Skip to content

DKIM

DKIM (DomainKeys Identified Mail) は、電子メールの送信者(Fromアドレスのドメイン)とメール本文の正当性を検証することができる技術です。メールの送信者は、DKIM公開鍵を自身のDNSに公開し、ペアとなる秘密鍵を用いて生成したDKIM署名をメールヘッダに記述します。

メールを受信するサーバーは、DNSに公開されたDKIM公開鍵を用いてDKIM署名を検証します。GoogleやYahooなどのISPが主体となりDKIMを推進しています。

この技術により、送信者になりすましてメールを送り、 IDやパスワードなどの秘密情報を詐取するフィッシングのリスクに対して、正当な送信者から送信されたメールであるか否かを見分けることが技術的に可能になります。

Customers Mail Cloudは、SMTPやAPIで送信するメールにDKIM署名を付与する機能を提供します。管理コンソールに送信ドメインを登録してDKIMキーを発行します。これをサービス利用者のDNSに公開することでDKIM署名付きメールを送信することができます。

DKIMキーを追加する

DKIMを運用するFromアドレスのドメインを追加します。

DKIMキーを発行する

  1. 管理コンソールにログインし、「DKIM設定」タブを表示します。

  2. 「ドメインを追加する」ボタンをクリックします。

    DKIMドメイン設定

  3. ドメインを入力し、暗号鍵長を選択した後、「保存ボタン」をクリックします。

    暗号鍵長について

    Customers Mail Cloud の DKIM 設定では、暗号鍵長を1024ビットまた2048ビットのいずれかを選択することができます。

    2048ビットのほうがよりセキュアなDKIMキーですが、設定したいドメインのDNSプロバイダー側で2048ビットの鍵長に対応している必要があります。2048ビットのDKIMキーがご利用可能かは、ご利用中のDNSプロバイダーにお問い合わせください。

  4. 「DKIMセレクタ」ダイアログが表示されます。

    DKIMセレクタ設定

DKIMキーをDNSで公開する

送信ドメインを管理するDNSで管理コンソールが発行されたDKIMキーを公開します。

ここでは、Amazon Route53 での設定例を説明します。

Route53 DKIM

項目
Name 「DKIMセレクタ」ダイアログのレコード名にある セレクタ._domainkey を入力します。
Type TXT を指定します。
Value 「DKIMセレクタ」ダイアログのレコード値を入力します。

DKIMキーを確認する

DNSにDKIMキーを登録した後、「DNSを確認」ボタンをクリックします。DKIMキーのDNS参照に成功した場合、セレクタの「状態」が DNS登録済 となります。

DNSの検証について

DNS登録に時間がかかるなどの理由で、後日、DNSの検証を行う場合は以下の操作を行います。

  1. 「DKIM設定」タブの左メニューにあるドメインリストからドメインをクリックします
  2. 「セレクタ一覧」からセレクタをクリックします
  3. 「DKIMセレクタ」ダイアログが表示されます。「DNSを確認」ボタンをクリックします

メールサーバに設定を反映する

セレクタの「状態」が DNS登録済 となった場合、このセレクタを運用することができます。メールサーバに設定を反映してください。

DKIMキーを更新する

DKIMキーは、DNSのレコードサイズに収まるようRSA1024bitの鍵長で作成します。このため、定期的な鍵の交換が必要となります。Customers Mail Cloudでは、「推奨期限」を表示しており、1年ごとの鍵交換を推奨しています。

鍵交換は以下の手順で行います。

新セレクタを追加する場合

  1. 「DKIM設定」タブの左メニューにあるドメインをクリックします。

  2. セレクタ一覧で「追加」ボタンをクリックします。「DKIMセレクタ設定」ダイアログが表示されます。

    DKIM設定

  3. 「セレクタ」は自動で割り当てられます。

  4. 「保存する」ボタンをクリックします。

  5. 「DKIMセレクタ」ダイアログが表示されます。

  6. DKIMキーを公開した後、「DNSを確認」ボタンをクリックします。

  7. セレクタの「状態」が DNS登録済 となった場合、新セレクタを運用することができます。この時点で「サーバ設定」>「送信ドメイン設定」>「DKIM設定」のリスト内で新しいセレクタが選択された状態(チェックボックスON)となります。

  8. 最後にこの設定をメールサーバーに この設定を反映すると、新セレクタでの運用が開始されます。

注意

Customers Mail Cloudは最大24時間のメール再送を行います。このためセレクタ切替時は旧セレクタで署名したメールと新セレクタで署名したメールが混在する可能性があります。

旧セレクタ、新セレクタの両方をDNSに登録してください。旧セレクタはセレクタ切替の後、1日以上経過すればDNSから削除しても影響はありません。

登録済の他のセレクタに切り替える場合

  1. 「サーバ構成」タブをクリックします。

  2. 新セレクタを運用するサーバ構成のリンクをクリックします。

  3. 「サーバ設定」ダイアログの左メニューにある「送信ドメイン設定」をクリックします。

    送信ドメイン設定

  4. 登録済みのDKIMドメインのリストが表示されます。

  5. 切り替え対象のドメインをクリックします。「送信ドメイン設定」ダイアログが表示されます。

    送信ドメイン設定ダイアログ

  6. 「DKIM設定」の旧セレクタのチェックを外し、新セレクタをチェックします。

  7. 「保存する」ボタンをクリックします。

  8. 最後にこの設定をメールサーバーに この設定を反映すると、切替後のセレクタでの運用が開始されます。

DKIMキーを削除する

DKIMキーの交換を行い古いセレクタが不要となった、または、送信ドメイン自体が不要となった場合、以下の手順でDKIMの運用を停止し、DKIMキーを削除することができます。

DKIMの運用を停止する

  1. 「サーバ構成」タブをクリックします。

  2. DKIMの運用を停止するサーバ構成のリンクをクリックします。

  3. 「サーバ設定」ダイアログの左メニューにある「送信ドメイン設定」をクリックします。

  4. 登録済みのDKIMドメインのリストが表示されます。

  5. 対象のドメインをクリックします。

  6. 「送信ドメイン設定」ダイアログに運用可能なセレクタのリストが表示されます。運用を停止するセレクタのチェックを外します。

    注意

    送信ドメイン設定ダイアログの「SPF設定」でエンベロープFromを「書き換える」に設定している場合、DKIMセレクタの運用を停止することはできません。

  7. 「保存する」ボタンをクリックします。

メールサーバーに設定を反映する

この設定をメールサーバーに反映すると、DKIMの運用が停止します。設定反映以後、送信するメールにDKIM署名は付与されなくなります。

DKIMキーを削除する

セレクタの交換を行い、不要となった旧セレクタは以下の手順で削除することができます。

  1. 管理コンソールの「DKIM設定」タブをクリックします。

  2. 左メニューにあるドメインリストから操作するドメインをクリックします。

  3. 右にセレクタ一覧が表示されます。

  4. セレクタ一覧の「削除」アイコンをクリックすると確認ダイアログが表示されます。

  5. ログインアカウントのパスワードを入力し、「削除する」ボタンをクリックします。

注意

DKIMセレクタが運用中である場合は削除は行えません。

ドメインを削除する

送信ドメイン自体が不要となった場合、DKIM設定で管理しているドメインは以下の手順で削除することができます。

  1. 管理コンソールの「DKIM設定」タブをクリックします。

  2. 左メニューにあるドメインリストの「削除」アイコンをクリックすると確認ダイアログが表示されます。

  3. ログインアカウントのパスワードを入力し、「削除する」ボタンをクリックします。

  4. ドメインとこのドメインに登録されているセレクタが全て削除されます。

注意

削除するドメインのDKIMセレクタが運用中である場合、ドメインの削除は行えません。