Microsoft O365のDKIMキー

オンラインには脅威が潜んでいるため、企業は強力な認証方法を採用することで、自社が正当な企業であることを証明する必要があります。一般的な方法は、暗号鍵を使って送信者のドメインを確認するメール認証技術であるDKIM(DomainKeys Identified Mail)によるものです。DKIMは、SPFや DMARCは、世界中の組織の電子メールセキュリティの姿勢を劇的に改善しました。

詳しくはこちら DKIMとは.

電子メールにDKIMを設定する際、主要な決定事項の1つとしてDKIMキーの長さを決定する必要があります。この記事では、より良い保護のために推奨されるキーの長さと、Exchange Online Powershellでキーをアップグレードする方法をご紹介します。

DKIMの鍵長をアップグレードすることの重要性

1024ビットか2048ビットかの選択は、DKIMキーを選択する際に行わなければならない重要な決定です。長年、PKI(公開鍵基盤)では、セキュリティのために1024ビットのDKIMキーを使用してきました。しかし、テクノロジーがより複雑になるにつれ、ハッカーはセキュリティを破壊する新しい方法を懸命に探しています。そのため、鍵の長さはますます重要になってきています。

ハッカーはDKIMキーを破るより良い方法を発明し続けています。鍵の長さは、認証を破るのがどれだけ難しいかに直接相関します。2048ビットの鍵を使用することで、現在および将来の攻撃に対する保護が強化され、セキュリティが向上するため、ビット数をアップグレードすることの重要性が強調されます。

Exchange Online PowershellでDKIMキーを手動でアップグレードする

  • まず、Microsoft Office 365 PowerShellに管理者として接続します(Powershellアカウントが署名付きPowershellスクリプトを実行できるように設定されていることを確認してください)。
  • DKIMが事前に設定されている場合、鍵を2048ビットにアップグレードするには、Powershellで以下のコマンドを実行してください。 

Rotate-DkimSigningConfig -KeySize 2048 -Identity {既存のサイニング・コンフィグのGuid}。

  • DKIMを導入していない場合は、Powershellで以下のコマンドを実行してください。 

New-DkimSigningConfig -DomainName <Domain for which config is to be created> -KeySize 2048 -Enabled $true

  • 最後に、ビット数を2048ビットにアップグレードしたDKIMが正常に設定されたことを確認するために、次のコマンドを実行します。

Get-DkimSigningConfig -Identity <Domain for which the configuration was set> | Format-List

ノート:この手順の実行中は、必ずPowershellに接続されていることを確認してください。変更が反映されるまでに最大で72時間かかることがあります。

なりすましやBECからドメインを守るには、DKIMだけでは不十分です。ドメインのメールセキュリティをアップグレードするには、次のように設定します。 DMARC for office 365.