(平日 10:00〜18:00)
  1. Cuenote
  2. メール配信システム・メルマガ配信サービス
  3. セキュリティ
  4. DKIMとは?認証の仕組み、SPFやDMARCとの違い

DKIMとは?認証の仕組み、SPFやDMARCとの違い

ユミルリンクでは、メール配信システム「Cuenote」を提供するサービス事業者として、迷惑メール対策に積極的に取り組んでいます。


DKIMとは?

DKIM (DomainKeys Identified Mail)は、 電子メールにおける送信ドメイン認証技術の一つであり、 メールを送信する際に送信元が電子署名を行い、 受信者がそれを検証することで、 送信者のなりすましやメールの改ざんを検知できるようにするものです。

送信ドメイン認証技術DKIMとは?

迷惑メール多くは、送信元メールアドレス( Fromアドレス)を偽装しています。DKIMは、電子署名により送信元のドメインを認証し、このような送信者の偽装(なりすまし)を防ぐ技術です。

DKIMの仕組みは、まずメール送信サーバーで秘密鍵を用いて送信メールに電子署名を付加します。次に署名付きのメールを受信した受信サーバーは、送信元ドメインのDNSサーバーに問い合わせをして公開鍵を取得し、署名を照合します。

認証結果は、メールのヘッダー情報に記述されるため、メール受信者はメールの正当性を確認できます。


送信ドメイン認証技術DKIM

DKIM署名は2種類あります

署名は、メール送信者のドメインを利用する「作成者署名」と、メール送信者以外のドメインを利用する「第三者署名」といわれる署名の2種類があります。Cuenote FCでは、お客様に合ったDKIM署名をお選びいただけます。


■作成者署名のメリット

メールのヘッダー情報に表示されるFromアドレスと同じドメインで署名することができるため、より信頼性の高いメールを送信していただけます。


■第三者署名のメリット

ASPプランには、当社が用意する第三者署名があらかじめ設定されていますので、お客様は設定の手間が一切かからず、当社の電子署名付きのメールを送信できます。

DKIMとSPFの違いは?

DKIMとSPFは、電子メールの安全性、盗聴阻止、データ改ざんの防止を実現するために連携しています。どちらもDMARC(Domain-based Message Authentication Reporting and Conformance)の一部ですが、それぞれ異なる目的を果たします。DKIMは、第三者が電子メール内のデータを改ざんしていないことを確認できますが、メールの送信元が正しいのかどうかを完璧に検証できません。

一方、SPFはIPアドレスを使った認証方法のため、送信側はサーバーにIPアドレスを登録し、受信側がその情報を取得、送信元が詐称されていないかどうかを判断します。IPアドレスを使った認証なので、メールの送信元までしっかりと検証できます。

しかしSPFでは、メールの内容が改ざんされたかどうかを検知することができません。そのため、メールの正当性までは担保できないのです。

DKIMとSPFの組み合わせは、インターネット上の主要なコミュニケーションツールである電子メールシステムにセキュリティを追加するものです。電子メールは、ほとんどのユーザーがなりすましのメッセージを検出できないため、攻撃者がIDやユーザー認証情報を盗むための手段となっていました。この2つの戦略は、DMARCのルールに適用されます。DMARCは、認証に失敗した場合にメッセージがどうなるかを決定します。

大企業の場合、DMARCルールは、管理者によるレビューのためにメッセージを隔離することができます。隔離されたメッセージは、管理者が受信トレイに転送しない限り、意図した受信者には届きません。誤検出されたメッセージは、意図した受信者に転送されるため、重要なメッセージが誤って削除されることはありません。セキュリティが十分に認証された後、DKIMとSPFの認証に失敗したメッセージを自動的に削除するようにDMARCを設定することができます。

SPFとは?

DKIMとDMARCの違いは?

DMARCはDKIMとSPFをベースにしており、メールに表示されている送信元アドレスドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初の標準技術で、現在最も広く運用されている認証技術です。

 

DMARCは、DKIMとSPFが認証をパスしなかった場合にメッセージをどうするかを決定するセキュリティルールだと考えてください。DMARCは、失敗したDKIM認証に対して、「隔離」「拒否」「なし」の3つの設定を提供します。DMARCのセキュリティプロセスでは、これらの3つの段階のうち、どの段階がメッセージに適用されるかが決定されます。メールサーバーの管理者がDMARCの設定を行うため、認証に失敗したメッセージがどうなるかは管理者の設定に依存します。

メッセージがDKIM認証に失敗し、DMARCがメッセージを拒否するように設定されている場合、メールサーバーはそのメッセージを完全に拒否し、どこにも送信しません。この設定は、Gmailのような公開メールサーバーでよく見られます。Googleは、顧客がフィッシング、ハッキング、その他の個人情報盗難の被害に遭わないように、DKIMとSPFの認証に失敗した何百万ものメッセージを無条件で拒否しています。

DMARCとは?

信頼性の高い作成者署名も簡単に設定

DKIM設定の流れ

即時にDKIMキーを発行できる

作成者署名に必要な公開鍵の発行も管理画面から簡単に行え、指示通りにDNSへレコード登録するだけで利用することができます。

DKIM登録画面

DKIMキー(公開鍵)

メール作成時にDKIMキーを選択するだけ

メールを送る際、メール文書の登録画面から送信元アドレスを入力するだけで、利用可能なDKIMキーが表示されます。お客様は、選択するだけでスムーズにDKIM署名付きのメールを作成できます。

DKIM署名ドメインを選択するだけ

DNSサーバーの設定状況確認画面

DKIMキーの稼働状況を確認できる

公開鍵の参照先となるDNSサーバーの設定状況は、管理画面から簡単に確認できます。また、設定に誤りがあるDKIMキーは自動的に利用できなくなります。

DKIMキー一覧

Cuenoteシリーズの導入に関して
ご不明な点がございましたら
お気軽にお問い合わせください

ユミルリンク株式会社
受付時間 平日 10:00〜18:00
ページの先頭へ