DomainKeys Identified Mail(DKIM)標準を使用すると、メールの送信元ドメインのなりすまし防止に役立ちます。
メールのなりすましとは、メール コンテンツを改変して実際の送信元(人、場所)以外から送信されたように見せることです。なりすましはメールの不正送信に利用されることの多い手段であるため、一部のメールサーバーでは防止のために DKIM が必須となっています。
DKIM により、すべての送信メールのヘッダーに暗号化された署名が追加されます。署名されたメールを受信したメールサーバーは、DKIM を使用してメッセージ ヘッダーを復号し、メールが送信後に改変されていないことを確認します。
その他のメール セキュリティ
DKIM に加えて、次のセキュリティ設定を行うことをおすすめします。
- Sender Policy Framework(SPF) - 組織に対してメールを送信できるドメインを指定します。
- Domain-based Message Authentication, Reporting & Conformance(DMARC) - ドメインでの不審なメールの処理方法を指定します。
DKIM を設定しない場合、Gmail ではデフォルトの DKIM が使われる
DKIM 署名を使用するとメールのセキュリティが強化され、メールのなりすましを防ぐことができます。すべての送信メールに独自の DKIM 鍵を使用することをおすすめします。
独自の DKIM ドメイン鍵を生成しない場合、Gmail ではデフォルトの DKIM ドメイン鍵(d=*.gappssmtp.com)を使用してすべての送信メールに署名が追加されます。
mail.google.com 以外のサーバーから送信されたメールには、デフォルトの DKIM 鍵による署名は行われません。
DKIM の設定手順
- ご利用のドメインのドメイン鍵を生成します。
- ドメインの DNS レコードに公開鍵を追加します。メールサーバーはこの鍵を使用してメールの DKIM 署名を確認することができます。
- DKIM による署名を有効にして、すべての送信メールに DKIM の署名が追加されるようにします。
DKIM に関するよくある質問
DKIM はどのように機能するのですか?DKIM では秘密鍵と公開鍵のペアを使ってメールが検証されます。
秘密ドメイン鍵によって、暗号化された署名ヘッダーが Gmail ドメインから送信されたすべてのメールに追加されます。
対応する公開鍵が Gmail ドメインのドメイン ネーム システム(DNS)レコードに追加され、ドメインからのメールを受信したメールサーバーは、この公開鍵を使用してメールの署名を復号し、署名されたメールの送信元を確認します。
Gmail でメール認証を有効にすると、DKIM によって送信メールのヘッダーに署名が追加されるようになります。
ドメインで(別のメールシステムによって)すでに DKIM が使用されている場合は、Gmail で使用する新しい一意のドメイン鍵を生成する必要があります。
ドメイン鍵には「セレクタ プレフィックス」と呼ばれるテキスト文字列が含まれており、鍵の生成時に変更することができます。Google Workspace ドメイン鍵のデフォルトのセレクタ プレフィックスは「google」です。鍵を生成する際に、デフォルトのセレクタ プレフィックスを「google」から独自のテキストに変更できます。また、新しいセレクタをドメインの既存の DKIM 鍵の設定と併用することができます。
送信メールに変更を加える送信メール ゲートウェイを使用した場合、DKIM 署名は無効になります。すべての送信メールにフッターを追加するメールサーバーなどがこれに該当します。この問題を回避するには、次のいずれかの対応を行ってください。
- 送信メールを変更しないようにゲートウェイを設定する。
- ゲートウェイによってメールが変更された後に DKIM 署名を追加するように設定する。
ドメインからのメールが拒否された場合は、拒否したメールサーバーの管理者にお問い合わせください。DKIM 署名が欠落している、または確認できないことを理由に、メールサーバーがメールを拒否することはできません(RFC 4871)。