DKIMは、メールが配信される途中で改ざんされないようにする効果的な方法です。ドメインベースの認証方法とプロトコルは、特にリモートワークの増加に伴い、ますます一般的になっている電子メールベースのサイバー攻撃に対して大きな効果を発揮します。電子メールは依然としてビジネス・コミュニケーションの主要な形態であるが、フィッシングなどの攻撃の主要なベクトルでもあるため、強固な認証が非常に重要になっている。注意すべき点は、電子メール認証は完全ではなく、攻撃者はこれらの対策を回避する方法を見つけることができるということです。したがって、電子メール・メッセージ、特にリンクや添付ファイルを含むものを開封する際には、常に慎重になることをお勧めします。DKIMは、このような脅威に対抗するために設計されたプロトコルのひとつです。
DKIMは公開鍵暗号に基づいており、メッセージのヘッダーにデジタル署名を追加することで機能します。通常、「From」、「To」、「Subject」、「Date」などのヘッダーに署名します。受信者はDKIM付きのメールを受け取ると、送信者のDNSで公開されている公開鍵を使ってデジタル署名をチェックし、それが有効であることを確認する。それが有効であれば、メッセージは転送中に変更されることなく、本当にそのドメインから発信されたものであることがわかります。
主なポイント
- DKIMは、暗号署名を使用してメールの完全性と送信元を検証し、改ざんやなりすましを防止するために極めて重要です。
- キー管理のベストプラクティス(例:1024/2048ビットキー、ローテーション)を含む適切なDKIMの実装は、メールの配信可能性とGoogleのようなISPの要件を満たすために不可欠です。
- DKIMは受信トレイへの配置を改善することで、メールマーケティングの効果を大幅に高め、エンゲージメントを強化し、ブランドの評判を保護します。
- 包括的なメールセキュリティのためには、DKIMをSPFやDMARCと組み合わせて、ポリシーの実施と詳細なレポーティングを可能にする必要がある。
- ツールやDMARCレポートを通じてDKIMを継続的に監視することは、問題に対処し、送信者の評判を維持するために不可欠であるが、認証方法は完全に信頼できるものではない。
DKIMとは何ですか?
DKIMとは、DomainKeys Identified Mailの略。DKIMとは、DomainKeys Identified Mailの略で、電子メールの認証プロトコルの一つであり、送信者が電子メールのコンテンツを配信中に改ざんされないようにするものである。もともとは2004年にDomainKeys(Yahooのもの)とIdentified Internet Mail(Ciscoのもの)が合併してできたもので、DKIMは広く採用されるようになった。
これは公開鍵暗号に基づいており、メッセージのヘッダーにデジタル署名を追加することで機能する。受信者はDKIM付きのメールを受け取ると、デジタル署名をチェックしてそれが有効であることを確認する。もし有効であれば、メッセージは転送中も変更されていないことがわかる。グーグル、マイクロソフト、ヤフーなどの主要プロバイダーは、受信メールのDKIM署名をチェックする。例えば、Gmailユーザーにメールを送信する新しい送信者は、少なくともSPFかDKIMを設定するようGoogleから要求されるようになった。Googleは受信メッセージのランダムチェックを行い、これらの認証方法が欠けているメールは、5.7.26エラーで拒否されるか、スパムとマークされる可能性がある。
DKIMヘッダーとは何ですか?
DKIMヘッダーは、暗号化されたDKIM署名を含む電子メールの一部です。この署名は、送信者のメールサーバー、特にメール転送エージェント(MTA)によって追加され、メッセージの内容とヘッダーに基づいてハッシュ値と呼ばれる一意の文字列を作成します。認証プロセスの間、DKIMヘッダーの署名フィールドは、送信メッセージの真正性を確認するのに役立ちます。これは、受信者が電子メールが本物であり、正当な送信者からのものであることを確認するのに役立ちます。
DKIMキーとは何ですか?
DKIM鍵は、DKIM認証で使用される暗号化秘密鍵と公開鍵のペアである。
- 公開鍵:DKIM公開鍵は送信者のDNSに(TXTレコードとして)保存され、受信メールサーバーがDKIM署名を検証するために使用する。
- プライベート・キー:DKIM秘密鍵は送信者のメールサーバー上で安全に保管され、DKIMヘッダーの一部として各送信メッセージに電子署名を生成して付加するために使用される。
DKIMはどのように機能するのですか?
DKIM認証プロセスでは、送信者のドメインが暗号鍵のペアを生成し、電子メールが送信されると、送信サーバー(MTA)が秘密鍵を使用してメッセージヘッダにDKIM署名を追加します。この署名には、電子メールの選択された部分のハッシュ値が含まれる。
送信者のドメインは、対応する公開鍵をDNSレコードで公開する。メールを受信すると、受信者のサーバーはヘッダーからDKIM署名を取り出し、DNSに公開鍵を問い合わせ、それを使って署名のハッシュ値を復号化する。次に受信サーバーは、受信したメールのヘッダーと本文から独自にハッシュ値を計算する。この再計算されたハッシュと、署名から復号化されたハッシュを比較する。2つのハッシュ値が一致すれば、署名は有効であり、メールが本物であり、改ざんされておらず、記載されたドメインから送信されたことが確認され、偽造や改ざんから保護される。
DKIMが機能していることを知るには?
お客様のドメインでDKIMが確かに機能していることを確認するには、DKIMチェックを使用して設定を確認することができます。こちらの無料DKIMチェッカーツールをお試しください。さらに、DMARC集計レポートを監視することで、お客様のドメインを名乗るメールのDKIM認証結果についての洞察を得ることができます。DKIMレコードのDNSクエリログをチェックすることで、受信サーバーがあなたの公開鍵を取得する頻度を示すこともできます。
DKIMレコードとは何ですか?
DKIMレコードは、ドメインのDNS設定でTXTレコードとして公開されるマシンレベルの命令セットです。このレコードには、署名に使用される秘密鍵に対応する公開鍵が含まれています。このレコードは、あなたのドメインからのメッセージであると主張するメッセージがこのキーを使用して検証できることをインターネットに伝え、メールサーバーがメッセージが宛先への経路で変更されておらず、認証されたソースから発信されていることを確認できるようにします。
DKIM署名
A DKIM署名は、電子メールメッセージのヘッダーに追加される暗号署名で、その真正性を検証し、転送中に改ざんされていないことを保証します。秘密鍵を使用して生成され、DKIMレコードにある公開鍵を使用して検証されます。
DKIMセレクター
DKIMセレクタは、どのDKIMキー・ペアがメッセージの署名に使われたかを指定するために使われる一意な識別子で、ドメインが複数のキーを管理することを可能にします(異なる送信サービス用など)。DKIMメールヘッダのs=タグで定義される英数字の文字列値で、セレクタは区別可能で、使用するメール業者ごとに異なる必要があります。
例えば、DKIMレコード名では s1._domainkey.domain.com, s1はあなたのセレクタです。
DKIMレコードの例
v=DKIM1;
k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...
DKIMレコードには、ドメインがテストモードであることを示す「t=y」タグを含めることもできる。
DKIMの利点とは
企業は、送信メールを認証し、その正当性を保証するためにDKIMを必要としています。DKIMは、中間者(MITM)攻撃を回避し、第三者によるメールコンテンツの不当な変更を防ぐ上で極めて重要な役割を果たします。DKIMは、電子メールの信頼性を確保することで、顧客との関係やブランドの評判を保護するのに役立ちます。
DKIMはメッセージの改ざんを防ぐ
デジタル署名はフェイルセーフです。電子メールが傍受され改ざんされた場合、再計算されたハッシュが署名から復号化されたハッシュと一致しないため、署名の検証は失敗し、電子メールは拒否されるか、不審な電子メールとしてフラグが立てられます。
DKIMドメインによるなりすましの最小化
攻撃者があなたのドメインになりすまそうとして送信したメールには、あなたの秘密鍵で生成された有効な署名はありません。DKIMの認証チェックに失敗することになり、DKIMがあなたの組織を何から保護しているのかが、また一つ明らかになります。
最新の電子メール詐欺統計 こちら.
DKIMがスパムメールを減らす
DKIMがよく知られているのは、スパムメールの減少です。DKIMを適切に設定することで、メールの信頼性を高め、正規のメッセージがスパムフォルダに入る可能性を大幅に減らすことができます。
DKIMがメールの配信性を高める
さらに、DKIMを設定すると、インターネットサービスプロバイダ(ISP)、顧客、パートナー、その他の受信サービスから見て、検証された送信元としての評価が向上します。これにより、メールの配信性が向上し、重要なコミュニケーションが意図した受信者に確実に届くことで、収益を上げることができます。Eメール配信能力とは、Eメールがスパムとしてマークされたり、バウンスされたりすることなく、受信者の受信トレイに到達する能力であり、マーケティングやコミュニケーションにとって非常に重要です。バウンス率、開封率、クリックスルー率、迷惑メールへの苦情など、重要な指標はエンゲージメントを測るのに役立ちます。配信性が悪いと、マーケティング投資が無駄になったり、Spamhausのようなブロックリストに登録されたり、カスタマーサービスに影響が出たりします。メールボックスプロバイダーは、ユーザーのエンゲージメントシグナル(開封、クリック、返信、苦情率)を重視してメールをフィルタリングするようになってきており、高い配信性の必要性を強調しています。DKIM検証によって配信に成功したメールは、クリックスルー率や開封率の向上に貢献し、コンバージョンや売上の増加につながる可能性があります。
DKIMの限界とは?
DKIMはメッセージの認証と完全性のために非常に重要ですが、完璧ではありません。以下はその限界の一部である:
- DKIMは、すべての場合において、エンドユーザーから見える送信者(「From」アドレス)を署名ドメインに対して直接認証するわけではありません(このアラインメントチェックはDMARCの一部です)。これは主に、メールがDKIM署名(d=タグ)で見つかったドメインによって認可され、改ざんされていないことを認証するものです。そのため、誰かが正当なアカウントやサーバーに不正アクセスした場合、あなたのドメインからDKIM署名付きメールを送信することができます。
- DKIMは正しいDNSレコードの公開と取得に依存しています。パブリックDNSレコードが正しく設定されていなかったり、設定が間違っていたり、伝播遅延が発生したりすると、次のような問題が発生します。 DKIM認証の失敗につながります。
- DKIMだけでは、認証に失敗した場合のポリシーは決められない。DKIMは、合格/不合格の結果を提供するだけである。DKIMは本質的にスパムやフィッシングを阻止するものではない。したがって、DKIM(および/またはSPF)の結果を使用してポリシーを実施するDMARCと組み合わせることが、包括的な保護には極めて重要である。
さらに、DKIMの実装には、鍵の管理やDNSの設定に関する専門知識を必要とする技術的な複雑さ、設定を誤った場合の潜在的なメール配信の問題、規模に応じた鍵の管理の難しさ、サードパーティのメール送信サービスとの互換性の確保など、現実的な課題もあります。
DKIMとDMARCのペアリング
DKIMとDMARC(およびSPF)の組み合わせは、スムーズなメール配信を確保しつつ、総合的な保護を行う上で理想的であるため、DKIMとDMARCを比較する意味はありません!両方を使用する場合、DMARCはDKIMの認証結果(SPFの認証結果も)を活用し、アライメントチェックとポリシーの強制(失敗メールの拒否や隔離など)を追加することで、なりすましメールが受信トレイに到達するのをより難しくします。これにより、スパムフィルターによるブラックリスト入りを回避し、正規のメールがより確実に配信されるようになります。
さらに、DKIMとDMARCを併用することで、あなたのブランドを守ることができます-スパマーはしばしば、スパムとして報告されにくいと思われるドメインになりすまそうとします。しかし、彼らがなりすまそうとしているドメインが実際にDKIMを設定し、DMARCポリシーを導入していれば、彼らの策略から逃れることはかなり難しくなり、あなたのドメインの評判を守ることができます。
DMARCとDMARCを組み合わせることの利点は、シームレスに連携し、なりすましに対する多層的な防御を提供すると同時に、送信者がインターネット上でどのようにメールが処理され、認証されるかを(DMARCレポートを通じて)コントロールし、可視化できることである。
PowerDMARCでDKIMを有効にする
PowerDMARCは、ドメイン所有者がSPFとDMARCと共にDKIMを簡単にセットアップできるようにし、実践的なモニタリングとレポート機能を提供します。これにより、認証結果とエラーを常に把握することができ、サイバー攻撃に積極的に対処しながら配信可能性を確保することができます。
当社のプラットフォームは、あらゆる規模の企業にとって使いやすく、複数のドメインや大量のメールトラフィックを処理することができます。私たちは、メール詐欺から360度保護するために、他のいくつかの重要な電子メール認証プロトコルと組み合わせた効果的なDKIMソリューションを提供します。
DKIMと DMARCPowerDMARCでわずか数分でセットアップ!
DKIMに関するよくある質問
DKIMの設定方法
DKIMを設定するには、秘密鍵とそれに対応する公開鍵のペアを生成する必要があります。 DKIMレコードジェネレーターのようなツールを使うか、電子メールサービスプロバイダを通じて生成する必要があります。少なくとも1024ビットのDKIMキーを使用することが推奨され、より強固なセキュリティのためには2048ビットのキーが望ましいです。DKIMキーは定期的にローテーションし、送信サービスやクライアントごとに固有のキーを使用することを検討してください。電子署名の有効期限が設定されている場合は、鍵のローテーション期間よりも長いことを確認し、古い鍵を失効させることを忘れないようにする。次に、送信メール・サーバーが秘密鍵で送信メールに署名するように設定し、公開鍵をドメインの特定のセレクタ名(例:selector._domainkey.yourdomain.com)の下のDNS TXTレコードとして公開します。
DKIMレコードの確認方法
DKIMレコードを確認するには、当社の無料の DKIMチェッカーツールをご利用ください。お客様のドメイン名とチェックしたい特定のDKIMセレクタ(既知の場合)を入力するだけで、DNSに問い合わせ、DKIMレコードが適切にフォーマットされ、公開され、取得可能かどうか、または何らかの問題が検出されたかどうかを報告します。
SPFとDKIMの違いは何ですか?
どちらもDMARCで使用される電子メール認証プロトコルですが、SPF(Sender Policy Framework)は、どのIPアドレスがドメインのために電子メールの送信を許可されているかを認証し、メッセージの経路を検証することに重点を置いています。DKIMは、電子メールの*内容の完全性*を検証することに重点を置き、メッセージがドメイン所有者によって承認されたことを暗号署名によって確認し、メッセージの発信元を検証し、改ざんされていないことを確認します。DKIMの署名は転送に耐えますが、SPFは転送中に壊れることがよくあります。
複数のドメインに同じDKIMキーを使用できますか?
いいえ、複数の異なるドメインに同じDKIMキーペアを使用することはできません。各ドメインには、固有のDKIMキーペア(署名用の秘密キー、ドメインのDNSで公開される公開キー)が必要です。これにより、DKIM署名がドメイン固有であることが保証され、個々のドメインの電子メール認証のセキュリティと整合性が維持されます。しかし、必要であれば、同じドメイン内の異なるセレクタに同じキー・ペアを使用することもできますが、送信サービスごとに別々のキーを使用するのが一般的です。
Office 365はDKIMを使用していますか?
はい、 Microsoft 365(旧Office 365)はDKIMをサポートし、使用しています。.デフォルトでは、Microsoft 365は初期ドメインに共有DKIM設定を使用しますが、Microsoftの指示に従ってDNSに必要なCNAMEレコードを生成することで、独自のドメインにカスタムDKIM署名を設定することを強くお勧めします。
DKIMなしでDMARCを使用できますか?
技術的には可能です。認証にSPFだけを使用してDMARCを実装することはできます。しかし、これはあまり推奨されません。DMARCは、SPFかDKIMのどちらか(あるいは両方)のパスとアライメントに依存しています。SPFだけに依存すると、間接的なメールフロー(転送など)の際にSPFが失敗することが多いため、認証が脆弱になります。SPFとDKIMの両方を実装することで、DMARCが効果的に機能するために必要な冗長性と、より強固な認証カバレッジが得られます。
DKIMを実装している場合、DMARCは必要ですか?
DKIMは重要なメッセージの完全性の検証および認証を提供するが、チェックに失敗した場合、受信サーバーに何をすべきか*を教えたり、署名ドメインがユーザーから見える "From "ドメインと一致しているかどうかを検証したりはしない。A DMARCポリシーDKIM署名ドメイン(d=)と "From "ドメインの整合をチェックし、認証と整合が失敗したメッセージを隔離するか拒否するかを指定し、認証結果に関するレポートを提供する。DKIM(およびSPF)とDMARCを組み合わせることで、メールセキュリティ、ブランド保護、配信性が大幅に向上します。
DomainKeys Identified Mail問題とは何ですか?
一般的なDKIMの問題としては、DNSレコードの構文や公開の誤り、間違ったセレクタの使用、秘密鍵の漏洩や公開鍵との不一致、鍵のローテーションの問題(期限切れの鍵)、中間サーバー(メーリングリストなど)によるメッセージの修正による署名の破壊、DKIM署名ドメインとFrom:ヘッダドメインの不一致(DMARCに影響)、サードパーティの送信サービスによるDKIMサポートの欠如や設定ミスなどがあります。これらの問題はそれぞれ、DKIM認証の失敗を招き、電子メールの配信性に悪影響を及ぼす可能性があります。
DKIMレコードの設定にはどのくらい時間がかかりますか?
キーの生成とメールサーバーの設定には、システムによっては数分から数時間かかる場合があります。DNSでDKIM公開鍵レコードを公開するのは通常すぐに終わりますが、DNSの変更がインターネット全体に完全に伝播するには、DNSプロバイダーとTTL設定によって、数分から48~72時間かかる場合があります。セットアップ後、DKIMが正しく機能し続けることを確認するため、継続的な監視(理想的にはDMARCレポートによる)をお勧めします。
DKIMが失敗するとどうなりますか?
DKIMチェックが DKIMチェックが失敗した場合メールのDKIMチェックに失敗した場合、そのメールは送信中に改ざんされたか、または送信ドメインによって適切に署名されていないことを示しています。受信サーバーはそのメールを疑いを持って扱い、スパムや迷惑メールとしてフラグを立てる可能性があります。そのドメインに対してDMARCポリシーが発行されており、その失敗がDMARCの失敗にもつながる場合(SPFのどちらかがパスしない/整合していないことが原因)、そのメールはポリシーに基づいて隔離されるか、完全に拒否される可能性があります(p=quarantineまたはp=reject)。SPFを実装することは、フォールバック認証メカニズムを提供します。
SPFとDKIMは必要ですか?
SPFとDKIMはそれぞれ独立したプロトコルであり、ある程度単独でメールを認証することができますが、両方*を使用することが業界のベストプラクティスであり、堅牢なメール認証のために強く推奨されています。両者は異なる側面(送信者IPとメッセージの完全性/起源)に対応しています。実装方法 SPF、DKIM、DMARCの実装SPF、DKIM、DMARCを同時に実装することで、なりすましやフィッシング攻撃に対する防御を大幅に強化し、配信可能性を向上させ、ドメインの評判を保護する強力なフレームワークを構築できます。
- DKIMとは何か、DKIMはどのように機能するのか?- 2025年2月16日
- メールマーケティングにデータセキュリティが不可欠な理由- 2024年8月9日