DKIMの設定・確認方法を解説！Gmailでは設定が必須に！？

メールのセキュリティと信頼性を高めるために、DKIM（DomainKeys Identified Mail）の設定は非常に重要です。

DKIMはドメイン認証技術の一つであり、電子署名に基づいてメール送信者のドメイン認証を行います。DKIMを導入することでメールの信頼性が向上するため、なりすましメールや詐欺メール被害が増えている現代において設定が推奨されています。

また、2024年2月以降に変更されたGmailの送信者ガイドラインにおいて、1日5000件以上のメールを配信する場合にDKIMの設定は必須となりました。

この記事では、DKIMの基本的な知識を解説し、メリットや設定方法、SPFやDMARCとの違いなどについても解説します。

DKIMとは

DKIMは、DomainKeys Identified Mailの略称です。上述した通り電子署名に基づいてメール送信者のドメイン認証を行う技術であり、署名の検証を行うことでメール内容が改ざんされていないか確認できます。

最初からDKIMの技術が完成していたわけではなく、DomainKeys（Yahoo!）とIdentified Internet mail（Cisco）という2つの技術を組み合わせたことでDKIMとして完成しました。

きっかけは、両者が社会問題ともいえる偽装メール対策について技術協力をはじめたことです。2007年に大本となる「RFC4871」を公開した後、何段階かの改良を行って標準化が進められ、現在ではインターネット標準の認証技術として知られています。

この技術により、フィッシング詐欺やスパムメールの防止に寄与しています。

 DKIMの仕組み

DKIMの仕組みは以下の通りです。送信サーバーがメールヘッダにデジタル署名を加え、受信サーバーがその署名を検証する流れとなります。

1. 送信メールサーバー上で電子署名を作成する（秘密鍵の所有者のみ作成可能）
2. 作成した電子署名をヘッダーフィールドにDKIM-Signatureとして付与する
3. 秘密鍵に対応する公開鍵を作成する
4. 作成した公開鍵をDKIMレコードとしてDNSサーバーに登録する
5. 電子署名が付与されたメールを送信する
6. 受信側が公開鍵情報をDNSサーバーから取得する
7. 取得した公開鍵情報とメールに付与されている電子署名を検証する
8. 検証に問題がなければ、送信者の身元とメールの内容が改ざんされていないことが保証される

DKIMの種類

DKIMには、作成者署名と第三者署名の2つの署名方法があります。

作成者署名はメール作成者のドメインで署名する必要があり、DNSサーバーへの設定もしなければなりません。一方、第三者署名はメール作成者のドメインとは異なるドメインでも署名可能です。

一般的に安全性と信頼性を最優先する場合は、作成者署名が推奨されますが、メールフローが複雑で中継者の認証が必要な場合は、第三者署名も有用となります。

作成者署名

作成者署名は、メールの元の作成者、つまり実際にメールを送信した人や組織がそのメールに付加するDKIM署名です。

この署名は、メールの内容が送信元から受信者に届くまでの間、改ざんされていないことを保証するものです。

第三者署名

第三者署名は、メールの元の作成者ではなく、メール送信サービスやメーリングリスト管理者などの第三者によってメールに付加されるDKIM署名です。

メールが作成された後、何らかの理由で第三者のサーバーを経由して転送される場合）、その第三者はメールに自身のDKIM署名を追加することがあります。

この第三者署名によって、メールが第三者によって転送されたこと、そしてその転送プロセス中にメールの内容が改ざんされていないことが保証されます。

DKIMの必要性

メールの信頼性を確保し、受信者が安心してメールを開けるようにするためには、DKIMの設定が必須です。DKIMはメール内容の改ざんを検知できるため、メールの正当性を保証できます。

メール認証技術の目的は迷惑メールやなりすましメールを防止することです。特にビジネスメールでは、送信元の認証を行うことで、企業の信頼性を高めることができます。

また、スパムメールやフィッシング攻撃への有効な対策ともなり、結果的にメール到達率の向上にもつながります。なお、DKIMのほかにSPFやDMARCといった技術もありますが、それぞれ役割が異なるため、詳しくは後述します。

迷惑メールやなりすましメールの被害に遭うのは民間企業だけではありません。公的機関や教育機関も例外なく被害に遭う恐れがあるため、DKIMのような送信ドメイン認証技術を導入する必要があります。

万が一、迷惑メールの被害に遭うと顧客データの流出といった一時的な被害から始まり、データ流出による社会的信用の喪失といった長期的な被害につながります。このような被害に遭わないためには、DKIMのような認証技術の導入が重要です。

DKIMの導入率

2022年12月時点の国内各ISPにおけるDKIMの導入率は約52.2％です。一方、JPドメインにおけるSPF（送信ドメイン認証技術の一つ）の導入率は約77.2％となっています。

単純な比較はできませんが、SPFと比較するとDKIMはやや導入率の面では劣っているといえるでしょう。

参考：一般財団法人 日本データ通信協会発表のデータをもとに算出、総務省 情報通信白書

DKIMのメリット

DKIMを導入することでメールの信頼性が上がるのはもちろん、メール到達率の改善も見込まれます。そのほかさまざまなメリットが得られるため、詳しく見てみましょう。

受信側が安心してメールを開ける

DKIMを導入する最も大きなメリットは、メールの信頼性が上がることです。送信ドメインが認証されていることで受信側も安心してメールを開けます。

メールに記載されている情報にSPF/DKIMの認証結果も書かれており、例えばGmailの場合はメッセージのソースを開き、SPFやDKIMの欄にPASSと表示されていれば信頼できるメールといえます。

また、SPF/DKIMといったメールの認証技術を導入している企業の場合、第三者から見てセキュリティ対策をしている企業として評価されるため、取引先からの信頼を得られるでしょう。

メール到達率が改善する

DKIMにはメール到達率の改善効果があります。メールの到達率が向上する主な理由は以下の通りです。

• 認証と信頼性の向上
• スパムフィルタリングの回避
• 送信者の評価向上
• 受信者の信頼獲得

ドメイン認証技術で認証されていればスパムメールと誤認されにくくなり、送信エラーや迷惑メールへの振り分けが減れば、メール到達率が改善されます。 

スパム対策につながる

前述の通り、DKIMを導入することはスパム対策になります。受信側にスパムフィルターをかけられてもDKIMが使用されているため、スパムだと誤判定されるリスクはほぼありません。スパム誤判定のリスク減少以外のほかに、不正な送信者の特定が容易になるメリットもあります。

なお、一企業だけがDKIMのようなドメイン認証技術を導入するのではなく、数多くの企業が導入すればインターネット全体のスパム対策が進むことになります。ビジネスメール詐欺やフィッシング詐欺などさまざまな詐欺被害を減らすことにつながるため、送信ドメイン認証技術の導入はおすすめです。

GmailにおけるDKIMの義務化

Gmailのメール送信者ガイドラインが更新され、2024年2月以降、Gmailアカウントに1日あたり5,000件以上のメールを送信する場合、主に以下の要件を満たさなければならなくなりました。

1. 送信メールの認証を行う（SPF及びDKIM）
2. 未承諾のメールや迷惑メールは送信してはいけない
3. メールマガジンなどはメール受信者が容易に解除できるように設定する

上記3つの項目をすべて満たすと、個人のGmailアカウントにメールを配信できるようになります。なお、個人のGmailアカウントとは、メールアドレスの末尾が「@gmail.com」「@googlemail.com」になっているアカウントのことです。

上記3つ以外にも満たすべき要件があるため、詳細な要件についてはこちらをご確認ください。以下記事で詳しい解説もしていますので併せてご覧ください。

関連記事：【2024年2月から】Gmailの送信者ガイドラインが変更！対応方法まとめ

DKIMの設定方法

続いて、DKIMの設定方法を紹介します。大まかな設定方法は以下の通りです。

1. ソフトウェア設定
   鍵ペアを作成し、DKIMレコードを生成します。
2. DNSにDKIMレコードを追加
   DNSサーバーに生成したDKIMレコードを公開し、その後受信サーバーから参照可能な状態にします。
3. 設定確認
   DKIMレコードが正しく設定されたかどうかの確認は、検証ツールを使用すると簡単です。例えば、DKIMcoreのような検証ツールなどがあります。先ほどの検証ツールにセレクターとドメイン名を入力するだけでレコードが有効か判定されます。 
4. テストの実施
   正常にDKIMレコードを設定できたら、次はテストメールを送信してみましょう。Gmailアカウントにメールを送信し、受信者の画面でDKIM認証がPASSと表示されているか確認します。

DKIM設定における注意点

前章で紹介したDKIMの設定には、気を付けなければならない点があります。ここでは3点について詳しく解説します。

鍵の管理・更新

DKIMのセキュリティ上のメリットを最大限生かすなら、鍵の管理・更新が重要なポイントになります。なぜなら、管理と更新を怠るとDKIMを導入しても効果が薄れてしまうためです。鍵の管理・更新それぞれで注意すべき点をまとめました。

鍵の管理

DKIMの鍵を管理するメンバーは、セキュリティ上の観点からなるべく少人数にすることをおすすめします。同じ鍵を使用すれば第三者でも電子署名が作成できてしまうためです。

社内の信頼できるメンバーのみで鍵を管理する、サードパーティーのサービスを利用する、どちらの方法が自社に合った管理方法なのか検討するようにしましょう。

鍵の更新

セキュリティと漏洩防止の面から、DKIMの鍵は定期的な更新が必要です。鍵の定期的な更新を心がけることで、なりすましメールの被害防止に効果を発揮します。

ただし、鍵の更新をする場合に間違えて設定すると、メールの送信時にエラーが発生する恐れがあります。また、DKIMの鍵は紛失することも考えられるでしょう。

もし紛失してしまった場合は、すぐに新しい鍵を生成して設定を更新する必要があります。そのため、バックアップを取っておくことも鍵の紛失防止に効果的です。

DNSレコードの運用

DKIMを運用するには、以下の手順でDNSレコードを運用する必要があります。DNSレコードとは、DNSサーバー内にあるファイルの情報のことです。ファイルはゾーンファイルといわれ、ドメインからIPアドレスに変換する情報が記載されています。

1. TXTレコード作成
   まず、DKIM署名の公開鍵を含んだTXTレコードを作成します。TXTレコードとは、ドメイン名とセレクター名に基づいて作成され、DKIM署名の公開鍵の識別で使用されるものです。 
2. DNSサーバーにアップロード
   1で作成したTXTレコードをDNSサーバーにアップロードします。DNS管理者によってアップロードされ、管理者は署名の検証のため必要な情報を提供しなければなりません。 
3. 公開鍵の定期的な更新
   前述の通り、セキュリティ上の観点から公開鍵の定期的な更新は欠かせません。更新した鍵はDNSレコードに追加されます。
4. 運用とトラブルシューティング
   DNSレコードが正しく運用できているかを確認し、問題が起きたときはトラブルシューティングを実施します。 

上記4つの手順は、DKIMを運用するために必要不可欠であり、DNS管理者は定期的に公開鍵を確認しなければなりません。送信ドメイン認証技術の認証プロセスを問題なく進めるためにも、DNSレコードの適切な運用とトラブルシューティングを心がけましょう。

OpenDKIMの稼働確認

OpenDKIMとは、DKIMを提供するためのオープンソースパッケージそのものを指す場合と、DKIMサービスを開発・保守するためのコミュニティという2つの意味があります。ここでは、オープンソースパッケージの場合の稼働確認について紹介します。

DKIMのスムーズな運用を行うには、OpenDKIMの稼働状況を確認すると効果的です。メール受信時の確認結果やメール送信時の署名結果、MTA Milterの起動状況のログなどを監視することでDKIMをスムーズに運用できます。

DKIMと他の認証技術の違い

認証技術はDKIMだけではありません。ここからは、SPF/DMARCなど他の認証技術とDKIMとの違いを紹介します。

DKIMとSPFの違い

DKIMとSPF（Sender Policy Framework）は、どちらも電子メールの安全性を保証するという意味では同様です。しかし、DKIMとSPFでは安全性を保証できる範囲が異なります。

それぞれの特徴をまとめました。

DKIMとSPFは、メールの中で保証する部分が異なります。これらの特徴からDKIMとSPFを組み合わせれば、メール内容とメール送信元両方の安全性を保証できるため、より高度な安全性を実現できます。

DKIMとDMARCの違い

DMARC（Domain-based Message Authentication、Reporting and Conformance）は、SPFとDKIMの考え方を元に作られた送信ドメイン認証技術で、SPFやDKIMでの認証結果によって対処法を定義することで認証過程の補助をするものです。2012年2月に発表され、現代では広く普及しています。

DMARCは、DKIM/SPFの認証を却下されたメールの対処法をあらかじめ設定しておけるのが特徴で、設定できる対処法は「隔離」「拒否」「なし」の3つです。なお、DMARCの設定はメールサーバーの管理者しかできません。設定できる3つの対処法の詳細は以下の通りです。

• 隔離(Quarantine)：隔離フォルダに移動する。
• 拒否(Reject)：配信を拒否する。
• なし(None)：メールは受信者に配信されるが、それぞれの処理方法については受信者が指定する。

拒否を設定した場合、該当するメール送信者によるすべてのメールを拒否します。対象者は自分宛にメールを送信できなくなるため、ドメインの不正使用やなりすましメールを完全に防ぐことが可能です。

しかし、問題のないメールであっても誤判定でDMARC認証できないことがある点に注意しましょう。

併用がおすすめ

送信ドメイン認証技術のSPF/DKIM/DMARCは、それぞれ安全性を保証できる範囲が異なるため、併用して運用することをおすすめします。前述の通り、SPFとDKIMを組み合わせればメール内容とメール送信元の安全性を保証できます。

また、SPF/DKIMに加えてDMARCを追加すれば、SPF/DKIMの認証で却下されたメールの処理方法を指定することも可能になります。

DKIMが設定できるおすすめのメール配信システム

メールの配信を行う場合は自社でシステムを構築することもありますが、一般的には専門のメール配信システムを使うことがほとんどです。ここではDKIMが設定できるおすすめのメール配信システムをご紹介します。

SMTPやAPIなどでシステム連携をしてメール配信をする場合はブラストエンジンを利用するのがおすすめです。メール配信に問題が生じた際に、「いつ、どのメールアドレスで、どのような原因のエラーが起きたのか」をすぐに確認できるため、再配信などの対応が迅速に可能となります。

メルマガなどの一斉送信を行う場合は、ブラストメールなどのメール配信システムを利用すれば、配信エラーとなる無効なメールアドレスを自動的に除外して配信を行うことが可能です。大量のメールをクリーンに送信するのであれば、メール配信システムの利用は欠かせません。

API連携・SMTPリレーサービス「ブラストエンジン(blastengine)」の活用

ブラストエンジンは、SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。

ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。

以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。

• 自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
• 国内キャリアにメールが届かず、対応方法がわからない場合
• 自社でメールサーバーを管理・運用したくない場合

なた、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。

利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。

メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。

シェア1位のメール配信システム「ブラストメール」の活用

ブラストメールは、13年連続で顧客導入シェア1位を獲得している信頼性の高いメール配信システムです。ブラストエンジンとは異なり、メルマガなどのメール一斉送信に利用することができます。

このメール配信システムの特徴は、使いやすさとコストパフォーマンスの高さです。さまざまな業種や官公庁でも利用されており、定番のメール配信システムとして広く知られています。

迷惑メール対策機能はもちろん、セグメント配信や効果測定、HTMLメールエディタなど、基本的な機能がすべて揃っています。最も安いプランでも、月額4,000円以下で導入することができます。

シンプルで安価なため、初めてメール配信システムを利用してみたい方にもおすすめです。無料トライアルも用意されているので、まずは試してみることをお勧めします。

まとめ

今回の記事では、DKIMの基本的な知識から設定方法を紹介しました。送信ドメイン認証技術のDKIMを導入してメールの安全性を保証し、2024年2月から適用されるGmailのメール送信者ガイドラインに対応しましょう。

DKIMの設定を行ったうえで、必要に応じてSPFやDMARCなどの送信ドメイン認証技術も併用すれば、さらに高度なメールの安全性を保証できます。ビジネスメール詐欺やフィッシング詐欺から身を守るためにも、送信ドメイン認証技術の導入を検討してみてはいかがでしょうか。