DKIMタグ:必須タグと任意タグ
by
最終更新日:
6 読了時間:約6分
DKIMはDomainKeys Identified Mailの略で、暗号化されたデジタル署名を使用する電子メール認証プロトコルです。また、DMARCポリシーと組み合わせることができる補完的なプロトコルでもあります。 DMARCポリシー.
DKIMプロトコルは、DKIMタグとそれに対応する値の組み合わせからなるレコードをDNSに設定することで実装できます。このブログでは、必須、任意、推奨、推奨しないDKIM署名タグについて、例を挙げて詳しく説明します。
DKIMタグとは何ですか?
DKIMタグは、電子署名検証のために送信者に関する詳細を指定するDKIMレコード内の指示である。
適切に設定されたDKIM署名タグにより、メールサービスプロバイダーはあなたのメールメッセージを認証することができます。GoogleやYahooのような大手企業は、スパムを防ぐためにメール送信者にこのプロトコルを義務付けています、 フィッシングやなりすまし.
主なポイント
- DKIMは、暗号化されたデジタル署名を使用して電子メールメッセージの正当性を検証する電子メール認証プロトコルです。
- 適切に設定されたDKIM署名タグは、電子メールが確実に認証され、受信者のメールボックスで破棄されるのを防ぐために不可欠です。
- DKIMタグは必須、任意、非推奨に分類され、特定のタグはDKIM検証テストに合格するために重要である。
- オプションで推奨されているDKIMタグを活用することで、メールのセキュリティを強化し、なりすまし攻撃に対する検証プロセスを支援することができます。
- DKIMの実装は複雑な場合があるため、多くの組織がDKIMの設定を効率的に管理するためにホスト型ソリューションを選んでいる。
DKIM署名タグの仕組み
受信者のサーバーは、メールヘッダのデータとドメインの公式な DKIMレコードを使用して電子メールメッセージの信頼性を検証します。DKIM署名ヘッダーは、送信メールに付加されます。複数のDKIM署名タグは、受信者のサーバーが電子メールを確認するためにどこを見ればよいかを知っているように、送信者に関する情報を運びます。
これらのDKIM署名タグは、特定の値を表示する情報コンポーネントであり、それぞれが電子メールの本文に関する詳細を表す。すべてのDomainKeysは、デジタルDKIM署名の暗号化に使用される秘密鍵を持っています。これとは別に、ドメインのDNSで公開されている公開鍵も持っています。
したがって、あなたのドメインからメールが送信されるときは常に、メール内の秘密鍵と公開鍵が一致する必要があります。さもなければ、メッセージは受信者のメールボックスに届かない。これは非常に迅速なプロセスで、数秒もかからない。ただし、DKIMレコードを生成し、正しいDKIM DNSタグを追加した場合にのみ動作します。
PowerDMARCでDKIMタグを簡素化!
DKIMレコードタグの説明
DKIM DNSレコードタグは、コマンドとして使用され、等号が続く単一の文字である。すべての文字には、送信者に関する情報の断片を表す特定の値を指定するDKIMタグがある。それぞれのDKIM署名タグには、メッセージの暗号化に使用される公開鍵の場所についての詳細が含まれています。
DKIMタグの種類
DKIM署名タグは「必須タグ」と「任意タグ」で分類でき、それぞれの値はDKIMレコードを生成する上で重要です。他にも「必須ではない」または「推奨されない」と分類されるDKIM署名タグがいくつかあります。これらのタグは、その有用性や各ドメインの要件に応じて設定することができます。DNSにDKIMレコードを追加する際には、適切なDKIM認証タグが必要です。これらのタグについて詳しく説明します。
必須DKIMタグ
必須DKIMタグはDKIM署名ヘッダにとって非常に重要であり、これがないとメッセージは検証テストに合格しません。受信者のメールボックスでは、これらのタグがないメールは破棄されます。
- v= 使用されているDKIM標準を示すDKIMバージョンタグである。この値は常に1に設定されます。
- a= このDKIMタグは、署名を作成するために使用される暗号アルゴリズムを示します。使用される値はrsa-sha256です。お使いのコンピュータのCPU能力が低下している場合は、rsa-sha1を使用することもできます。しかし、セキュリティ上の理由から推奨されません。
- s= ドメインのDNSで公開鍵を見つけるために使用するDKIMセレクタタグを示します。このフィールドには、名前または数字を入力します。
- d= DKIMドメイン・タグは、公開鍵を探すためにセレクタ・レコードで使用される ドメインを表示する。この値は、送信者が使用するドメイン名と同じである。
- b= DKIM bodyタグはヘッダーのハッシュデータに使われる。通常、DKIM署名を作成するためのh=タグと対になります。常にBase64でエンコードされます。
- bh= DKIMボディハッシュタグは、電子メールの計算されたハッシュを持っています。その値は、アルゴリズムによって決定されたハッシュを示す文字列です。
- h= このタグは、b=タグのハッシュを生成するために、署名アルゴリズムで見られるヘッダを参加させます。このタグの値は削除も変更もできません。
オプションのDKIMタグ
DKIM署名のタグとは別に、いくつかのオプションのタグがあります。つまり、DKIM署名にこれらのタグが欠落していても、検証時にエラーは発生しません。しかし、専門家は、電子メールのなりすましを避けるために、これらのタグを使用することを推奨しています。
スプーファーは、本物の企業メールとは異なり、時間値を割り当てません。そのため、受信箱が送信者の誤った時間値に気付いた場合、そのメールを完全に拒否する可能性が高くなります。
任意だが推奨されるDKIMタグ
これらの推奨DKIMレコードタグは、検証プロセスにおいて受信者のサーバーを支援するため、使用することが推奨されます。
- g= 公開鍵の粒度として機能し、その値はi=タグのローカル部分と同じになります。また、アスタリスク(*)をワイルドカードとして入力することもできます。このDKIMタグは、署名アドレスがセレクタレコードを使用しないようにブロックします。このタグに一致しない署名アドレスを持つ電子メールは、検証に失敗します。
- h= 受け入れ可能なハッシュアルゴリズムを表し、特定の値として「sha1」と「sha256」が設定されている。署名者と検証者はこれらを必要とする。
- k= 鍵の種類である。デフォルトでは「rsa」に設定されており、署名者や検証者がサポートしているはずである。
- n= 管理者は、このタグを使用して、人間が読めるメモを追加します。
- t= このタグは、メールが送信された時刻を示す署名タイムスタンプとして機能するため、重要です。このタグの形式は、1970年1月1日午前0時00分00秒(UTC)からの秒数で表わされます。
- x= このタグは、署名の有効期限を示す。t=タグを補完して、配送日を指定する。
- t=y ドメインテスト署名を指定するのに使われ、DKIMが初めて設定されるときに送信者によって使われる。メールボックスプロバイダによっては、テストモードのDKIMシグネチャを見落とすことがあるため、このタグを使うことを推奨します。デプロイ完了前にこのタグを削除する必要があります。
- t=sはt=yタグの置き換えである。i=タグを使用するDKIM署名は、プライマリドメインと同じドメイン値を持たなければならないとしている。
不要
初めてDKIMヘッダーを作成する場合、これらのDKIM署名タグは必要ありません。これらはDKIM署名を技術的で複雑なものにする傾向があります。
- c=はDKIMレコードタグで、正規化アルゴリズムとして働き、他のメールボックスプロバイダに転送される途中のメールの修正レベルを記述するものです。これは、転送中の電子メールの小さな修正を避けるために使用されます。そうしないと、検証の失敗の原因になります。変更には、空白や行の折り返しが含まれます。
その値は、value1またはvalue2のいずれかに設定される。Value1はヘッダー用で、Value2はメッセージ本文用です。これらは、'simple' または 'relaxed' に設定することで、電子メールの修正に対する許容度を指定することができます。
- i=は、ユーザーまたはエージェントのIDを表します。その値は、あなたのウェブサイトへのドメインとサブドメインを持つ電子メールアドレスであり、d=タグと同じです。
推奨しない
これらのDKIM DNSタグはどのDKIMヘッダーにも必要ではありません。これらは、後述の仕様のいずれかを制御する必要がある場合にのみ使用されます;
- l= DKIM長さタグは、署名されるビット数で示されるメッセージ本文の部分署名を容易にする。このタグはメッセージを改ざんされやすくするので推奨されません。
- z= メッセージのオリジナルヘッダを列挙し、メールボックスプロバイダーが診断検証エラーの操作に使用します。
最終的な収穫
DKIMプロトコルの実装と管理には、専門知識、時間、労力が必要な場合があり、多くの場合、帯域幅をはるかに超えています。そのため、組織は当社のホスト型DKIMソリューションを選択します。DKIMレコードの生成、DKIM署名タグの設定、DKIMセレクタとキーの管理を単一のプラットフォームでサポートします!
さらに、以下のような補完的なプロトコルの設定についても、専門家によるサポートを提供しています。 DMARCや SPFなどの補足プロトコルを設定し、電子メールベースの攻撃に対する防御を強化します。
詳細については、配信可能性を向上させるために試行錯誤された、組織向けにカスタマイズされたドメインセキュリティ戦略をご覧ください。 お問い合わせまでご連絡ください!
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- DMARC MSP 事例紹介:The Great Geek、PowerDMARCを活用して中小企業向けメールセキュリティサービスを拡充 - 2026年6月25日
- 「メールなりすましサービス(Spoofing-as-a-Service)」の仕組みと対策 - 2026年6月24日
- フィッシングの偵察:攻撃者が脆弱なドメインを特定し、標的とする方法 - 2026年6月24日
