DKIM署名ドメイン管理
最終更新日:2022年11月30日
1. 概要
DKIMは、電子署名を付けたメールを配信し、受信者が電子署名を認証することによって、受信したメールが正当な送信者によって配信されたメールであること、メール本文が改ざんされていないことを確認できる技術です。
スパイラルから配信する全てのメール(※)はDKIM署名を付与して送信します。
スパイラルからのメール配信において、デフォルトの設定ではスパイラルのドメインが署名した「第三者署名」で配信が可能となるため、
その場合メール作成者であるユーザ側で必要な対応作業はありませんが、ユーザによる署名である「作成者署名」にて署名いただくことも可能です。
作成者署名をする場合は、SPIRAL側、およびユーザ側で管理しているDNS側の設定が必要となります。
スパイラル側ではメニューの「DKIM署名ドメイン管理」の新規作成ボタンから、キーペア(秘密鍵/公開鍵)の生成・登録、署名ドメインの登録ができ
スパイラル側での登録後、公開鍵をDNSに公開する必要ございます。スパイラル、及びDNS側の設定完了後に「作成者署名」で署名したメールをスパイラルから配信できるようになります。
※メールグループで設定するメール
2. DKIM署名の設定
画面の「メール」をクリックします。
DKIM署名ドメイン管理をクリックします。
作成したDKIM署名ドメインの一覧が表示されます。
新しく設定する場合は「新規作成」ボタンをクリックします。
差出人メールアドレスに使用するドメインを登録し、同時に署名に使用するキーペアを生成します。
スパイラルではキーペア自動生成ツールを提供していますが、ユーザが生成したキーペアを登録することも可能です。
「セレクタとドメイン」:セレクタとは、ドメインが署名する際に異なるキーペアでも、署名検証時に区別できるようにする為のものです。
署名に使用する鍵は1年程度を目処に交換することを推奨します。
同一ドメインが異なるキーで署名するケースとして鍵の交換時や、送信システム別に鍵を分ける場合などが想定されます。
セレクタとドメインの組み合わせはユニーク(重複不可)です。
なお、差出人メールアドレスが異なる場合でも、ドメインが同一の場合は同じドメインによる署名が可能です。
「コメント」:設定にコメントをつけることができます。
「キーペア生成」:署名に使用するキーペアを生成し登録します。2種類の登録方法をご用意しています。
(1)スパイラル
スパイラルがキーペアを自動生成します。
生成する鍵長のサイズを選択します。
※ 2048bitを選択した場合は、暗号レベルは高くなりますが、署名負荷が高くなる為、配信速度に影響する場合があります。ご了承ください。
(2)ユーザー
ご用意いただいた秘密鍵と公開鍵のキーペアを登録してください。
1024bitまたは2048bitの鍵を生成してください。
※ 2048bitの場合は、暗号レベルは高くなりますが、署名負荷が高くなる為、配信速度に影響する場合があります。ご了承ください。
設定が完了したら「登録する」ボタンをクリックします。
登録したセレクタが一覧に表示されます。
「初期選択」にチェックがついているセレクタが、配信時の設定の際にデフォルトで選択されます。
■登録したセレクタの「鍵設置」が×になる場合
設定したセレクタの「鍵設置」が×になる場合には、以下のような可能性が考えられます。
原因 :DNSサーバ側に記述した内容に誤りがある場合(例:公開鍵の末尾が欠損している場合/公開鍵の末尾に不要な値が記載されている場合 など)
確認方法:DNSサーバにご登録いただいたTXTレコードの内容について、DKIM署名ドメインの登録画面からダウンロードした値と
差異がないかなどをご確認ください。
※上記原因は一例となります。DNSサーバ側をご確認いただいた上で問題等ない場合には、ユーザーズデスクよりお問い合わせください。
DNSサーバ側の確認につきましては、DNSサーバの管理担当者様、もしくはユーザーズデスクにご確認ください
3. 公開鍵の宣言
公開鍵は、DKIM署名ドメインの登録画面からダウンロード可能です。
DNSサーバへの公開鍵の登録については、貴社のDNSサーバ管理担当者様に「DNSサーバにTXTレコード」を登録することについてご相談ください。
DNSサーバに登録するTXTレコードの記述例
D20101215-spiral01 <セレクタ>
example.com <署名ドメイン>
MIGfMA0GCSqGSIb3…(省略) <公開鍵データ>
4. 配信時の設定
DNSサーバへの公開鍵の登録後、配信設定のメールヘッダ情報設定にて登録した作成者署名を選択すると、作成者署名でメールを送信できるようになります。
作成者署名が選択され認証に成功している場合、「送信元認証」は黄色、もしくは青色の信号になります。
※信号については「送信元認証」をご確認ください。
5. 受信メールでの確認
メール受信時にDKIM認証を実施しているメールサービス(ex.Gmail)にテストメールを送信し、受信メールのヘッダからDKIM署名の内容と認証結果を確認することができます。
[ヘッダに記載されるDKIM署名と認証結果]
| ヘッダ | 記載例 | 確認点 |
|---|---|---|
| DKIM-Signature: | v=1; a=rsa-sha1; c=relaxed/relaxed; d=example.com; s=D20101215-spiral01; t=1282117486; bh=fK0VLNXFVdGze | 署名の確認 ・署名ドメイン(d=)を確認する。 スパイラルで署名している場合は「smp.ne.jp」、作成者署名の場合はFromアドレスのドメインと一致していること。 ・セレクタ(s=)がDNSに設置したセレクタと一致していること。 |
| Authentication-Results: | mx.google.com; spf=pass smtp.mail=spiral-error@smp.ne.jp dkim=pass header.i=@pi-pe.co.jp | 認証結果の確認 ・認証結果(dkim=)が「pass」となっていること。 |
その他の認証結果に、以下のようなものがあります。
| 認証結果 | 説明 |
|---|---|
| none | DKIM署名が付与されていない。 |
| neutral | DKIM署名が付与されているが、文法の誤りなどで照合できない。 |
| pass | DKIM署名が付与されていて、受信者にとって受け入れられるものであり、かつ、照合に成功した。 |
| policy | DKIM署名が付与されているが、ローカルポリシーによって受け入れられない。 |
| fail | DKIM署名が付与されていて、受信者にとって受け入れられるものであるが、照合と認証に失敗した。 |
| temperror | 一時的な問題で認証処理が実行できなかった。 |
| permerror | 永続的なエラーで認証処理を実行できなかった。 |
上記の認証結果はRFC5451をもとに作成しています。 認証結果はメール受信サーバが記述するため、受信側の仕様によっては結果の記述に差異がございます。