DKIMとは?なぜメルマガ配信に必要なのか?

DKIMとは?(Vectors by Vecteezy)

 近年、企業のメール配信を狙ったなりすましやフィッシング詐欺が増加しています。そのため、メールの送信を安全に行うための認証技術がますます注目されています。

 特に2024年2月以降、Gmailが新たなメール送信者ガイドラインを導入したことで、DKIM(DomainKeys Identified Mail)の設定がより重要になっています。

 本記事では、DKIMの基本概念、他の認証技術との関係、設定の必要性などについて詳しく解説します。メールの信頼性とセキュリティを確保するための最新情報をお届けしますので、ぜひ最後までお読みください。

メール配信システムWiLL Mailは、
DKIM、SPF、DMARCに対応しています!

WiLL Mailの14日間無料トライアルを申込む

DKIMとは

 DKIM(DomainKeys Identified Mail)とは、なりすましやフィッシング詐欺などから、メール送信者と受信者の両者を保護するためのメール認証技術のひとつです。SPF、DMARCと並ぶメール配信のセキュリティ標準です。DKIMは、送信メールに電子署名を付与して、メールが正当な送信者から送られたものであることを、受信者側で検証することを可能にします。

 メールのヘッダー情報(差出人、宛先、送信日時、件名など)や、本文情報(メールのコンテンツ部分)をもとに電子署名を作成してメール認証を行い、メールの内容が送信サーバーと受信サーバーの間で、改ざんされていないことをチェックすることもできます。

 主要なISPでは、DKIMによる認証を利用していない、もしくは認証に失敗した場合、送信されたメールは受信サーバー側でブロック、または迷惑メールとして分類される可能性が高くなります。

DKIMの仕組みとは

 DKIMのメール認証の仕組みは、送信するメールのヘッダーに、メール送信元を証明するための電子署名を追加することで機能します。メールの受信サーバー側は、この電子署名が正当なものであるかを検証し、メールを受信するか、拒否するか、迷惑メール扱いとするかなどを判別します。

 電子署名の検証には、送信ドメインを管理するDNSレコード内に公開された公開鍵と、メールのヘッダーに含まれる秘密鍵が使用されます。2つの鍵が一致すれば、メールが受信箱に届けられる可能性は高くなります。鍵が一致しない、またはDKIMの電子署名が無い場合は、メールは拒否されるか、迷惑メール扱いになる可能性が高くなります。

DKIMの仕組みを表したイメージ

ステップ①
・事前に、メールの送信ドメイン側のDNSに、DKIMの公開鍵を登録する
・事前に、メールの送信サーバーに、DKIMの秘密鍵を登録する

ステップ②
・メール送信時に、秘密鍵を使ってメールに電子署名を追加する

ステップ③
・受信サーバー側から、送信ドメイン側のDNSに公開鍵を要求する

ステップ④
・DKIM認証を実行し、公開鍵と秘密鍵が一致することを検証する

SPFとDMARCとの関係は?

 現在、標準的なメール認証技術として、DKIM、SPF、DMARCの3つが主に使用されています。これらはそれぞれ補完的な役割を担っています。DKIMとSPF、DKIMとDMARC、それぞれの関係性について簡単に説明しておきます。

SPFとの関係

 SPF(Sender Policy Framework)は、DKIMと同じメール認証技術のひとつです。送信ドメインを認証する方法として、DKIMは電子署名を使用するのに対して、SPFは、あらかじめメールを送信するサーバーのIPアドレスをDNSに登録しておくことでメール送信元の正当性を検証します。

 メールを受信する側は、送られて来たメールのIPアドレスと、事前に登録されたDNSのSPFレコードが一致するかどうかを照合します。もし一致しなければ、メールは拒否されるか、迷惑メール扱いになる可能性が高くなります。

 SPFは、DNSにSPFレコードを追加するだけで導入できるため、すでに広く普及しています。ただし、転送されたメールまでは追跡できないことや、メールの内容(メールの改ざん)までは検証できないという弱点があります。その弱点を補う方法として、SPFとDKIMの両方を設定しておくことが推奨されています。

DMARCとの関係

 DMARC(Domain-based Message Authentication Reporting and Conformance)は、メールがDKIMとSPFの認証に失敗した場合に、そのメールをどう処理するかを事前に決めておくルールのことです。DMARCを設定するには、SPFとDKIM(作成者署名)を設定している必要があります。

 DMARCは、送信側ドメインのDNSにレコードとして処理方法を登録します。設定できるのは、none(メールを受信者に送信する)、quarantine(メールを隔離フォルダに移動する)、reject(メールは受信者に送信しない)の3つです。認証に失敗したメールをどう処理するかは管理者の設定によります。

 DKIMやSPFの場合、メール認証に失敗した場合の処理は、受信サーバー側のルールに委ねられます。DMARCを設定することによって、認証失敗時の処理を送信サーバー側でコントロールすることができるため、より精度の高いメール判別やセキュリティレベルの向上を可能にします。

 管理者は、DMARCの処理結果をレポートとして受け取ることができるため、SPFやDKIMの認証に失敗したメールの内容を確認し、フィッシングの脅威を早い段階で察知したり、SPFやDKIMの設定が間違っているかどうかの確認も速やかに行うことができます。

DKIM、SPF、DMARCの導入率について

 標準的なメール認証技術(DKIM、SPF、DMARC)の導入率についても見ておきましょう。総務省が発行している「電気通信事業者の送信ドメイン認証結果」の調査報告書によれば、2023年9月末時点のDKIM、SPF、DMARCの導入率は以下の通りです。

メール認証技術名 導入率
DKIM 73.72%
SPF 97.54%
DMARC 65.71%

※上記の導入率は、DNSに認証レコードが存在しない「none」以外の比率を合計して算出したものになります。

 調査報告書のデータによると、SPFは10年以上前から90%以上の導入率で広く普及しています。DKIMは10年前の導入率が23.39%で、この10年の間に導入率が50%近く上昇しており、多くの関心が寄せられていることが伺えます。DMARCについても、DKIMの普及に伴って、その導入率を伸ばして来ています。

引用元:【総務省・統計データ】電気通信事業者の送信ドメイン認証結果(SPF、DKIM、DMARC)

DKIMの2つの署名方法

 DKIMには、「第三者署名」と「作成者署名」の2つの署名方法があります。結論から言うと「作成者署名」を利用することが推奨されています。

第三者署名

 メールのFromアドレスに表示される送信者ドメインとは、異なるドメインでDKIM署名する方法です。メール配信システム等を利用している場合などは、標準では第三者署名である場合が多いでしょう。

 第三者署名は、メールの受信サーバー側で、Fromアドレスと署名するドメインの関連性を検証する必要があるため、ISPや携帯キャリアのセキュリティポリシーによっては、信頼性が下がる可能性があります。

作成者署名

 メールのFromアドレスに表示される送信者ドメインと、同じドメインでDKIM署名する方法です。同一ドメインで署名することによって、より信頼性の高いメール送信を行うことができます。

 メール配信システム利用時においても、DNSの設定を行うことで作成者署名を利用できる場合があります。詳しくは、ご利用中のメール配信システムにご確認ください。

WiLL Mail はより信頼性の高い
作成者署名DKIMに対応しています

WiLL Mailの14日間無料トライアルを申込む

DKIMの設定が必要な3つの主な理由

 なぜDKIMを設定する必要があるのでしょうか?その理由は、メール送信者と受信者の両者にとって大きなメリットが得られるからです。

1. 迷惑メール被害を未然に防止するため

 メールにDKIMを追加することによって、送信者の正当性を証明し、なりすましや、改ざんされたメールが受信者の受信フォルダに届くことを未然に防ぐことができます。

 メール受信者をフィッシング詐欺などの被害から守ると共に、企業名やブランド名が悪用されるリスクを減らし、これまでに顧客や購読者との間に築いてきた信頼関係を守ることにもつながります。

2. メールの到達率を向上させるため

 主要なISPはメールを受信する際に、DKIM署名があるかどうかチェックをしています。もしメールにDKIMを設定していない場合、送信したメールは、正しい宛先・正しい内容のメールであるか否かに関係なく、受信拒否や迷惑メール扱いになる可能性が高くなります。

 企業のメール配信において、メールキャンペーンの効果を最大化させるためには、1通でも多くのメールを読者に受信フォルダに届ける必要があります。DKIMを設定していないことが原因で、読者に届かないメールがあるのだとすれば、早急に対策を講じる必要があるのは明らかです。

3. IPアドレスの評価を高く保つため

 ISPは、迷惑メールを判別する方法として、メール送信元のIPアドレスの評価をスコア化しています。評価の低いIPアドレスから送信されたメールは、受信拒否や迷惑メール扱いになる可能性が高くなります。

 メールの安定した配信性を保つためには、ISPからの評価を長期的に高く保ち続ける必要があります。その評価対象のひとつとしてドメイン認証の有無も挙げられるため、DKIMは設定しておくに越したことはありません。

 その他の評価対象としては、過去のメール配信履歴、送信メールのエラー率、迷惑メールを送った形跡、読者からの通報履歴、ブラックリストへの掲載履歴など様々な要因が挙げられます。一度下がった評価を元に戻すのは容易なことではありませんので、担当者は、IPアドレスの評価には常に注目しておく必要があります。

DKIMの導入手順

 メール配信にDKIMを導入するまでの簡単な手順を、メールサーバー自社運用の場合と、メール配信システムを利用している場合に分けて説明します。

メールの送信サーバーを自社運用している場合

手順1
メール送信サーバーにDKIM(OpenDKIM)をインストールする

手順2
メール送信サーバーでDKIMが使えるようにOpenDKIMの設定を行う

手順3
送信ドメインごとにDKIMの公開鍵と秘密鍵のペアを作成する

手順4
送信ドメインを管轄するDNSサーバーに、DKIMの公開鍵を登録する

手順5
メールの送信サーバーに、DKIMの秘密鍵を登録する

手順6
メール送信時に、秘密鍵を使ってメールに電子署名を追加する

メール配信システムを利用している場合

 DKIM対応のメール配信システムの多くは、DKIM(作成者署名)をスムーズに導入できるような仕組みを提供しています。

手順1
メール配信システムでDKIMの公開鍵を作成する

手順2
送信ドメインを管轄するDNSサーバーに、DKIMの公開鍵を登録する

手順3
メール送信時に、秘密鍵を使ってメールに電子署名を追加する

※ご利用中のメールサーバーや、メール配信システムによって、導入手順が異なる場合があります。詳しくは、メールサーバー管理者やメール配信システム運営会社にご確認ください。

メール配信システムWiLL Mail は、
DKIM付きメール配信に対応しています

WiLL Mailの14日間無料トライアルを申込む

DKIMが正しく設定されているか確認する

 DKIMの設定が完了したら、DKIMが正しく機能していることを確認しましょう。オンラインのチェックツールの使用などいくつか確認方法がありますが、今回は実際にテストメールを送信して、メールのヘッダー情報を確認する方法をご紹介します。

Gmailでの確認方法を例に解説します。

  1. Gmail宛に、テストメールを送信する
  2. Gmailに届いたテストメールを開く
  3. 画面右上の縦の3点リーダー(︙)から、 [メッセージのソースを表示]をクリックする
  4. ソースの中から、Authentication-Results(認証結果)の行を探します
  5. dkim=passとなって入れば、DKIM認証は成功しています。pass以外になっている場合は、DKIMの設定に問題があります
  6. 同様の方法で、複数のメールクライアントで確認を行う
  7. メールが転送された場合においても、その転送先でDKIM認証(dkim=pass)されているか確認を行う

DKIMの鍵の入れ替えについて
作成したDKIMの公開鍵と秘密鍵のペアは、定期的(3ヶ月毎、四半期毎、半年毎、1年毎など)に新しい鍵と入れ替えることが推奨されています。

理由は、ハッカーなどによって鍵が漏洩した場合に、その鍵が限られた期間しか使用できないようにするためです。もし鍵の漏洩に気が付いていない場合でも、定期的な鍵の入れ替えを行っていれば、被害を小さく抑えることができます。

DKIMの鍵の入れ替え手順は、新しい公開鍵と秘密鍵のペアを登録し、数日後に古い鍵を削除します。鍵の入れ替えには、DNSの設定が必要になるため面倒に感じるかもしれませんが、定期的な鍵の入れ替えは、メールのセキュリティ対策の一環として行うようにしましょう。

Gmailのメール送信者ガイドラインとの関係について

 Gmailは、2024年2月以降に新しいメール送信者ガイドラインの適用を開始しました。ガイドラインでは、DKIM設定が非常に重要な役割を果たしているため、その関係性について解説します。

Gmailメール送信者ガイドラインの概要

 メール送信者ガイドラインには、迷惑メール対策として、Gmailアカウント宛にメールを送る場合の要件が定められています。これらの要件を満たしていない場合、メールが迷惑メール判定を受け、受信者に届かないリスクが高くなります。

 ガイドラインの要件は、「すべての送信者に適用される要件」と、「1日あたり5,000件以上のメールを送信する場合の要件」の2つに分かれています。

 特に後者の大量メールを一斉送信する場合には、要件がより厳しくなっており、DKIMの設定が非常に重要になります。

すべての送信者要件 1日5,000件以上のメール送信要件
SPFかDKIMのメール認証必須 SPFとDKIMの両方のメール認証必須
ドメインとIPアドレスがDNSで紐付けされていること
メールの送信にTLS接続を使用する
Postmaster Toolsの迷惑メール率を0.3%未満に維持すること
RFC 5322に準拠した形式のメールを作成すること
メールの送信元にGmailドメインを使用しないこと(なりすまさないこと)
メールの経路を認証するARCヘッダーを追加すること
DMARCのメール認証必須
DMARCのアライメントに合格する
ワンクリック配信停止に対応する

▼参考:Gmailメール送信者のガイドライン

DKIMがガイドラインにどのように関係するのか

 メール送信者ガイドラインでは、メール送信時のドメイン認証(SPF、DKIM、DMARC)が重要視されています。特にGmailは、送信ドメイン認証がないメールを迷惑メールとして扱う可能性が高くなっています。

 ガイドラインの「すべての送信者要件」では、SPFかDKIMのどちらかの設定が必須となっています。しかし、実際には大量メールを送らない送信者についても、SPFとDKIMの両方を設定することが推奨されています。

 理由は、SPFは、メール送信元のIPアドレスを検証する技術であり、メールの内容やヘッダーの改ざんまで検証することができません。なりすましやフィッシング詐欺が急増している中では、SPFの設定だけでは不十分であり、メールを安全に保護することができません。

 そのため、SPFと併せて、DKIMの設定も行うことで、送信元の認証とメールの内容に改ざんが無いことが証明され、送信メールのセキュリティが大幅に強化されます。結果として、送信元ドメインの信頼性が向上し、迷惑メールフィルタを通過しやすくなります。

第三者署名によるDKIMでも大丈夫?

 メール配信システムを利用している場合、第三者署名によるDKIMを利用することができます。メール送信者ガイドライン上、第三者署名によるDKIMの設定でも問題ありません。

 ただし、1日5,000件以上のメール送信する場合は、DMARCのメール認証に対応し、アライメントに合格する必要があります。この要件を満たすためには、独自ドメインを使った作成者署名のDKIM設定が必要になります。

まとめ

 いかがでしたでしょうか。メールマーケティングを行う企業にとって、DKIMやSPFを使ったメール認証を行うことは、すでに当たり前の時代になって来ています。さらにDMARCを導入することで、メール配信のセキュリティは、より強力で信頼性の高いものになるでしょう。

 メール配信システムWiLL Mail は、DKIMによるメール認証の設定が標準機能として備わっています。WiLL Mailで作成したDKIMの公開鍵を、送信ドメインを管轄するDNSサーバーに登録していただくだけで、作成者署名のDKIMを手軽に導入することが可能です。メール配信システムをご検討中の方は、お気軽にお問い合わせください。

メール配信システムWiLL Mailは、
DKIM、SPF、DMARCに対応しています!

WiLL Mailの14日間無料トライアルを申込む

著者
WiLL Cloudマーケティングチームのロゴ
WiLL Cloud マーケティングチーム ウェブマーケティングに関する情報をお届けするブログです。皆様に役に立つ情報、アップデート、イベントなど、様々なことを発信します。

メルマガ登録 »