DKIMとは?初心者向けに解説
本章では、DKIMとは何か、その基本的な仕組みや役割について解説します。
DKIMが重要視される背景
DKIMとは、DomainKeys Identified Mailの略で、メールの送信元を認証する技術です。メールの送信元を偽装するメールスプーフィングを防ぐために、メールのヘッダーに電子署名を付与します。この署名によって、メールの送信元が正当であることを証明し、受信側での信頼性を向上させます。
現在、DKIM導入が企業に求められる背景には、以下のような理由が挙げられます。
メールスプーフィングの脅威
メールスプーフィングは、メールの送信元を偽装する手法で、悪意のある第三者がメールを送信する際に利用されます。日本ではなりすましメールと呼ばれることの方が多いでしょう。主にフィッシングメールや、ビジネスメール詐欺などの迷惑メールが送信されるリスクがあります。
信頼性低下が企業ブランドに与える影響
このなりすましメールは、正当なブランド保持者である企業のあずかり知らぬところで送信されます。そして、企業を信頼してメールに記載されているURLをクリックしたユーザーは、個人情報や口座情報などの機密データを盗まれる可能性があります。
こうした被害に遭った方は、ブランドに対する信頼を失うでしょう。企業側としては、なりすましメールによってブランドイメージを毀損されるリスクがあります。
DKIMの基本的な仕組みと役割
この章では、DKIMの基本的な仕組みについて解説します。
電子署名と公開鍵の仕組み
SSL/TLSに代表されるように、現在のインターネットで最も広く用いられているのが秘密鍵・公開鍵認証になります。DKIMもこの仕組みを利用しています。
秘密鍵は、特定の内容(今回であればメール)に対して署名を生成します。そして、公開鍵はこの署名が、正式な秘密鍵によって生成されたものかどうかを検証できます。公開鍵は、一般に公開して問題ありません。
この署名と検証を利用したのが、DKIMの基本的な仕組みです。
メール認証の流れ(送信側・受信側)
DKIMはメールに電子署名を行う仕組みです。メールのヘッダー情報(送信元や件名など)とメール本文に対して、秘密鍵を用いて署名を行います。この秘密鍵は自社でセキュアに管理されているものであり、漏洩してはいけません。作成した署名は、メールヘッダーのDKIM-Signatureフィールドに記載されます。
そして、秘密鍵を用いて作られた公開鍵をDNSに公開します。メールを受け取ったサーバーは、メールの送信元ドメインからDNSのDKIMレコードを検索し、公開鍵情報を取得します。そして、この公開鍵を使ってメールの電子署名を検証します。
つまり、メール1通1通に対して、署名の内容は異なります。受信側のサーバーでは、各メールの署名を検証し、その正当性を確認します。
DKIMを導入するメリットとは?
本章では、DKIMを導入するメリットについて解説します。
顧客からの信頼性向上
DKIMによる検証がエラーになるメールは、なりすましメールである可能性が高くなります。そうしたメールは迷惑メールに移動したり、そもそもサーバーがユーザーのメールボックスに配送しないと言ったセキュリティ対策が可能になります。
メールの本文は一見すると本物のメールであるかのように見えるため、ユーザーがその正当性を見分けるのはとても難しいでしょう。そのため、DKIMによる検証は、ユーザーにとって安全なメールを受信するための重要な手段となります。
メール配信のパフォーマンス向上
DKIMが広く一般的に普及すれば、なりすましメールが減少するでしょう。そうすることで、不正メールに費やしていたメールのリソースが減少し、正当なメールの配信にリソースを割くことができます。結果的にメール配信のパフォーマンスが向上し、ユーザーにとってのメール体験向上が期待できます。
他のセキュリティ技術との相乗効果
DKIMの他にも、メールの不正利用を防止する技術はさまざまにあります。たとえば送信元ドメインの検証を行うSPF(Sender Policy Framework)や、メールの送信元を検証するDMARC(Domain-based Message Authentication, Reporting and Conformance)などがあります。これらの技術とDKIMを組み合わせることで、メールの信頼性をさらに向上させられるでしょう。
DKIMの設定方法を徹底解説
本章では、DKIMの設定方法について解説します。
基本的な設定手順
1. DNSに公開鍵を設定する方法
まず最初にDKIM用の秘密鍵・公開鍵を作成します。これは、opendkim や opendkim-tools などのツールを使って作成することが多いようです。ドメインと、セレクターを指定して、秘密鍵・公開鍵を作成します。セレクターは、複数のDKIM設定を使い分ける場合に使います。
mkdir -p /etc/opendkim/keys/example.com opendkim-genkey -D /etc/opendkim/keys/example.com/ -d example.com -s selector
上記コマンドにより、公開鍵と秘密鍵が作成されます。次に、公開鍵をDNSに公開します。DNSのTXTレコードに公開鍵を設定することで、メールの受信側がDKIM署名を検証できるようになります。このTXTレコードは、以下のような形式で設定します。
default._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIG...QAB"
default はセレクターです。_domainkey は固定の文字列で、ドメインキーを意味します。example.com は送信元ドメインです。
そして、TXTレコードの中の p には、公開鍵の内容を記述します。
2. メールサーバーでの署名設定
メール送信する際には、先ほど作成した秘密鍵を使って署名処理を行います。たとえばPostfixの場合、以下のような設定を行います。
OpenDKIMの設定
/etc/opendkim.conf に以下のような設定を追加します。
Mode sv Socket inet:8891@localhost KeyTable /etc/opendkim/KeyTable SigningTable refile:/etc/opendkim/SigningTable ExternalIgnoreList /etc/opendkim/TrustedHosts InternalHosts /etc/opendkim/TrustedHosts
次に、KeyTable 、SigningTable 、 TrustedHosts の各ファイルを作成・編集します。
# /etc/opendkim/KeyTable default._domainkey.example.com example.com:default:/etc/opendkim/keys/example.com/default.private # /etc/opendkim/SigningTable *@example.com default._domainkey.example.com # /etc/opendkim/TrustedHosts 127.0.0.1 localhost example.com
Postfixの設定ファイル main.cf に以下のような設定を追加します。
milter_default_action = accept milter_protocol = 6 smtpd_milters = inet:localhost:8891 non_smtpd_milters = $smtpd_milters
設定が終わったら、 opendkim と postfix を再起動します。
3. 設定が正常に機能しているか確認する方法
テストメールを送信し、メールのヘッダーに DKIM-Signature フィールドが追加されているか確認します。また、受信側のサーバーで、DKIM署名が正常に検証されているか確認します。
Customers Mail Cloudを使ったDKIM設定のポイント
Customers Mail Cloudを使えば、DKIMの設定が簡単に行えます。以下のようなポイントがあります。
ワンクリックで署名設定を有効化する機能
管理コンソールのDKIM設定にて、ドメインを追加します。
そうすると、レコード名やレコード値が表示されますので、その内容に従ってDNSの設定を行ってください。
DMARCと連携して強化する設定方法
SPFとDKIMが設定できたら、次はDMARCの設定を行うべきです。DMARCは、SPFとDKIMの設定が正常に行われているかを検証し、不正なメール送信を防ぐための技術です。不正と判定されたメールについて、その処理方法を定義するのがDMARCになります。
DMARCでは、不正メールのレポートも受け取れます。このレポートを解析することで、不正メールの現状を把握したり、本来正当であるはずのメールが誤認されている場合に対策も行えます。
DMARC アドバイザリーサービスの紹介
Customers Mail Cloudが提供するDMARC導入支援コンサルティングでは、ポリシー設定に関する説明やレポートのモニタリング、DMARCを正しく運用するためのサポートをいたします。SPFやDKIMを含め、正しくDMARCを設定する流れをサポートします。
DMARCの導入・運用では、送信メールのDMARC認証結果を継続的に監視することが重要です。HENNGEのDMARCアドバイザリーサービスでは、DMARCレポートの収集・分析を行い、メール送信に利用しているドメインの洗い出しから、そのドメインに関するDNSレコードの登録の仕方まで細やかなコンサルティングを実施いたします。また、DMARCの導入・運用に関する全般的な疑問に対しても、専任のアドバイザリースタッフがしっかりと対応を行います。 DMARC導入を検討する際には、ぜひCustomers Mail Cloudへお問い合わせください。
DKIMと他の認証技術を比較する
本章では、DKIM以外の認証技術との違いや、併用するメリットについて解説します。
SPFとの違いと併用のメリット
SPFとDKIMは役割が異なるため、どちらかで良いものという訳ではありません。両方設定することで、メールの信頼性を確保できます。
SPFの役割と限界
SPFは、メールの送信元ドメインを認証する技術です。SMTPリレーを利用している場合にも、そのドメインを設定することで正当なメールであることを保証します。しかし、SPFはメールのヘッダー情報のみを検証するため、メール本文の改ざんや、メールの送信元が正当であるかどうかは検証できません。
DKIMと併用する際の設定ガイド
SPFでは、メール送信元のIPアドレスや、SMTPリレーのサーバーアドレスを指定します。一方、DKIMはメールのヘッダー情報と本文に電子署名を付与するため、メールの改ざんを防ぎます。SPFとDKIMを併用により、メールの信頼性を向上させます。
SPFでは一度設定を行ってしまえば、その後はほとんどメンテナンスが必要ありません。一方、DKIMは秘密鍵の管理や、証明書の有効期限を設定した際の更新作業も必要です。そのため、DKIMの設定を行う際には、適切な管理体制を整えることが重要です。
DMARCとの統合運用でさらに強化
SPFとDKIMを併用により、メールの信頼性を向上させられます。さらに、DMARCを導入すれば、不正メールの検知や、その処理方法を定義できます。SPFとDKIM、そしてDMARCを組み合わせることで、メールの信頼性をさらに向上させられるでしょう。
DMARCポリシーでなりすましメールを防止する方法
DMARCのポリシーには、以下の3つがあります。
- none
DMARCの設定を行っているが、メールの送信元ドメインがSPFとDKIMのいずれかに合致していない場合、メールを受信側に配送する。 - quarantine SPFとDKIMのいずれかに合致しない場合、メールを迷惑メールフォルダに移動する。
- reject
SPFとDKIMのいずれかに合致しない場合、メールを受信側に配送しない。
ポリシーは最初はnoneからはじめ、最終的にrejectに移行することが推奨されています。reject設定により、なりすましメールの送信元をブロックできます。
Customers Mail Cloudを活用するメリット
本章では、Customers Mail Cloudがメールの信頼性向上にどのようなメリットをもたらすかについて解説します。
セキュアなメール配信を実現する高性能ツール
Customers Mail Cloudは、マネージド型サービスとして提供しており、企業のメール配送業務の運用負荷を大幅に軽減します。煩雑な設定や管理を必要とせず、安全で効率的なメール配信環境を構築できるのが特長です。送信ドメイン認証技術(SPF、DKIM、DMARC)に加え、TLS暗号化通信やS/MIME署名にも対応しており、セキュリティレベルの高いメール環境を実現できます。
配信到達率向上のための最適化機能
Customers Mail Cloudは、送信ドメイン認証をはじめとする様々なスパムメール対策に対応し、企業のニーズに応じたカスタマイズが可能なSMTPリレーサービスを提供します。大量のメール配信を行う場合でも、高い到達率を維持できるよう最適化が施されています。また、メールマガジンなどの一括送信に加え、ワンタイムパスワードなど即時性が求められる重要なメールを優先的に配信する機能も備えています。
DKIM設定を簡単に行えるユーザーフレンドリーなUI
Customers Mail Cloudの管理コンソールでは、送信するメールのヘッダーFromに対するDKIMキーを簡単に作成できます。発行されたDKIMキーは、管理している送信ドメインのDNSに簡単に登録可能であり、複雑なDKIMセレクタの設計作業は不要です。直感的な操作でDKIM認証を活用できるため、専門知識がなくても容易に導入できます。
専門サポートで設定ミスを防止
Customers Mail Cloudには、メールセキュリティの専門家が多数在籍しており、標準サポートやアドバイザリーサービスを通じて、企業のメール認証設定をサポートします。特に、SPF、DKIM、DMARCといった認証技術は適切に設定する必要があり、誤った設定があると正当なメールでもブロックされる可能性があります。Customers Mail Cloudのサポートを利用することで、設定ミスを未然に防ぎ、安全なメール環境を維持できます。
ステップバイステップのガイド
初めてDKIMやDMARCを設定する企業でも安心して利用できるように、Customers Mail Cloudでは、Webマニュアルを提供しています。初期設定から送信ドメイン認証、メール配信までの手順を分かりやすく解説しており、管理コンソール上でスムーズに設定を進めることができます。詳しいガイドは以下のURLから確認できます。
Gmail送信者ガイドラインへの対応
本章では、2023年12月より実施されている新しいGmail送信者ガイドラインとDKIMの関係について解説します。
Gmailの厳格な認証ポリシーとは
2023年12月より、新しいGmail送信者ガイドラインが適用されています。
メール送信者のガイドライン - Google Workspace 管理者 ヘルプ
本ガイドラインでは、1日5,000通以上送信する送信者に対して、従うべきガイドラインを定めています。
DKIM・SPF・DMARCが必要とされる背景
本ガイドラインでは、一括送信者に対してSPF、DKIM、DMARCの設定を必須としています。Gmailは世界最大級のメールプロバイダーであり、受け取る不正メールの量も相当数であると推定されます。そのため、送信者に対して、これらの設定を行い、メールの信頼性向上への協力が期待されています。
ガイドラインに準拠しない場合のリスク(迷惑メール扱いなど)
ガイドラインに準拠せず、SPF、DKIM、DMARCの設定を行っていない場合、以下のようなリスクがあるとしています。
- なりすましメールやフィッシング メールなどの悪意のあるメールから受信者を保護できます。
- ご自身と組織をなりすましから保護できます。
- Gmail で拒否されたり、迷惑メールに分類されたりする可能性が低くなります。
つまり、これらの設定を行っていなければ、Gmailに拒否される可能性があります。
Customers Mail Cloudを活用した効率的な対応方法
Customers Mail Cloudを利用することで、SPFやDKIM、DMARCの設定を簡単に行うことができます。また、専門のサポート体制も整っているため、安心して設定・運用を行えます。
Gmail向けに限らず、一括配信を行う事業者ではSPF、DKIM、DMARCの設定は必須と言えます。Customers Mail Cloudを利用して、簡単に設定し、メールの信頼性を向上させてください。
まとめ|Customers Mail Cloudで安心のメール配信を実現
本記事では、DKIMの設定を軸として、不正メールのリスクを軽減する方法について解説しました。メールの認証技術は多々あり、それぞれに役割が異なります。メールの信頼向上は、確実なメール配送に大いに貢献します。ぜひ、Customers Mail Cloudを利用して、メールの信頼性向上を実現してください。
