのか
顧客情報の流出とメール設定の厳格化は一見別物に見えますが、セキュリティ上、極めて密接に関係しています。
なりすましメール(二次被害)の防止
窃取されたリストには、実在する顧客の正しい連絡先が含まれています。攻撃者が次に狙うのは、このリストを使った「なりすましフィッシング」です。もし企業側でDKIM(電子署名)が正しく設定されていなければ、攻撃者が企業の正規ドメインを装ってメールを送った際、受信側が「偽物」と判定できず、二次被害が爆発的に拡大してしまいます。Salesforceは、自社プラットフォームがなりすましに利用されるのを防ぎ、顧客企業のブランド信頼性を守るために、DKIM等のドメイン検証を「推奨」から「強制」へと急遽引き上げたのです。
実務ガイド:Salesforce環境でのDKIM設定確認手順
自社のSalesforce組織が新しいセキュリティ基準を満たしているか、以下の手順で今すぐ確認と設定を行ってください。
設定画面での現状確認
Salesforceの[設定]から、クイック検索ボックスに「DKIM 鍵」と入力し選択します。現在運用中のドメインが表示され、ステータスが「有効」になっていれば基本設定は完了しています。
新しい鍵の作成とDNSへの登録
未設定の場合、[新しい鍵を作成]をクリックし、鍵のサイズ(2048ビット推奨)を選択して保存します。画面に2つの「CNAME レコード」が表示されるので、これを自社のDNSサーバーに登録します。DNSの変更がインターネット上に反映された後、SalesforceのDKIM鍵の画面に戻り、必ず[有効化]ボタンをクリックしてください。ステータスが「有効」に変われば完了です。
注意点として、セレクターはDNS側で一意の値を設定する必要があります。そのため、「salesforce001」など自身が使用するメールサーバー側で重複しない値にしてください。
2026年4月アップデート適用後の「代理送信機能」による救済措置
Salesforceは、2026年4月のパッチ適用(フェーズ2以降)に合わせて、独自のドメイン検証が困難な組織への救済策として、設定により「Salesforce経由の送信(代理送信)」を継続できるオプションを提供することを発表しました。
具体的には、[設定] の [メール配信設定] において、「Salesforce 側でドメインを管理し、代理送信を許可する」といった趣旨のチェックボックスを有効化することで、DNSレコード(CNAME等)の編集が間に合わない場合でも、即時のメール送信ブロックを回避することが可能になります。
公式ナレッジ(Article 005316090)上では、「未検証ドメインからメールを送信するための代替ドメインオプション」として明記されています。
ただし、公式ナレッジ(Article 005316090)では、この方法はあくまで「最終手段」と位置づけられています。この設定を用いた場合、受信者のメーラーには 「salesforce.com 経由」 というヘッダー情報が表示される可能性が高く、送信ドメインの不一致(DMARC違反等)により到達率が低下するリスクが残ります。そのため、Salesforceは「信頼性の高いメール送信を維持するため、DKIM鍵による所有権検証(推奨)、または承認済みメールドメインの設定を期限内に完了させること」を強く求めています。
「設定」の「送信」にある「Use a substitute email address for unverified domains」というオプションが該当の設定になります。
この設定を有効化することによって、DKIMがPASSしなかったメールをSalesforceが代理で送信するという動きになります。
また、今回のセキュリティアップデート後に必要となるDKIMの設定方法に関しては以下の記事にて記載しているので、ご参考までにご活用ください。
アップデート後に必要となったDKIMの設定方法:【Salesforce】Sandboxリフレッシュ後にDKIM設定が消える問題と3つの現実的な対処法
エビデンス・参考ナレッジ
本記事の執筆にあたり参照した公式資料およびニュースは以下の通りです。
- Salesforce Help: Spring ’26 Email Delivery domain verification requirement
https://help.salesforce.com/s/articleView?id=005316090&type=1
2026年3月から適用される送信ドメイン検証(DKIM必須化等)に関するSalesforce公式のナレッジ。 - ShinyHunters claims new campaign targeting Salesforce Experience Cloud sites (Help Net Security)
https://www.helpnetsecurity.com/2026/03/11/shinyhunters-salesforce-aura-data-breach/
ShinyHuntersによるExperience CloudのAuraエンドポイントを狙った攻撃キャンペーンに関する最新のセキュリティニュース。 - Salesforce Help: 安全な DKIM 鍵の設定
https://help.salesforce.com/s/articleView?id=sales.emailadmin_setup_dkim_key.htm&language=ja&type=5
Salesforce環境でDKIMキーを設定・有効化するための公式手順。