DKIMとは？なぜメルマガ配信に必要なのか？

　近年、企業のメール配信を狙ったなりすましやフィッシング詐欺が増加しています。そのため、メールの送信を安全に行うための認証技術がますます注目されています。

　特に2024年2月以降、Gmailが新たなメール送信者ガイドラインを導入したことで、DKIM（DomainKeys Identified Mail）の設定はこれまで以上に重要になっており、SPFやDMARCの対応も欠かせなくなっています。

　本記事では、DKIMの基本概念、他の認証技術との関係、設定の必要性などについて詳しく解説します。メールの信頼性とセキュリティを確保するための最新情報をお届けしますので、ぜひ最後までお読みください。

DKIMとは

　DKIM（DomainKeys Identified Mail）とは、なりすましやフィッシング詐欺などから、メール送信者と受信者の両者を保護するためのメール認証技術のひとつです。SPF、DMARCと並ぶメール配信のセキュリティ標準です。

　DKIMは、送信メールに電子署名を付与して、メールが正当な送信者から送られたものであることを、受信者側で検証することを可能にします。

　メールのヘッダー情報（差出人、宛先、送信日時、件名など）や、本文（メールのコンテンツ部分）をもとに電子署名を作成してメール認証を行い、メールの内容が送信サーバーと受信サーバーの間で、改ざんされていないことをチェックすることもできます。

　主要なISPでは、DKIMによる認証を利用していない、もしくは認証に失敗した場合、送信されたメールは受信サーバー側でブロック、または迷惑メールとして分類される可能性が高くなります。

DKIMの仕組みとは

　DKIMのメール認証の仕組みは、送信メールに「秘密鍵」を使って電子署名が追加されます。この署名は「DKIM-Signature」と呼ばれる形式でメールヘッダーに追加されます。秘密鍵は送信サーバー側で管理され、外部に公開されることはありません。

　送信メールの電子署名の検証には、送信ドメインを管理するDNSに公開された「公開鍵」が使用されます。受信側はDNSから公開鍵を取得し、その署名が正しいかどうかを検証します。

　この検証に成功すれば、メールが正当な送信者から送られたものである可能性が高くなります。一方で検証に失敗した場合や電子署名が付与されていない場合は、メールは拒否されたり、迷惑メール扱いになる可能性が高くなります。

ステップ①：鍵のペアを登録
・事前に、メールの送信ドメイン側のDNSに、DKIMの公開鍵を登録する
・事前に、メールの送信サーバーに、DKIMの秘密鍵を登録する

ステップ②：署名付与
・メール送信時に、秘密鍵を使ってメールに電子署名を追加する

ステップ③：公開鍵を要求
・受信サーバー側から、送信ドメイン側のDNSに公開鍵を要求する

ステップ④：認証実行
・DKIM認証を実行し、公開鍵を使って電子署名が正しいかどうかを検証する

DKIMはどのようにメールの改ざんを検知しているのか

　DKIMは、送信メールの内容から「ハッシュ値」と呼ばれるデータを作成し、それをもとに電子署名を生成して改ざんの有無を検知する仕組みです。

　ハッシュ値とは、メールの本文やヘッダー情報の一部をもとに計算される値で、送信メールの内容が少しでも変わると全く別の値になります。わかりやすく例えるならメールの”指紋”のようなものです。

　この仕組みにより、もしも送信されたメールが途中で改ざんされているとハッシュ値が変わるため、受信側のDKIM検証は失敗します。これにより、メールが改ざんされている可能性を検知することができます。

　また、検証に成功した場合は、そのメールが送信時の内容のまま届けられていることの確認にもつながります。

DKIM-Signatureとは何か

　DKIMで付与される電子署名は、「DKIM-Signature」と呼ばれる形式でメールヘッダーに追加されます。これは、メールの検証に必要な情報がまとめられたデータです。

　DKIM-Signatureには、署名に使用されたドメイン（d=）や、公開鍵を取得するためのセレクタ（s=）、本文から作成されたハッシュ値（bh=）などが含まれています。

　受信側はこれらの情報をもとにDNSから公開鍵を取得し、メールに付与された署名データ（b=）が正しいかどうかを検証します。

　このようにDKIM-Signatureには、メールの改ざんの有無や、署名されたドメインによる送信であるかを確認するための情報が含まれており、この検証に成功することで、そのメールの信頼性を判断することができます。

DKIMの鍵は定期的な管理が必要

　DKIMの仕組みは、公開鍵と秘密鍵のペアを利用して電子署名の検証を行うことで成り立っているため、これらの鍵を適切に管理することが、DKIMによる認証を正しく機能させるうえで重要になります。

　DKIMで使用する鍵は、一度設定したら終わりではなく、継続的に管理する必要があります。これはメールの信頼性を維持するためのセキュリティ対策として、計画的に実施することが大切です。

　特に同じ鍵を長期間使い続けると、万が一鍵が漏洩した場合の影響が大きくなるリスクがあります。そのためDKIMでは、一定期間ごと鍵を入れ替えることが推奨されています。

　また、鍵の強度も重要なポイントです。DKIMでは、1024bitまたは2048bitの鍵長が使用されており、利用する環境や運用方針に応じて適切な鍵長を選択することが重要です。

SPFとDMARCとの関係は？

　現在のメール認証は、SPF・DKIM・DMARCを組み合わせて運用するのが一般的であり、単体ではなくセットで機能する仕組みとして理解することが重要です。ここでは、DKIMとSPF、DKIMとDMARCの関係性について説明します。

SPFとの関係

　SPF（Sender Policy Framework）は、DKIMと同じメール認証技術のひとつです。送信ドメインを認証する方法として、DKIMは電子署名を使用するのに対して、SPFは、あらかじめメールを送信するサーバーのIPアドレスをDNSに登録しておくことでメール送信元の正当性を検証します。

　メールを受信する側は、送られて来たメールのIPアドレスと、事前に登録されたDNSのSPFレコードが一致するかどうかを照合します。もし一致しなければ、メールは拒否されるか、迷惑メール扱いになる可能性が高くなります。

　SPFは、DNSにSPFレコードを追加するだけで導入できるため、すでに広く普及しています。ただし、転送されたメールまでは追跡できないことや、メールの内容（メールの改ざん）までは検証できないという弱点があります。その弱点を補う方法として、SPFとDKIMの両方を設定しておくことが推奨されています。

DMARCとの関係

　DMARC（Domain-based Message Authentication Reporting and Conformance）は、メールがDKIMとSPFの認証に失敗した場合に、そのメールをどう処理するかを事前に決めておくルールのことです。DMARCを設定するには、SPFとDKIM（作成者署名）を設定している必要があります。

　DMARCは、送信側ドメインのDNSにレコードとして処理方法を登録します。設定できるのは、none（メールを受信者に送信する）、quarantine（メールを隔離フォルダに移動する）、reject（メールは受信者に送信しない）の3つです。認証に失敗したメールをどう処理するかは管理者の設定によります。

　DKIMやSPFの場合、メール認証に失敗した場合の処理は、受信サーバー側のルールに委ねられます。DMARCを設定することによって、認証失敗時の処理を送信サーバー側でコントロールすることができるため、より精度の高いメール判別やセキュリティレベルの向上を可能にします。

　管理者は、DMARCの処理結果をレポートとして受け取ることができるため、SPFやDKIMの認証に失敗したメールの内容を確認し、フィッシングの脅威を早い段階で察知したり、SPFやDKIMの設定が間違っているかどうかの確認も速やかに行うことができます。

DKIM、SPF、DMARCの導入率について

　標準的なメール認証技術（DKIM、SPF、DMARC）の導入率についても見ておきましょう。総務省が発行している「電気通信事業者の送信ドメイン認証結果」の調査報告書によれば、2025年9月末時点のDKIM、SPF、DMARCの導入率は以下の通りです。

※上記の導入率は、DNSに認証レコードが存在しない「none」以外の比率を合計して算出したものになります。

　調査報告書のデータを見ると、DKIMは約86%、DMARCは90%を超えており、メール認証はすでに広く普及していることが分かります。特にDMARCは近年大きく導入が進み、送信ドメイン認証の中心的な役割を担う仕組みに変化しています。

　一方でSPFも86%を超えて依然として高い導入率を維持していますが、以前のように単独で評価されるものではなく、DKIMやDMARCと組み合わせて運用することが前提となりつつあります。現在は、これらを正しく連携させた「整合性のある運用」が重要視されています。

　近年では、GmailやOutlookなどの主要メールサービスにおいて、SPF・DKIM・DMARCの設定が強く推奨されており、特にメールマーケティングを行う企業にとっては、実質的に必須の対策となりつつあります。

引用元：【総務省・統計データ】電気通信事業者の送信ドメイン認証結果（SPF、DKIM、DMARC）

DKIMの2つの署名方法

　DKIMには「第三者署名」と「作成者署名」の2つの方式がありますが、現在は「作成者署名」の利用が推奨されています。

第三者署名

　メールのFromアドレスに表示される送信者ドメインとは、異なるドメインでDKIM署名する方法です。メール配信システム等を利用している場合などは、標準では第三者署名である場合が多いでしょう。

　第三者署名は、メールの受信サーバー側で、Fromアドレスと署名するドメインの関連性を検証する必要があるため、ISPや携帯キャリアのセキュリティポリシーによっては、信頼性が下がる可能性があります。

作成者署名

　メールのFromアドレスに表示される送信者ドメインと、同じドメインでDKIM署名する方法です。同一ドメインで署名することによって、より信頼性の高いメール送信を行うことができます。

　メール配信システム利用時においても、DNSの設定を行うことで作成者署名を利用できる場合があります。詳しくは、ご利用中のメール配信システムにご確認ください。

DKIMの設定が必要な3つの主な理由

　なぜDKIMを設定する必要があるのでしょうか？その理由は、メール送信者と受信者の両者にとって大きなメリットが得られるからです。

1. 迷惑メール被害を未然に防止するため

　メールにDKIMを追加することによって、送信者の正当性を証明し、なりすましや、改ざんされたメールが受信者の受信フォルダに届くことを未然に防ぐことができます。

　メール受信者をフィッシング詐欺などの被害から守ると共に、企業名やブランド名が悪用されるリスクを減らし、これまでに顧客や購読者との間に築いてきた信頼関係を守ることにもつながります。

2. メールの到達率を向上させるため

　主要なISPはメールを受信する際に、DKIM署名があるかどうかチェックをしています。もしメールにDKIMを設定していない場合、送信したメールは、正しい宛先・正しい内容のメールであるか否かに関係なく、受信拒否や迷惑メール扱いになる可能性が高くなります。

　企業のメール配信において、メールキャンペーンの効果を最大化させるためには、1通でも多くのメールを読者に受信フォルダに届ける必要があります。DKIMを設定していないことが原因で、読者に届かないメールがあるのだとすれば、早急に対策を講じる必要があるのは明らかです。

3. IPアドレスの評価を高く保つため

　ISPは、迷惑メールを判別する方法として、メール送信元のIPアドレスの評価をスコア化しています。評価の低いIPアドレスから送信されたメールは、受信拒否や迷惑メール扱いになる可能性が高くなります。

　メールの安定した配信性を保つためには、ISPからの評価を長期的に高く保ち続ける必要があります。その評価対象のひとつとしてドメイン認証の有無も挙げられるため、DKIMは設定しておくに越したことはありません。

　その他の評価対象としては、過去のメール配信履歴、送信メールのエラー率、迷惑メールを送った形跡、読者からの通報履歴、ブラックリストへの掲載履歴など様々な要因が挙げられます。一度下がった評価を元に戻すのは容易なことではありませんので、担当者は、IPアドレスの評価には常に注目しておく必要があります。

DKIMの導入手順

　メール配信にDKIMを導入するまでの簡単な手順を、メールサーバー自社運用の場合と、メール配信システムを利用している場合に分けて説明します。

メールの送信サーバーを自社運用している場合

手順1
メール送信サーバーにDKIM（OpenDKIM）をインストールする

手順2
メール送信サーバーでDKIMが使えるようにOpenDKIMの設定を行う

手順3
送信ドメインごとにDKIMの公開鍵と秘密鍵のペアを作成する

手順4
送信ドメインを管轄するDNSサーバーに、DKIMの公開鍵を登録する

手順5
メールの送信サーバーに、DKIMの秘密鍵を登録する

手順6
設定後は、メール送信時にシステム側で自動的に電子署名が付与される

メール配信システムを利用している場合

　DKIM対応のメール配信システムの多くは、DKIM（作成者署名）をスムーズに導入できるような仕組みを提供しています。

手順1
メール配信システムでDKIMの公開鍵を作成する

手順2
送信ドメインを管轄するDNSサーバーに、DKIMの公開鍵を登録する

手順3
設定後は、メール送信時にシステム側で自動的に電子署名が付与される

※ご利用中のメールサーバーや、メール配信システムによって、導入手順が異なる場合があります。詳しくは、メールサーバー管理者やメール配信システム運営会社にご確認ください。

DKIMが正しく設定されているか確認する

　DKIMの設定が完了したら、DKIMが正しく機能していることを実際に確認してみましょう。オンラインのチェックツールの使用などいくつか確認方法がありますが、今回は実際にテストメールを送信して、メールのヘッダー情報を確認する方法をご紹介します。

Gmailでの確認方法を例に解説します。

Gmailのメール送信者ガイドラインとの関係について

　Gmailは、2024年2月以降に新しいメール送信者ガイドラインの適用を開始しました。ガイドラインでは、DKIM設定が非常に重要な役割を果たしているため、その関係性について解説します。

Gmailメール送信者ガイドラインの概要

　メール送信者ガイドラインには、迷惑メール対策として、Gmailアカウント宛にメールを送る場合の要件が定められています。これらの要件を満たしていない場合、メールが迷惑メール判定を受け、受信者に届かないリスクが高くなります。

　ガイドラインの要件は、「すべての送信者に適用される要件」と、「1日あたり5,000件以上のメールを送信する場合の要件」の2つに分かれています。

　特に後者の大量メールを一斉送信する場合には、要件がより厳しくなっており、DKIMの設定が非常に重要になります。

▼参考：Gmailメール送信者のガイドライン

DKIMがガイドラインにどのように関係するのか

　メール送信者ガイドラインでは、メール送信時のドメイン認証（SPF、DKIM、DMARC）が重要視されています。特にGmailは、送信ドメイン認証がないメールを迷惑メールとして扱う可能性が高くなっています。

　ガイドラインの「すべての送信者要件」では、SPFかDKIMのどちらかの設定が必須となっています。しかし、実際には大量メールを送らない送信者についても、SPFとDKIMの両方を設定することが推奨されています。

　理由は、SPFは、メール送信元のIPアドレスを検証する技術であり、メールの内容やヘッダーの改ざんまで検証することができません。なりすましやフィッシング詐欺が急増している中では、SPFの設定だけでは不十分であり、メールを安全に保護することができません。

　そのため、SPFと併せて、DKIMの設定も行うことで、送信元の認証とメールの内容に改ざんが無いことが証明され、送信メールのセキュリティが大幅に強化されます。結果として、送信元ドメインの信頼性が向上し、迷惑メールフィルタを通過しやすくなります。

第三者署名によるDKIMでも大丈夫？

　メール配信システムを利用している場合、第三者署名によるDKIMを利用することができます。メール送信者ガイドライン上、第三者署名によるDKIMの設定でも問題ありません。

　ただし、1日5,000件以上のメール送信する場合は、DMARCのメール認証に対応し、アライメントに合格する必要があります。この要件を満たすためには、独自ドメインを使った作成者署名のDKIM設定が必要になります。

まとめ

　メールマーケティングを行う企業にとって、DKIMやSPFといったメール認証の導入は、すでに前提となりつつあります。さらにDMARCを組み合わせることで、なりすまし対策だけでなく、メール配信の信頼性やセキュリティをより高めることができます。

　メール配信システム「WiLL Mail」では、DKIMによるメール認証の設定を標準機能として提供しています。発行した公開鍵を送信ドメインのDNSサーバーに登録することで、作成者署名によるDKIMを導入することが可能です。これからメール配信の環境を見直したい方は、お気軽にお問い合わせください。