DKIM を使用してメールを認証する
DKIM について
なりすましを防ぐために、送信メッセージのヘッダーに、DKIM 規格を使用してデジタル署名を追加できます。署名を追加するには、秘密ドメインキーを使用してドメインの送信メールのヘッダーを暗号化し、キーの公開版をドメインの DNS レコードに追加する必要があります。これで、受信サーバーが公開キーを取得して受信ヘッダーを復号化し、メールが本当にそのドメインからのものであること、途中で変更されていないことを確認できます。
G Suite のデジタル署名は DKIM(DomainKeys Identified Mail)標準に準拠しています。
DKIM の仕組み送信メールにデジタル署名を追加するには、ドメインキーを生成します。G Suite では、このドメインキーを使ってドメイン固有の署名付きメールヘッダーを作成します。この公開キーをドメインのドメイン ネーム システム(DNS)レコードに追加すると、受信者は公開キーを取得して署名を確認することで、メールの送信元を確認できるようになります。
安全性の強化のため、生成できるドメインキーが 1,024 ビットから 2,048 ビットに拡張されました。ご利用のドメイン登録事業者で拡張版のキー長がサポートされている場合は、安全性の高い 2,048 ビットのキーの生成をおすすめします。
なお、以前に作成した 1,024 ビットのドメインキーも引き続きご利用いただけます。
G Suite アカウントに関連付けられているドメインごとに、次の手順を繰り返します。
- ドメインの公開ドメインキーを生成します。
- キーをドメインの DNS レコードに追加し、受信者がキーを取得して DKIM ヘッダーを読めるようにします。
- メールの署名を有効にして、送信メールへの DKIM ヘッダーの追加を開始します。
G Suite のお申し込み時に Google のドメイン ホスト パートナーからドメインを購入した場合は、最初の 2 つの手順をスキップしてください。認証を有効にしたときに自動的にドメインキーが生成され、DNS レコードにそのドメインキーが追加されます。
次へ: ドメインキーを生成する
ドメインの DKIM ドメインキーをすでにお持ちの場合(従来のメールサーバーで送信メールに署名を付けている場合など)は、G Suite 用のキーを別に生成して使用する必要があります。G Suite のドメインキーは、セレクタ プレフィックスと呼ばれる文字列によって、他のキーと区別されます。G Suite ドメインキーのセレクタ プレフィックスは、既定では「google」ですが、キーの生成時に新しいセレクタ プレフィックスを入力することもできます。
DKIM チェックを通過しなかったメールの処理方法を DMARC で設定する
SPF レコードのチェックを通過しなかったメールの処理方法は、メール プロバイダが決定します。プロバイダの処理方法を制御するために、G Suite ドメインの DMARC(ドメインに基づくメッセージ認証、レポート送信、適合)を作成できます。DMARC で、何もしない、メールを検疫する、メールを拒否するのいずれかのポリシーを指定します。詳しくは、DMARC についてをご覧ください。
組織が使用している送信メール ゲートウェイで送信メールに変更を加えている場合は(たとえばコンプライアンスに関するフッターの追加)、その変更によって DKIM 署名が無効になります。ゲートウェイ サーバーがメールに変更を加えないようにするか、ゲートウェイ サーバーによる変更後にメールに DKIM 署名を追加するように設定する必要があります。
