DKIM

DKIM(DomainKeys Identified Mail)は、電子メールの送信者(Fromアドレスのドメイン)と メール本文の正当性を検証することができる技術です。メールの送信者は、DKIM公開鍵を自身のDNSに公開し、 ペアとなる秘密鍵を用いて生成したDKIM署名をメールヘッダに記述します。 メールを受信するサーバは、DNSに公開されたDKIM公開鍵を用いてDKIM署名を検証します。

GoogleやYahooなどのISPが主体となりDKIMを推進しています。 この技術により、送信者になりすましてメールを送り、 IDやパスワードなどの秘密情報を詐取するフィッシングのリスクに対して、 正当な送信者から送信されたメールであるか否かを見分けることが技術的に可能になります。

Customers Mail Cloudは、SMTPやAPIで送信するメールにDKIM署名を付与する機能を提供します。 管理コンソールに送信ドメインを登録してDKIMキーを発行します。 これをサービス利用者のDNSに公開することでDKIM署名付きメールを送信することができます。


DKIMキーを追加する

DKIMを運用するFromアドレスのドメインを追加します。


DKIMキーを発行する

管理コンソールにログインし、「DKIM設定」タブを表示します。

「ドメインを追加する」ボタンをクリックします。

DKIMドメイン設定

ドメインを入力し、「保存ボタン」をクリックします。

「DKIMセレクタ」ダイアログが表示されます。

DKIMセレクタ設定


DKIMキーをDNSで公開する

送信ドメインを管理するDNSで管理コンソールが発行されたDKIMキーを公開します。 ここでは、Amazon Route53 での設定例を説明します。

Route53 DKIM

項目   
Name 「DKIMセレクタ」ダイアログのレコード名にある セレクタ._domainkey を入力します。
Type TXT を指定します。
Value 「DKIMセレクタ」ダイアログのレコード値を入力します。

DKIMキーを確認する

DNSにDKIMキーを登録した後、「DNSを確認」ボタンをクリックします。 DKIMキーのDNS参照に成功した場合、セレクタの「状態」が DNS登録済 となります。

DNS登録に時間がかかるなどの理由で、後日、DNSの検証を行う場合は以下の操作を行います。
・「DKIM設定」タブの左メニューにあるドメインリストからドメインをクリックします。
・「セレクタ一覧」からセレクタをクリックします。
・「DKIMセレクタ」ダイアログが表示されます。「DNSを確認」ボタンをクリックします。

メールサーバに設定を反映する

セレクタの「状態」が DNS登録済 となった場合、このセレクタを運用することができます。 メールサーバに設定を反映してください。


DKIMキーを更新する

DKIMキーは、DNSのレコードサイズに収まるようRSA1024bitの鍵長で作成します。 このため、定期的な鍵の交換が必要となります。Customers Mail Cloudでは、「推奨期限」を表示しており1年ごとの 鍵交換を推奨しています。

鍵交換は以下の手順で行います。


新セレクタを追加する

「DKIM設定」タブの左メニューにあるドメインをクリックします。

セレクタ一覧で「追加」ボタンをクリックします。「DKIMセレクタ設定」ダイアログが表示されます。

DKIM設定

「セレクタ」は自動で割り当てられます。

「保存する」ボタンをクリックします。

「DKIMセレクタ」ダイアログが表示されます。

DKIMキーを公開した後、「DNSを確認」ボタンをクリックします。

セレクタの「状態」が DNS登録済 となった場合、新セレクタを運用することができます。


セレクタを切り替える

「サーバ構成」タブをクリックします。

新セレクタを運用するサーバ構成のリンクをクリックします。

「サーバ設定」ダイアログの左メニューにある「DKIM設定」をクリックします。

DKIM設定

運用可能なセレクタのリストが表示されます。

旧セレクタのチェックを外し、新セレクタをチェックします。

「保存する」ボタンをクリックします。


メールサーバに設定を反映する

最後にこの設定をメールサーバに反映すると、新セレクタの運用が開始されます。

Customers Mail Cloudは最大24時間のメール再送を行います。 このためセレクタ切替時は旧セレクタで署名したメールと新セレクタで署名したメールが混在する可能性があります。 旧セレクタ、新セレクタの両方をDNSに登録してください。 旧セレクタはセレクタ切替の後、1日以上経過すればDNSから削除しても影響はありません。

DKIMキーを削除する

DKIMキーの交換を行い古いセレクタが不要となった、または、送信ドメイン自体が不要となった場合、 以下の手順でDKIMの運用を停止し、DKIMキーを削除することができます。


DKIMの運用を停止する

「サーバ構成」タブをクリックします。

DKIMの運用を停止するサーバ構成のリンクをクリックします。

「サーバ設定」ダイアログの左メニューにある「DKIM設定」をクリックします。

運用可能なセレクタのリストが表示されます。運用を停止するセレクタのチェックを外します。

「保存する」ボタンをクリックします。


メールサーバに設定を反映する

この設定をメールサーバに反映すると、DKIMの運用が停止します。 設定反映以後、送信するメールにDKIM署名は付与されなくなります。


DKIMキーを削除する

セレクタの交換を行い、不要となった旧セレクタは以下の手順で削除することができます。

管理コンソールの「DKIM設定」タブをクリックします。

左メニューにあるドメインリストから操作するドメインをクリックします。

右にセレクタ一覧が表示されます。

セレクタ一覧の「削除」アイコンをクリックすると確認ダイアログが表示されます。

ログインアカウントのパスワードを入力し、「削除する」ボタンをクリックします。

DKIMセレクタが運用中である場合は削除は行えません。

ドメインを削除する

送信ドメイン自体が不要となった場合、DKIM設定で管理しているドメインは以下の手順で削除することができます。

管理コンソールの「DKIM設定」タブをクリックします。

左メニューにあるドメインリストの「削除」アイコンをクリックすると確認ダイアログが表示されます。

ログインアカウントのパスワードを入力し、「削除する」ボタンをクリックします。

ドメインとこのドメインに登録されているセレクタが全て削除されます。

削除するドメインのDKIMセレクタが運用中である場合、ドメインの削除は行えません。