重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む
PowerDMARC

DKIMキーローテーションの説明

ユネス・タラダ
DKIMキーローテーションの説明

DKIMキーローテーションの説明

読書時間 5

DKIMキーのローテーションとは、DKIMキーを更新するプロセスのことです。正確な期間は重要ではありませんが、そのプロセス自体が重要です。正確な期間は重要ではないが、プロセス自体は重要である。キーのローテーションとは、新しいキーを作成し、その新しいキーでDNSレコードを更新することです。DKIMキーをローテーションする目的は、パスワードを定期的に変更する理由と似ています。これは、攻撃者があなたのドメインになりすましてスパムやフィッシングメールを送信するのを防ぐためのセキュリティ対策です。

そもそも、なぜDKIMキーを使うのかを見てみましょう。

なぜDKIMキーを使用するのですか?

DKIMは、DomainKeys Identified Mailの略です。これは、あなたの電子メールサーバーにセキュリティの追加レイヤーを追加する方法で、あなたの電子メールがスパムとしてフラグを立てられ、スパムフォルダーに入ってしまわないようにするためです。DKIMについて考える最も良い方法は、メッセージに付けられた暗号化された識別子として、受信者がそのメッセージが実際にあなたから送られたものであることを確認できるようにする、というものです。この識別子、またはキーは、受信者がそれを確認することができるものです。

DKIMはどのように機能するのですか?

DKIMは、送信される各Eメールにこの識別子を追加することで機能します。誰かがこれらの電子メールを受信すると、メッセージのヘッダーまたはフッターをチェックし、数字と文字の文字列を見つけることができます。電子メールが受信者に送信される前に、送信者の電子メールサーバーはすべての電子メールにデジタル署名し、受信側の電子メールサーバーがそれを検証する。このプロセスにより、電子メールが何らかの形で改ざんされていないことが証明されます。 

電子メールを送信すると、署名はメッセージの末尾にヘッダーとして添付されます。受信サーバーは、公開鍵(DNSレコードを通じてドメイン所有者から提供される)を使用して、これらの署名を解読・検証します。

なぜDKIMキーローテーションがドメインのセキュリティに重要なのですか?

DKIMキーローテーションとは、メッセージの署名と認証に新しい秘密鍵/公開鍵ペアを使い始め、その後古い秘密鍵/公開鍵ペアの使用を止めることです。

なぜこれが重要なのか?もし誰かがあなたの秘密鍵にアクセスすることができたら、それを使ってあなたに見せかけた詐欺メールを送ることができるのです。このような悪質な行為を防ぐには、数ヶ月ごとに鍵を交換するのがベストです。

DKIMキーローテーションの重要性をより理解するために、この例を見てみましょう。 

例えば、あなたのお店でホリデーセールのためのメールキャンペーンを行ったとします。その際、DKIMキーを使って署名しますが、同じキーペアを使ったメールを何度も送信すると、各メッセージが同じ暗号ハッシュアルゴリズムを使っているため、悪質業者はいずれそのうちの一つを傍受して解読してしまうかもしれません。一度、あなたの公開鍵を手に入れたら、あなたに知られることなく、その鍵でフィッシングメールを署名し始めることができるのです!そのため、定期的なDKIM鍵のローテーションは、あなたのドメインのセキュリティにとって非常に重要なのです。

DKIMキーのローテーションはどのように行うのですか?

1.手動によるDKIMキーのローテーション

あなたのドメインに新しいキーを作成することで、DKIMキーを時々手動で回転させることができます。これを行うには、次の手順に従います。 

2.サブドメインDKIM鍵の委譲

ドメイン所有者は、第三者にDKIMキーローテーションを処理させることで、アウトソーシングすることができます。これは、ドメインの所有者が電子メールベンダーに専用のサブドメインを委任し、彼らに代わってDKIMキーペアを生成するよう依頼する場合です。これにより、所有者は、第三者に責任を委託することで、DKIMキーローテーションの手間を省くことができます。 

しかし、これはDMARCエントリーでポリシーの上書き問題を引き起こす可能性がある。エラーのない円滑な展開を保証するために、ローテートされた鍵はドメインコントロ ーラーによって監視、確認されることが推奨される。 

3.DKIM CNAME鍵の委譲

CNAMEはcanonical nameの略で、外部ドメインのデータを指すために使用されるDNSレコードです。CNAME委任により、ドメイン所有者は外部のサードパーティによって維持されているDKIMレコード情報を指すことができます。これはサブドメイン委任と似ていて、ドメイン所有者は自分のDNSにいくつかのCNAMEレコードを公開するだけでよく、DKIMインフラストラクチャとDKIMキーローテーションはレコードが指すサードパーティによって処理されるためです。 

例えば、こんな感じです。 

"domain.com "は発信元メールの署名が必要なドメイン、"third-party.com "は署名処理を行うベンダーを表します。 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

上記のCNAMEレコードは、ドメイン所有者のDNSで公開される必要があります。 

さて、s1.domain.com.third-party.comはすでにそのDNSでDKIMレコードを公開しており、これは次のようになる。 s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599......"。

この情報は、domain.comから発信される電子メールに署名するために使用されます。 

備考: 複数の 複数のDKIMレコード(推奨: 少なくとも3つのCNAMEレコード)をDNS上で公開し、DKIMキーローテーションを可能にする必要があります。これにより、ベンダーは署名中に鍵を切り替えることができ、代替オプションを提供することができます。

4.DKIMキーの自動ローテーション

ほとんどのメールベンダーとサードパーティメールサービスプロバイダーは、顧客向けにDKIMキーの自動ローテーションを可能にしています。例えば、メールのルーティングにOffice 365を使用している場合、MicrosoftがOffice 365のユーザー向けにDKIMキーの自動ローテーションをサポートしていることを知れば、嬉しくなるでしょう。 

ナレッジベースでは、Office 365メールのDKIMキーローテーションを有効にする方法について詳しく説明しています。 

DKIMキーの自動ローテーションのメリット

DKIMキーローテーション戦略の導入

私たちはこれを"DKIMキーローテーションの3つのD":

これが、あなたのドメインのための効果的なDKIMキーローテーションストラテジーを要約したものです。電子メールのためにサードパーティーのサービスを利用していて、ベンダーがローテーションを処理している場合、いつ、どれくらいの頻度で鍵をローテーションしたいかについて、オープンで透明性のある話し合いが行われていることを確認する。鍵のローテーションのタイミングや、選択鍵のサイズ(1024ビットと2048ビットのどちらがより安全か)についても発言権を持つ必要があります。 

話し合いの段階を経て、お客様とベンダーがお互いにどのような戦略をとるかを決め、最終的に導入を進める必要があります。

最新記事 by Yunes Tarada(全て見る)
モバイル版を終了する