DKIM2仕様の更新:2026年5月版IETFドラフトの新機能

ニュース

IETFは2026年5月17日、draft-ietf-dkim-dkim2-spec-01を公開しました。最新のDKIM2の進展が電子メール認証にどのような意味を持つのか、またドメイン所有者が知っておくべき点について解説します。

byユネス・タラダ

最終更新日:
4 読了時間:約4分
DKIM2仕様の更新:2026年5月版IETFドラフトの新機能
目次-

IETFのDKIMワーキンググループは、2026年5月17日にDKIM2仕様の新バージョンを公開しました。これは同ワーキンググループ文書にとって3回目の改訂版であり、最終的なRFCへの着実な進展が続いています。初期の草案の段階からDKIM2の動向を追ってきた方々にとって、これはワーキンググループが実用段階に近づいていることを示す、これまでで最も明確な兆候と言えるでしょう。

読み進める前に、もう一度確認したいですか?背景知識として、「DKIM2とは」に関する詳しい解説記事をご覧ください。

今回のアップデートでの変更点

新しいバージョンの名称は draft-ietf-dkim-dkim2-spec-02です。これは、当初からこの文書に取り組んできた同じチームである、Richard Clayton(Yahoo)、Wei Chuang(Google)、Bron Gondwana(Fastmail)によって作成されました。 最初の公式IETFワーキンググループドラフトは、2026年3月24日に公開されたdraft-ietf-dkim-dkim2-spec-00であり、これは以前の個人ドラフト(draft-clayton-dkim2-spec)に取って代わるものでした。 それ以来、この文書は4月に-01、5月に-02と改訂を重ね、仕様は当初の著者たちだけではなく、より広範なワーキンググループによって策定されてきました。

5月17日の改訂は、仕様の技術的な詳細を引き続き洗練させる段階的な更新です。主な変更点は以下の通りです:

  • 署名から除外される Authentication-Results ヘッダー:これらのヘッダーは、メールがシステム間を移動する際に頻繁に変更されるため、署名から除外することで、不必要な検証エラーを防ぐことができます。
  • 「donotmodify」および「donotexplode」フラグに関するルールの明確化:送信者は、メッセージを変更したり複数の受信者に転送したりしてはならないことをより明確に指定できるようになり、検証者は、これらの要求が無視された場合に、明確なチェックとエラーメッセージを受け取れるようになりました。
  • z bodyのレシピを削除しました。これは当初、切り詰められたバウンスメッセージに対応するために含まれていましたが、実際には必要ないことが判明しました。これを削除することで、機能を損なうことなく仕様を簡素化できます。
  • 技術仕様の厳格化:Base64のパディング、ヘッダーフィールドにおけるセミコロン区切り、およびJSONフォーマットに関する明確化により、曖昧さが解消され、互換性のある実装が容易になります。

仕様書を詳細に追っている読者は、IETF Datatrackerを通じて各バージョンを直接比較することができます。

DKIM2が解決する2つの課題

DKIMが解決する2つの問題

DKIM1には長年にわたる2つの問題があり、それが今回の書き換えにつながりました。

1つ目は DKIMリプレイ攻撃です。この攻撃では、攻撃者が正当な署名付きメッセージを流用し、元のドメインの良好な評判を悪用して他のメールボックスへ再送信します。DKIM2は、署名付きコンテンツ内に受信者の詳細を記録し、メッセージが通過するすべての段階にわたって検証の連鎖を構築することで、この問題を解決します。これにより、再送信されたメッセージは検証者にとって本物とは見なされなくなります。

2つ目は、転送時の署名の破損です。メーリングリストや転送サービスでは、ヘッダーや本文の内容が変更されることが多く、その結果、元のDKIM署名が破損してしまうことがあります。これが、Mailmanなどのツールを通じて送信されたメッセージが、送信元のドメインにおけるDMARCチェックに失敗しがちな理由です。DKIM2はこの問題をネイティブに処理します。メッセージを扱う各システムは、行った変更を記録し、そのチェーンに独自の署名を追加します。これにより、検証側はチェーンが途切れることなく、メッセージを元の送信者まで遡ることができます。

転送に関する問題の背景については、DMARCとメーリングリストに関する記事をご覧ください。

ARCは廃止されます

この転送に関する修正では、知っておくべき関連する更新についても説明されています。2026年4月22日、Trent Adams(Proofpoint)とJohn Levine(Taughannock Networks)は draft-ietf-dmarc-arc-to-historic-00 をIETF DMARCワーキンググループに提出しました。これは、Authenticated Received Chain(ARC)を歴史的標準として再分類することを提案するものです。

この草案がARC実験を終了する理由として挙げているのは、ARCから得られた運用上の知見が、DKIMの後継として提案されているDKIM2の作業に反映されているためである。つまり、ARCから得られた教訓が無駄になるわけではない。それらは、より洗練された解決策へと組み込まれているのである。

ARCの詳細やその機能について詳しく知りたい場合は、当社のガイド「ARCとは」をご覧ください。

ドメイン所有者が今すぐ行うべきこと

ドメイン所有者が今すぐすべきこと

多くの差出人にとって、その答えは「特に急ぎの用件はない」です

DKIM2の鍵は、現在のDKIM鍵と同じDNSレコード構造を使用するため、既存のDNS設定を引き継ぐことができます。仕様では、DKIM1とDKIM2が長期間並行して運用されることを想定しているため、強制的な切り替えはありません。主要なメールプロバイダーでの導入は2026年後半に開始され、2027年以降も広範な展開が続くと見込まれています。

今重要なのは、現在のDKIMの設定が適切であることを確認することです。具体的には、鍵が正しく公開されていること、適切なローテーションが行われていること、そして不要なセレクタが残っていないことが挙げられます。現在抱えている問題は、DKIM2の時代になっても引き継がれてしまいます。基本を復習したい場合は、まず「DKIMとは何か」から学んでみてください。

変更が開始された際に、署名キーの管理を自ら行いたくない場合は、PowerDMARCのホスト型DKIMがキーの発行、ローテーション、監視を代行するため、DKIM2の導入に備えることができます。

CTA

最新記事 by Yunes Tarada(全て見る)
最終更新日:
DreamHostでSPF、DKIM、DMARCを設定する方法