DKIMとは?
【2024年2月~】Gmailガイドライン変更におけるCuenoteFCの対応
DKIM(Domain Keys Identified Mail)は、電子メールにおける送信ドメイン認証技術の一つであり、メールを送信する際に送信元が電子署名を行い、受信者がそれを検証することで、送信者のなりすましやメールの改ざんを検知できるようにするものです。
迷惑メールの多くは、送信元メールアドレス(Fromアドレス)を偽装しています。DKIMは、電子署名により送信元のドメインを認証し、このような送信者の偽装(なりすまし)を防ぐ技術です。
DKIMの仕組みとは?
DKIMの仕組みを紹介します。
まず、メール送信サーバーで秘密鍵を用いて送信メールに電子署名を付加します。次に署名付きのメールを受信した受信サーバーは、送信元ドメインのDNSサーバーに問い合わせをして公開鍵を取得し、
署名を照合します。認証結果は、メールのヘッダー情報に記述されるため、メール受信者はメールの正当性を確認できるようになるという仕組みです。
DKIM署名の種類とは?
署名は、メール送信者のドメインを利用する「作成者署名」と、メール送信者以外のドメインを利用する「第三者署名」の2種類があります。弊社の提供するメール配信システム「Cuenote FC」では、お客様に合ったDKIM署名をお選びいただけます。
以下では「作成者署名」と「第三者署名」それぞれのメリットを紹介します。
メールのヘッダー情報に表示されるFromアドレスと同じドメインで署名することができるため、より信頼性の高いメールを送信していただけます。
■第三者署名のメリット
「Cuenote FC」専用ASPプラン(サーバー・IPアドレスを独占)には、当社が用意する第三者署名があらかじめ設定されていますので、お客様は設定の手間が一切かからず、当社の電子署名付きメールを送信できます。
DKIMとSPFの違いは?
DKIMとSPFは、電子メールの安全性、盗聴阻止、データ改ざんの防止を実現するために連携しています。どちらもDMARC(Domain-based Message Authentication Reporting and Conformance)の一部ですが、それぞれ異なる目的を果たします。
DKIMは、第三者が電子メール内のデータを改ざんしていないことを確認できますが、メールの送信元が正しいかどうかを完璧に検証できません。
一方、SPFは、IPアドレスを使った認証方法のため、送信側はサーバーにIPアドレスを登録し、受信側がその情報を取得することで送信元が詐称されていないかどうかを判断します。IPアドレスを使った認証なので、メールの送信元までしっかりと検証できます。
しかし、SPFでは、メールの内容が改ざんされたかどうかを検知することはできません。そのため、メールの正当性までは担保できないのです。
DKIMとSPFの組み合わせは、インターネット上の主要なコミュニケーションツールである電子メールシステムにセキュリティを追加するものです。 電子メールは、ほとんどのユーザーがなりすましのメッセージを検出できないため、攻撃者がIDやユーザー認証情報を盗むための手段となっていました。 この2つの戦略は、DMARCのルールに適用されます。DMARCは、認証に失敗した場合にメッセージがどうなるかを決定します。
大企業の場合、DMARCルールは、管理者によるレビューのためにメッセージを隔離することができます。隔離されたメッセージは、管理者が受信トレイに転送しない限り、意図した受信者には届きません。 誤検出されたメッセージは、意図した受信者に転送されるため、重要なメッセージが誤って削除されることはありません。セキュリティが十分に認証された後、DKIMとSPFの認証に失敗したメッセージを自動的に削除するようにDMARCを設定することができます。
DKIMとDMARCの違いは?
DMARCは、DKIMとSPFをベースにしており、メールに表示されている送信元アドレスのドメインがなりすまされていないか、信頼できるものかどうかを判断することができる最初の標準技術で、現在最も広く運用されている認証技術です。 DMARCは、DKIMとSPFが認証をパスしなかった場合にメッセージをどうするかを決定するセキュリティルールだと考えてください。
DMARCは、失敗したDKIM認証に対して、「隔離」「拒否」「なし」の3つの設定を提供します。DMARCのセキュリティプロセスでは、これらの3つの段階のうち、どの段階がメッセージに適用されるかが決定されます。 メールサーバーの管理者がDMARCの設定を行うため、認証に失敗したメッセージがどうなるかは管理者の設定に依存します。
メッセージがDKIM認証に失敗し、DMARCがメッセージを拒否するように設定されている場合、メールサーバーはそのメッセージを完全に拒否し、どこにも送信しません。 この設定は、Gmailのような公開メールサーバーでよく見られます。Googleは、顧客がフィッシング、ハッキング、その他の個人情報盗難の被害に遭わないように、DKIMとSPFの認証に失敗した何百万ものメッセージを無条件で拒否しています。
「Cuenote」は信頼性の高い作成者署名も簡単に設定が可能
即時にDKIMキーを発行できる
作成者署名に必要な公開鍵の発行も管理画面から簡単に行え、指示通りにDNSへレコード登録するだけで利用することができます。
メール作成時にDKIMキーを選択するだけ
メールを送る際、メール文書の登録画面から送信元アドレスを入力するだけで、利用可能なDKIMキーが表示されます。お客様は、選択するだけでスムーズにDKIM署名付きのメールを作成できます。
DKIMキーの稼働状況を確認できる
公開鍵の参照先となるDNSサーバーの設定状況は、管理画面から簡単に確認できます。また、設定に誤りがあるDKIMキーは自動的に利用できなくなります。
ユミルリンクの迷惑メールに対する取り組み
ユミルリンク株式会社では、メール配信システム「Cuenote FC」を提供するサービス事業者として、迷惑メール対策に積極的に取り組んでいます。
「SPF」「DKIM」「S/MIME」といったなりすまし対策に必要な機能を提供可能となっており、今後さらに進むであろうなりすまし対策にも順次対応する姿勢です。