DKIMレコード ビルダー & パーサー

使い方

1. Build モードで selector（例: 'mail', 'google', 's1'）とドメインを入力。
2. 鍵タイプ（RSA / Ed25519）を選び、base64 公開鍵を貼り付け — PEM ヘッダ（-----BEGIN ...-----）は自動除去。
3. 必要に応じてフラグ（y=テスト、s=厳格サブドメイン）、サービス（email / *）、メモを設定。
4. DNS プロバイダ用にレコード本文をコピー。255 文字超の場合は DNS 分割版（引用符で分割）を使う — 多くのプロバイダがこの形式を受け付けます。
5. Parse モードで既存の DKIM TXT レコードをデコードし、タグごとの意味を確認できます。

よくある質問

selector とは?

1 ドメインで複数の DKIM 鍵を同時公開できるようにする短いラベル — 例えばトランザクション用 's1' とマーケティング用 'mailgun'。DNS 名の左端ラベルになります（`selector._domainkey.example.com`）。新しい selector を公開してから署名者を切り替えることで鍵をローテーションできます。

なぜ複数の引用符文字列に分割が必要?

単一 DNS TXT 文字列は最大 255 オクテット。最新の鍵（RSA 2048 以上）は base64 本文がそれを超えるため、隣接する複数の引用符文字列に分割されます。リゾルバが自動で連結。本ツールの DNS 分割出力がその分割を代行します。

t=y と t=s の違いは?

`t=y`（テスト）はドメインがまだ DKIM を試している段階という意味 — 検証失敗を非重要と扱います。本番では外します。`t=s`（厳格）は署名メッセージの `i=` 識別子が完全に同じドメインでなければならないという意味 — サブドメイン継承なし。

RSA と Ed25519 どちら?

RSA 2048 が普遍的にサポートされるデフォルト。確実な理由がなければ RSA を選択。Ed25519 はレコードが大幅に短く（単一 TXT 文字列で収まる）署名も小さいですが、受信側の対応は普及途中です。

関連ツール