DKIMキーのローテーションとは、DKIMキーを更新するプロセスのことです。正確な期間は重要ではありませんが、プロセス自体は重要です。正確な期間は重要ではないが、プロセス自体は重要である。キーのローテーションとは、新しいキーを作成し、その新しいキーでDNSレコードを更新することです。DKIMキーをローテーションする目的は、パスワードを定期的に変更する理由と似ています。これは、攻撃者があなたのドメインになりすましてスパムやフィッシングメールを送信するのを防ぐためのセキュリティ対策です。

そもそも、なぜDKIMキーを使うのかを見てみましょう。

主なポイント

DKIMは暗号化された識別子でメールの真正性を検証し、改ざんを防ぎます。
DKIMキーを定期的にローテーションすることで、攻撃者が盗んだキーを詐欺に使うのを防ぐ。
DKIMキーのローテーションは、手動で行うことも、サードパーティに委任することも、メールプロバイダーが自動化することもできる。
鍵をローテーションしないことで、漏洩した鍵によるフィッシングやスパムのリスクが高まる。
優れた戦略には、スケジュールを話し合い、キーのサイズを決め、ローテーション・プロセスを展開することが含まれる。

なぜDKIMキーを使用するのですか？

DKIMは、DomainKeys Identified Mailの略です。これは、あなたの電子メールサーバーにセキュリティの追加レイヤーを追加する方法で、あなたの電子メールがスパムとしてフラグを立てられ、スパムフォルダーに入ってしまわないようにするためです。DKIMについて考える最も良い方法は、メッセージに付けられた暗号化された識別子として、受信者がそのメッセージが実際にあなたから送られたものであることを確認できるようにする、というものです。この識別子、またはキーは、受信者がそれを確認することができるものです。

DKIMはどのように機能するのですか？

DKIMは、送信される各Eメールにこの識別子を追加することで機能します。誰かがこれらの電子メールを受信すると、メッセージのヘッダーまたはフッターをチェックし、数字と文字の文字列を見つけることができます。電子メールが受信者に送信される前に、送信者の電子メールサーバーはすべての電子メールにデジタル署名し、受信側の電子メールサーバーがそれを検証する。このプロセスにより、電子メールが何らかの形で改ざんされていないことが証明されます。

電子メールを送信すると、署名はメッセージの末尾にヘッダーとして添付されます。受信サーバーは、公開鍵（DNSレコードを通じてドメイン所有者から提供される）を使用して、これらの署名を解読・検証します。

DKIMキーのローテーションがドメインのセキュリティに重要な理由

DKIM鍵のローテーションとは、メッセージの署名と認証に新しい秘密鍵/公開鍵ペアを使い始め、古い秘密鍵/公開鍵ペアの使用を止めることである。

なぜこれが重要なのか？もし誰かがあなたの秘密鍵にアクセスすることができたとしたら、彼らは実際にそれを使って、あなたからと見せかけた詐欺メールを送ることができるのです！このような悪意のある行為を防ぐには、DKIMキーを数ヶ月ごとにローテーションするのがベストプラクティスです。

DKIMキーローテーションの重要性をより理解するために、この例を見てみましょう。

例えば、あなたのお店でホリデーセールのためのメールキャンペーンを行ったとします。その際、DKIMキーを使って署名しますが、同じキーペアを使ったメールを何度も送信すると、各メッセージが同じ暗号ハッシュアルゴリズムを使っているため、悪質業者はいずれそのうちの一つを傍受して解読してしまうかもしれません。一度、あなたの公開鍵を手に入れたら、あなたに知られることなく、その鍵でフィッシングメールを署名し始めることができるのです!そのため、定期的なDKIM鍵のローテーションは、あなたのドメインのセキュリティにとって非常に重要なのです。

PowerDMARCでDKIMを簡素化！

15日間のトライアルデモを予約する

DKIMキーのローテーションはどのように行うのですか？

1.手動によるDKIMキーのローテーション

あなたのドメインに新しいキーを作成することで、DKIMキーを時々手動で回転させることができます。これを行うには、次の手順に従います。

私たちの無料の DKIMレコードジェネレーターツール
ドメインの情報を入力し、希望のDKIMセレクタを入力する。
生成 "ボタンを押す
新しいDKIMキーのペアをコピーします。
公開鍵はDNSで公開され、以前のレコードを置き換えます。
秘密鍵は、ESPと共有するか（メールをアウトソーシングしている場合）、メールサーバーにアップロードします（メールの転送をオンプレミスで処理している場合）。

2.サブドメインDKIM鍵の委譲

ドメイン所有者は、第三者にDKIMキーローテーションを処理させることで、アウトソーシングすることができます。これは、ドメインの所有者が電子メールベンダーに専用のサブドメインを委任し、彼らに代わってDKIMキーペアを生成するよう依頼する場合です。これにより、所有者は、第三者に責任を委託することで、DKIMキーローテーションの手間を省くことができます。

しかし、これはDMARCエントリーでポリシーの上書き問題を引き起こす可能性がある。エラーのない円滑な展開を保証するために、ローテートされた鍵はドメインコントローラーによって監視、確認されることが推奨される。

3.DKIM CNAME鍵の委譲

CNAMEはcanonical nameの略で、外部ドメインのデータを指すために使用されるDNSレコードです。CNAME委任により、ドメイン所有者は外部のサードパーティによって維持されているDKIMレコード情報を指すことができます。これはサブドメイン委任と似ていて、ドメイン所有者は自分のDNSにいくつかのCNAMEレコードを公開するだけでよく、DKIMインフラストラクチャとDKIMキーローテーションはレコードが指すサードパーティによって処理されるためです。

例えば、こんな感じです。

"domain.com "は発信元メールの署名が必要なドメイン、"third-party.com "は署名処理を行うベンダーを表します。

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

上記のCNAMEレコードはドメイン所有者のDNSで公開する必要があります。

さて、s1.domain.com.third-party.comはすでにそのDNSでDKIMレコードを公開しており、これは次のようになる。 s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599......"。

この情報は、domain.comから発信される電子メールに署名するために使用されます。

注: 複数の複数のDKIMレコード(推奨: 少なくとも3つのCNAMEレコード) をDNS上で公開する必要があります。これにより、ベンダは署名中にキーを切り替えることができ、代替オプションを提供することができます。

4.DKIMキーの自動ローテーション

ほとんどのメールベンダーとサードパーティメールサービスプロバイダーは、顧客向けにDKIMキーの自動ローテーションを可能にしています。例えば、メールのルーティングにOffice 365を使用している場合、MicrosoftがOffice 365のユーザー向けにDKIMキーの自動ローテーションをサポートしていることを知れば、嬉しくなるでしょう。

ナレッジベースでは、Office 365メールのDKIMキーローテーションを有効にする方法について詳しく説明しています。

DKIMキーの自動ローテーションのメリット

DKIMキーの自動ローテーションを許可しているベンダーであれば、あなたは何もする必要がありません。すべてベンダーが管理します。
手動で設定するため、ヒューマンエラーが発生しやすい。
自動キーローテーションは、高速かつ効果的で、お客様の手を煩わせることはありません。
DKIMの管理体制は完全にアウトソーシングされており、第三者が担当しています。

DKIMキーローテーション戦略の導入

私たちはこれを"DKIMキーローテーションの3つのD":

議論する
決定する
デプロイ

これが、あなたのドメインのための効果的なDKIMキーローテーションストラテジーを要約したものです。電子メールのためにサードパーティーのサービスを利用していて、ベンダーがローテーションを処理している場合、いつ、どれくらいの頻度で鍵をローテーションしたいかについて、オープンで透明性のある話し合いが行われていることを確認する。鍵のローテーションのタイミングや、選択鍵のサイズ（1024ビットと2048ビットのどちらがより安全か）についても発言権を持つ必要があります。

話し合いの段階を経て、お客様とベンダーがお互いにどのような戦略をとるかを決め、最終的に導入を進める必要があります。