近年、企業のメール配信を標的にした、なりすましやフィッシング詐欺などの犯罪が増え続ける中、メールの送信を安全に行うためのメール認証技術に多くの注目が集まっています。
本記事では、送信ドメイン認証技術のひとつDKIMについて、DKIMとは何か、どのように機能し、なぜ設定する必要があるのかなど、メール配信にDKIMを導入する上で、担当者が知っておくべきことを分かりやすく解説します。
メール配信システムWiLL Mailは、 |
【目次】
DKIM(DomainKeys Identified Mail)とは、なりすましやフィッシング詐欺などから、メール送信者と受信者の両者を保護するためのメール認証技術のひとつです。SPF、DMARCと並ぶメール配信のセキュリティ標準です。DKIMは、送信メールに電子署名を付与して、メールが正当な送信者から送られたものであることを、受信者側で検証することを可能にします。
メールのヘッダー情報(差出人、宛先、送信日時、件名など)や、本文情報(メールのコンテンツ部分)をもとに電子署名を作成してメール認証を行い、メールの内容が送信サーバーと受信サーバーの間で、改ざんされていないことをチェックすることもできます。
主要なISPでは、DKIMによる認証を利用していない、もしくは認証に失敗した場合、送信されたメールは受信サーバー側でブロック、または迷惑メールとして分類される可能性が高くなります。
DKIMのメール認証の仕組みは、送信するメールのヘッダーに、メール送信元を証明するための電子署名を追加することで機能します。メールの受信サーバー側は、この電子署名が正当なものであるかを検証し、メールを受信するか、拒否するか、迷惑メール扱いとするかなどを判別します。
電子署名の検証には、送信ドメインを管理するDNSレコード内に公開された公開鍵と、メールのヘッダーに含まれる秘密鍵が使用されます。2つの鍵が一致すれば、メールが受信箱に届けられる可能性は高くなります。鍵が一致しない、またはDKIMの電子署名が無い場合は、メールは拒否されるか、迷惑メール扱いになる可能性が高くなります。
ステップ①
・事前に、メールの送信ドメイン側のDNSに、DKIMの公開鍵を登録する
・事前に、メールの送信サーバーに、DKIMの秘密鍵を登録する
ステップ②
・メール送信時に、秘密鍵を使ってメールに電子署名を追加する
ステップ③
・受信サーバー側から、送信ドメイン側のDNSに公開鍵を要求する
ステップ④
・DKIM認証を実行し、公開鍵と秘密鍵が一致することを検証する
現在、標準的なメール認証技術として、DKIM、SPF、DMARCの3つが主に使用されています。これらはそれぞれ補完的な役割を担っています。DKIMとSPF、DKIMとDMARC、それぞれの関係性について簡単に説明しておきます。
SPF(Sender Policy Framework)は、DKIMと同じメール認証技術のひとつです。送信ドメインを認証する方法として、DKIMは電子署名を使用するのに対して、SPFは、あらかじめメールを送信するサーバーのIPアドレスをDNSに登録しておくことでメール送信元の正当性を検証します。
メールを受信する側は、送られて来たメールのIPアドレスと、事前に登録されたDNSのSPFレコードが一致するかどうかを照合します。もし一致しなければ、メールは拒否されるか、迷惑メール扱いになる可能性が高くなります。
SPFは、DNSにSPFレコードを追加するだけで導入できるため、すでに広く普及しています。ただし、転送されたメールまでは追跡できないことや、メールの内容(メールの改ざん)までは検証できないという弱点があります。その弱点を補う方法として、SPFとDKIMの両方を設定しておくことが推奨されています。
https://willcloud.jp/blog/mail/spf-setting次世代メール配信システム WiLL Mailwillcloud.jp
DMARC(Domain-based Message Authentication Reporting and Conformance)は、メールがDKIMとSPFの認証に失敗した場合に、そのメールをどう処理するかを事前に決めておくルールのことです。DMARCを設定するには、SPFとDKIM(作成者署名)を設定している必要があります。
DMARCは、送信側ドメインのDNSにレコードとして処理方法を登録します。設定できるのは、none(メールを受信者に送信する)、quarantine(メールを隔離フォルダに移動する)、reject(メールは受信者に送信しない)の3つです。認証に失敗したメールをどう処理するかは管理者の設定によります。
DKIMやSPFの場合、メール認証に失敗した場合の処理は、受信サーバー側のルールに委ねられます。DMARCを設定することによって、認証失敗時の処理を送信サーバー側でコントロールすることができるため、より精度の高いメール判別やセキュリティレベルの向上を可能にします。
管理者は、DMARCの処理結果をレポートとして受け取ることができるため、SPFやDKIMの認証に失敗したメールの内容を確認し、フィッシングの脅威を早い段階で察知したり、SPFやDKIMの設定が間違っているかどうかの確認も速やかに行うことができます。
標準的なメール認証技術(DKIM、SPF、DMARC)の導入率についても見ておきましょう。総務省が発行している「電気通信事業者の送信ドメイン認証結果」の調査報告書によれば、2022年3月末時点のDKIM、SPF、DMARCの導入率は以下の通りです。
メール認証技術名 | 導入率 |
---|---|
DKIM | 70.78% |
SPF | 95.29% |
DMARC | 59.74% |
※上記の導入率は、DNSに認証レコードが存在しない「none」以外の比率を合計して算出したものになります。
調査報告書のデータによると、SPFは10年以上前から90%以上の導入率で広く普及しています。DKIMは10年前の導入率が23.39%で、この10年の間に導入率が50%近く上昇しており、多くの関心が寄せられていることが伺えます。DMARCについても、DKIMの普及に伴って、その導入率を伸ばして来ています。
引用元:【総務省・統計データ】電気通信事業者の送信ドメイン認証結果(SPF、DKIM、DMARC)
DKIMには、「第三者署名」と「作成者署名」の2つの署名方法があります。結論から言うと「作成者署名」を利用することが推奨されています。
メールのFromアドレスに表示される送信者ドメインとは、異なるドメインでDKIM署名する方法です。メール配信システム等を利用している場合などは、標準では第三者署名である場合が多いでしょう。
第三者署名は、メールの受信サーバー側で、Fromアドレスと署名するドメインの関連性を検証する必要があるため、ISPや携帯キャリアのセキュリティポリシーによっては、信頼性が下がる可能性があります。
メールのFromアドレスに表示される送信者ドメインと、同じドメインでDKIM署名する方法です。同一ドメインで署名することによって、より信頼性の高いメール送信を行うことができます。
メール配信システム利用時においても、DNSの設定を行うことで作成者署名を利用できる場合があります。詳しくは、ご利用中のメール配信システムにご確認ください。
WiLL Mail はより信頼性の高い |
なぜDKIMを設定する必要があるのでしょうか?その理由は、メール送信者と受信者の両者にとって大きなメリットが得られるからです。
メールにDKIMを追加することによって、送信者の正当性を証明し、なりすましや、改ざんされたメールが受信者の受信フォルダに届くことを未然に防ぐことができます。
メール受信者をフィッシング詐欺などの被害から守ると共に、企業名やブランド名が悪用されるリスクを減らし、これまでに顧客や購読者との間に築いてきた信頼関係を守ることにもつながります。
主要なISPはメールを受信する際に、DKIM署名があるかどうかチェックをしています。もしメールにDKIMを設定していない場合、送信したメールは、正しい宛先・正しい内容のメールであるか否かに関係なく、受信拒否や迷惑メール扱いになる可能性が高くなります。
企業のメール配信において、メールキャンペーンの効果を最大化させるためには、1通でも多くのメールを読者に受信フォルダに届ける必要があります。DKIMを設定していないことが原因で、読者に届かないメールがあるのだとすれば、早急に対策を講じる必要があるのは明らかです。
ISPは、迷惑メールを判別する方法として、メール送信元のIPアドレスの評価をスコア化しています。評価の低いIPアドレスから送信されたメールは、受信拒否や迷惑メール扱いになる可能性が高くなります。
メールの安定した配信性を保つためには、ISPからの評価を長期的に高く保ち続ける必要があります。その評価対象のひとつとしてドメイン認証の有無も挙げられるため、DKIMは設定しておくに越したことはありません。
その他の評価対象としては、過去のメール配信履歴、送信メールのエラー率、迷惑メールを送った形跡、読者からの通報履歴、ブラックリストへの掲載履歴など様々な要因が挙げられます。一度下がった評価を元に戻すのは容易なことではありませんので、担当者は、IPアドレスの評価には常に注目しておく必要があります。
メール配信にDKIMを導入するまでの簡単な手順を、メールサーバー自社運用の場合と、メール配信システムを利用している場合に分けて説明します。
手順1
メール送信サーバーにDKIM(OpenDKIM)をインストールする
手順2
メール送信サーバーでDKIMが使えるようにOpenDKIMの設定を行う
手順3
送信ドメインごとにDKIMの公開鍵と秘密鍵のペアを作成する
手順4
送信ドメインを管轄するDNSサーバーに、DKIMの公開鍵を登録する
手順5
メールの送信サーバーに、DKIMの秘密鍵を登録する
手順6
メール送信時に、秘密鍵を使ってメールに電子署名を追加する
DKIM対応のメール配信システムの多くは、DKIM(作成者署名)をスムーズに導入できるような仕組みを提供しています。
手順1
メール配信システムでDKIMの公開鍵を作成する
手順2
送信ドメインを管轄するDNSサーバーに、DKIMの公開鍵を登録する
手順3
メール送信時に、秘密鍵を使ってメールに電子署名を追加する
※ご利用中のメールサーバーや、メール配信システムによって、導入手順が異なる場合があります。詳しくは、メールサーバー管理者やメール配信システム運営会社にご確認ください。
メール配信システムWiLL Mail は、 |
DKIMの設定が完了したら、DKIMが正しく機能していることを確認しましょう。オンラインのチェックツールの使用などいくつか確認方法がありますが、今回は実際にテストメールを送信して、メールのヘッダー情報を確認する方法をご紹介します。
Gmailでの確認方法を例に解説します。
DKIMの鍵の入れ替えについて 理由は、ハッカーなどによって鍵が漏洩した場合に、その鍵が限られた期間しか使用できないようにするためです。もし鍵の漏洩に気が付いていない場合でも、定期的な鍵の入れ替えを行っていれば、被害を小さく抑えることができます。 DKIMの鍵の入れ替え手順は、新しい公開鍵と秘密鍵のペアを登録し、数日後に古い鍵を削除します。鍵の入れ替えには、DNSの設定が必要になるため面倒に感じるかもしれませんが、定期的な鍵の入れ替えは、メールのセキュリティ対策の一環として行うようにしましょう。 |
いかがでしたでしょうか。メールマーケティングを行う企業にとって、DKIMやSPFを使ったメール認証を行うことは、すでに当たり前の時代になって来ています。さらにDMARCを導入することで、メール配信のセキュリティは、より強力で信頼性の高いものになるでしょう。
メール配信システムWiLL Mail は、DKIMによるメール認証の設定が標準機能として備わっています。WiLL Mailで作成したDKIMの公開鍵を、送信ドメインを管轄するDNSサーバーに登録していただくだけで、作成者署名のDKIMを手軽に導入することが可能です。メール配信システムをご検討中の方は、お気軽にお問い合わせください。
メール配信システムWiLL Mailは、 |