DKIM を使用してメールを認証する
DKIM について
DKIM(DomainKeys Identified Mail)標準を使用すると、送信メールでのなりすましを防止できます。
メールのなりすましとは、メール コンテンツを変更して実際の送信元以外から送信されたように見せることです。なりすましはメールの不正使用として一般的であるため、一部のメールサーバーではなりすましを防ぐために DKIM が必須となっています。
DKIM により、すべての送信メールのヘッダーに暗号化された署名が追加されます。これらのメールを受信したメールサーバーは、DKIM を使用してメッセージ ヘッダーを復号化し、メールが送信後に変更されていないことを確認します。
SPF、DMARC と DKIM の併用
DKIM に加えて、SPF(Sender Policy Framework)と DMARC(Domain-based Message Authentication, Reporting & Conformance)を設定することをおすすめします。DKIM はメール コンテンツが本物で変更されていないことを確認します。SPF は組織のメールを送信できるドメインを指定します。DMARC はドメインでの不審なメールの処理方法を指定します。
DKIM が設定されていない場合、Gmail はデフォルトの DKIM を使用する
DKIM 署名を使用するとメールのセキュリティが強化され、メールのなりすましを防ぐことができます。すべての送信メールに独自の DKIM 鍵を使用することをおすすめします。
独自ドメインの DKIM 鍵を使用したメールの署名を有効にしない場合、Gmail はデフォルトの DKIM ドメイン鍵(d=*.gappssmtp.com)を使用してすべての送信メールに署名します。mail.google.com 以外のサーバーから送信されたメールには、デフォルトの DKIM 鍵による署名は行われません。
DKIM の設定手順
- ご利用のドメインのドメイン鍵を生成します。
- ドメインの DNS レコードに公開鍵を追加します。メールサーバーはこの鍵を使用してメールの DKIM ヘッダーを読み取ることができます。
- DKIM 署名を有効にして、すべての送信メールへの DKIM 署名の追加を開始します。
DKIM に関するよくある質問
DKIM はどのような仕組みですか?DKIM は秘密鍵と公開鍵のペアを使用してメールを検証します。
秘密ドメイン鍵によって、Gmail ドメインから送信されたすべてのメールに暗号化ヘッダーを追加します。
一致する公開鍵が、Gmail ドメインのドメイン ネーム システム(DNS)レコードに追加されます。ドメインからのメールを受信したメールサーバーは、公開鍵を使用してメッセージ ヘッダーを復号化し、メールの送信元を確認します。
Gmail でメール認証を有効にすると、DKIM によって送信メールのヘッダーが暗号化されるようになります。
ドメインで(別のメールシステムによって)すでに DKIM が使用されている場合は、Gmail で使用する新しい一意のドメイン鍵を生成する必要があります。
ドメイン鍵には「セレクタ プレフィックス」と呼ばれるテキスト文字列が含まれており、鍵の生成時に変更することができます。G Suite ドメイン鍵のデフォルトのセレクタ プレフィックスは「google」です。鍵を生成する際に、デフォルトのセレクタ プレフィックスを「google」から独自のテキストに変更できます。
送信メールに変更を加える送信メール ゲートウェイを使用した場合、DKIM 署名は無効になります。すべての送信メールにフッターを追加するメールサーバーなどがこれに該当します。この問題を回避するには、次のいずれかの対応を行ってください。
- 送信メールを変更しないようにゲートウェイを設定する。
- ゲートウェイによってメールが変更された後に DKIM 署名を追加するように設定する。
ドメインからのメールが拒否された場合は、拒否したメールサーバーの管理者にお問い合わせください。DKIM 署名が欠落している、または確認できないことを理由に、メールサーバーがメールを拒否することはできません(RFC 4871)。
