DKIMの確認方法をわかりやすく解説!初心者でもわかるDKIMの仕組みとSPF・DMARKとの違い
ビジネスの場でよく使われる連絡ツールといえば電話とメールでしょう。特にメールは手軽に使用できるコミュニケーションツールとして重要な役割を担っています。
しかし、フィッシング詐欺やマルウェア感染などのメールによる被害も後を絶ちません。悪意ある第三者がメールの仕組みを悪用し、なりすましメールを送ることで企業や個人に大きな脅威を与えています。
メールセキュリティを高め、フィッシング詐欺やなりすましメールから保護するためには、DKIM(DomainKeys Identified Mail)が不可欠です。このブログ記事では、メール送信の信頼性を向上させるDKIMの基本から、同じメール認証であるSPFやDMARCとの違い、そして具体的な確認方法まで、初心者にもわかりやすく解説していきます。
2024年2月からGmail送信者ガイドラインが変更され、Gmail宛に1日5,000以上のメールを送信する場合はSPF・DKIM・DMARCの設定が必要など、様々な対応をする必要があります。
詳しくは以下の記事を参考にしてください。
関連記事:Gmail送信者のガイドライン変更の内容と対応方法を”1から”解説!
関連記事:Gmail送信者ガイドライン対応のメール配信システム5選【2024年2月対応】
DKIMとは
DKIM(Domain Keys Identified Mail)は、送信ドメイン認証技術です。送信元が発行した電子署名をもとに、受信側でメールの改ざんやなりすましなどを検知します。
迷惑メールは、送信元メールアドレスを偽装している場合が多く、DKIMを導入することでなりすまし被害を防止できます。以下にてさらに詳しくみていきましょう。
なりすましメールとDKIM
近年のフィッシング詐欺では、なりすましメールをターゲットとなる人に配信し、そこからクレジットカードや銀行口座の情報をだまし取とる手口が主流となっています。公的機関や有名企業の名をかたって偽のサイトに誘導し、クレジットカードや銀行口座情報を盗み出すのです。
このような詐欺被害から身を守るためには、DKIMのようなドメイン認証技術の活用が有効といわれています。DKIMの優れた点は、メール内容の改ざんや送信元のなりすましを検知できる機能です。さらに、受信拒否や迷惑メールフォルダへの振り分けなどの対処法も設定できるため、なりすましメールによる詐欺被害防止に期待できます。
DKIMの仕組み
DKIMの仕組みについて、紹介しましょう。
まず、送信元サーバーから秘密鍵が発行され、送信するメールに電子署名を付与します。次に受信サーバーが送信元ドメインに問い合わせをして公開鍵を取得し、電子署名の照合を行います。認証結果はメールのヘッダー情報に記載されるため、受信者がヘッダー情報を参照すればメールの正当性を確認できるという仕組みです。
DKIM署名の種類
DKIMの電子署名には、作成者署名と第三者署名の2種類があります。2つの違いや、それぞれのメリットとデメリットについても確認していきましょう。
作成者署名
作成者署名の方法は、メール送信者のドメインで署名する方法です。自社のメールサーバーで署名したうえでDNSサーバーに公開鍵を設定しておきます。
HeaderFromドメインとDKIMの認証ドメインを一致させるため、DMARCの認証にも対応できる点がメリットです。しかし、署名の設定を自身で行う必要があります。手間と、ある程度の知識が必要になる点がデメリットです。
第三者署名
第三者署名の方法は、自分で設定する手間を省いてDKIMを導入できます。外部のメール配信サービスを利用して署名や公開鍵の設定を外部に委託するのです。
デメリットとして、HeaderFromドメインとDKIMで認証するドメインが一致しないため、DMARCの認証ができない点が挙げられます。より強固なセキュリティを検討し、DMARC(後述)を導入する段階になったとしてもDMARC認証を通すためには別途対応が必要です。
DKIMとSPFの違い
DKIMとSPF(Sender Policy Framework)は、どちらも電子メールの安全性を保証するドメイン認証技術です。しかし、DKIMとSPFとでは安全性を保証できる範囲が異なります。それぞれの特徴を詳しくみていきましょう。
DKIM
DKIMはメール内容の改ざん検知能力に特化していますが、メール送信元の偽装検知能力は完全ではありません。そのため、DKIMの認証で電子メールの安全性を保証できるのは、メール内容の正当性のみとなります。
SPF
SPFはメール送信元の偽装検知能力に特化しています。IPアドレスを使って認証を行うのが特徴で、メール送信元が偽装されていないかを確実に検知するのです。具体的には、送信元メールサーバー情報と送信元DNSサーバーに登録されているSPFレコードが一致するかを確認し、安全性を保証します。
DKIMとSPFを組み合わせることで、メール内容とメール送信元両方の偽装検知が可能です。より高い安全性の確保に期待できます。
DKIMとDMARCの違い
DMARC(Domain-based Message Authentication、Reporting and Conformance)は、SPFとDKIMを基礎にして考えられ、2012年2月に発表されました。現代では、広く普及している認証技術です。DKIMとSPFの認証を却下されたメールの対処法を決める役割を担っています。
DMARCで設定できる対処法は「隔離」「拒否」「なし」の3つです。メールサーバーの管理者が設定を行います。
- 隔離(Quarantine):隔離フォルダに移動
- 拒否(Reject):配信を拒否
- なし(None):メールは受信者に配信されるが、処理方法について指定可能
例えば「拒否」と設定した場合、該当のメールが全て拒否され、メールが配信されません。これにより、ドメインの不正使用やなりすましメールをシャットアウトし、メールによる犯罪から守れます。
ただし、問題のないメールが何らかの理由でDMARC認証に失敗した場合であっても、完全に受信されなくなる点には注意が必要です。このため、なし(None)を指定して受信者が処理を決めるというのもひとつの方法です。
DKIMの確認方法
DKIMが正しく設定されているか確認する方法として、オンラインツールやコマンドラインの活用法があります。
DKIM設定の確認には、ドメイン名とセレクタの情報が必要です。不明な場合は、メールのヘッダーを参照してください。セレクタとは、公開鍵の詳細を識別するために使用される、DKIM署名の追加情報です。異なるセレクタを用意することで、同じドメインであっても複数の公開鍵の運用が可能になります。「DKIM-Signature:v=1; ~ s=AAAA;」と記載のある、AAAAの部分がセレクタ情報です。
オンラインツールで確認
オンラインツールで確認するには、DKIM Core Toolsなどのツールを使用して確認します。ドメイン名とセレクタの情報を入力することで公開鍵データの取得が可能なのかチェックできます。
ここではMXToolBoxというサイトを利用した確認方法をご紹介します。
- MXToolBox のようなオンラインツールにアクセスします。
- 「DKIM Lookup」または「DKIM Test」といったDKIMを確認するための機能を選択します。
- 確認したいドメイン名とセレクタを入力します。セレクタはDKIM署名に使われるドメイン固有のキーで、メール送信時に設定されます。
- 「Lookup」や「Test」ボタンをクリックして結果を表示します。
コマンドラインで確認
コマンドラインとは、PCに対してテキストで命令することでファイルの閲覧や変更が可能になる機能です。機能的にはWindowsのエクスプローラ、MacのFinderと同じ役割を担っています。PCのOS上から以下のようなコマンドを打ち込むことで公開鍵の情報が表示されます。
コマンドラインを使用する方法では、dig コマンド(Linux、MacOS)や nslookup コマンド(Windows)を使用して、DNSから直接DKIMレコードを照会します。この方法は少し技術的な知識が必要ですが、より詳細な情報を得ることができます。
LinuxやMacOSの場合
ターミナルを開きます。
以下のコマンドを入力して実行します(your_selectorは確認したいセレクタに、your_domain.comはドメイン名に置き換えてください):
dig +short your_selector._domainkey.your_domain.com TXTWindowsの場合
コマンドプロンプトを開きます。
以下のコマンドを入力して実行します(your_selectorとyour_domain.comは上記と同様に置き換えてください):
nslookup -type=TXT your_selector._domainkey.your_domain.comメーラー別DKIMの確認方法
なりすましメールの脅威について今一度確認しておきましょう。信頼ある企業などの名称をかたり、なりすましメールを送り、相手を信用させます。そのメールから、フィッシング詐欺や、個人情報を盗み出すサイトに誘導する手口です。届いたメールを開くだけで、ウイルスに感染してしまうこともあります。
このような、なりすましを防ぐためには、SPFやDKIM、DMARCなどの送信ドメイン認証技術を活用することが効果的です。
では、認証結果についてはどのように確認したらよいのでしょうか。ここからは、GmailやYahoo!メールなどの一般的なWebメールサービスで送信ドメイン認証技術を確認する方法を紹介します。
Gmailでの確認方法
GmailでDKIMを確認する方法は以下の通りです。
- メールを開く
- 右上に表示されている三点リーダーをクリック
- 「メッセージのソースを表示」をクリック
- SPF、DKIM、DMARCの認証結果が表示される
SPFとDKIMのみを調べたい場合には、メール表示画面の▼をクリックするだけでOKです。送信元に表示されるのがSPF、署名元に表示されるのがDKIMになります。
Yahoo!メールでの確認方法
Yahoo!メールでDKIMを確認する方法は以下の通りです。
- メールを開く
- 詳細ヘッダーをクリック
- 発信元が表示されていればDKIM認証に成功している
また、ブラウザの検索機能(ctrl+F)を使って調べることも可能です。検索欄に「Received-SPF:」と入力して検索した結果、「dkim=pass」と表示されていれば問題なく認証できています。
Outlookでの確認方法
OutlookでDKIMを確認する方法は以下の通りです。
- メールを開く
- 右に表示されている三点リーダーをクリック
- 「メッセージのソースを表示」をクリック
- ブラウザの検索機能(ctrl+F)を使って検索欄に「dkim=」と入力する
- dkim=passと表示されていればDKIM認証に成功している
DKIMの設定方法
ここからは実際にDKIMを設定する方法について、概要を紹介します。
設定手順
今回は大まかな手順を説明します。実際の導入にあたってはOpenDKIMなどを利用するとスムーズになります。OpenDKIMはDKIM署名と検証を行うオープンソースのソフトウェアです。
ソフトウェアの設定
OpenDKIMなどのサービスを使い、鍵ペアの作成とレコードの生成を行います。
DNSにDKIMレコードを追加
生成したDKIMレコードをDNSサーバーに公開して受信サーバー側が参照できる状態にします。
設定確認
DKIMレコードが正しく設定されているかは、検証ツール(例:DKIMCore)を利用して確認することが可能です。こちらにセレクター(ドメイン内で複数の公開鍵を運用するための識別子)とドメイン名を入れると、そのレコードが有効かどうかを結果として表示してもらうことができます。
テストメールの送信
OpenDKIMなどのソフトウェアを使うことでDKIM署名を行った状態でメールを送信することができるので、最終的にはGmailなどに実際にメールを送ってみて、DKIM認証がpassの状態になっているかを見て、実際に認証が成功しているかを確認する必要もあります。
メール配信ツールを利用している場合のDKIM設定
先ほどの設定方法は自社でのメール配信における設定方法でしたが、メール配信ツールを使っている場合はツールのドメインでDKIM署名を行うといったケースもあります。
メールの作成者のドメインで署名を行うものを作成者署名と呼ぶのに対して、メール配信サービスのドメインでの署名は第三者署名と呼ばれています。第三者署名より作成者署名のほうがメールの信頼性はより高まります。
第三者署名
メール配信サービスからメールを配信する際に自動的にされているDKIM署名が、第三者署名にあたります。
ユーザーが自社のDNSサーバーにテキストレコードを入れるなどの設定をしなくても良い反面、本当に作成者のドメインから送られているのかを証明することができず、認証の強度が弱まってしまいます。
作成者署名
作成者署名は、メール配信ツール側に設定を行うことで、ツールからのメール配信においても、自社ドメインのDNSサーバーでDKIM署名の認証を行うことができる方式です。
サービスにもよりますが、「ブラストエンジン(blastengine)」のようなメール配信システムでも管理画面から設定することが可能です。作成者署名であれば作成者のドメインの管理者から送られていることが確認できるため、送信者の信頼性を高め、メールの認証性が向上します。
作成者署名の設定方法
メール配信ツールで作成者署名を設定する場合は、配信ツールのドキュメントやヘルプセンターを参照し、指示に従って設定を行ってください。
DKIM認証に失敗する場合の確認ポイント
DKIM認証を正しく設定しているつもりでも認証に失敗することがあります。失敗の原因について、一つ一つ確認していきましょう。
ここでは、DKIM認証に失敗した場合の確認ポイントを紹介します。
DKIMの認証結果を確認
メールのヘッダー情報からDKIM認証に合格しているかの確認が可能です。メールヘッダーにdkim=passと表示されていれば正しく認証できていますが、もしもFAILとなっていたならば、認証に失敗しています。
失敗の原因を確認するためには、ヘッダー情報の詳細を詳しくみていきましょう。ソースを開き、ブラウザの検索機能(ctrl+F)を使ってdkimと検索すると、より詳細な情報(認証失敗した理由)が表示されます。
認証を成功させるために検討すべき対策
DKIMの認証を成功させるには以下のような対策が必要です。
秘密鍵と公開鍵を確認する
DKIM認証が失敗するよくある原因として秘密鍵と公開鍵の不一致が挙げられます。この2つの鍵は一致している必要があるため、一部欠けていないか、そもそも設定が間違っていないかを確認しましょう。または、秘密鍵と公開鍵を再度設定しなおす方法もおすすめです。
メールサービスが指定している方法を確認する
メールサービス事業者によって、使用するDKIMの設定方法は異なります。利用中のサービス内容を改めて確認し、指定通り設定できているか確認しましょう。はじめから設定しなおしてみる方法も有効です。それでも認証に失敗するようであれば、サービス事業者への問い合わせをおすすめします。
もし、上記2つを確認して修正しても認証が失敗する場合、DKIMレコードが間違っているおそれがあります。
DKIMが設定できるメール配信サービス の利用
本記事の冒頭でもご紹介したように2023年10月、Gmailのメール送信者ガイドラインがアップデートされました。
2024年2月以降、Gmailアカウントに1日あたり5,000件を超えるメールを送信する送信者は、送信ドメインにSPF・DKIM・DMARCの設定が必要などの記載があります。
Gmail送信者ガイドラインとは
本ガイドラインの変更内容は大きく分けると以下の3点になります。
- 送信メールを認証すること
- 未承諾のメールまたは迷惑メールを送信しないこと
- 受信者がメールの配信登録を容易に解除できるようにすること
つまり、送信元の正当性を正しく認証した上で、ユーザーが迷惑がらないようにメールを送信することがメール送信者には求められています。
このあガイドラインの要件を満たせていないメールは迷惑メールに割り振られてしまったり、受信を拒否されることがあります。
その他Gmail送信者のガイドラインの詳細については以下の記事で解説していますので併せてご確認ください。
API連携・SMTPリレーサービス「ブラストエンジン(blastengine)」の活用
SPFやDKIMなどGmail送信者ガイドライン対応しており、API連携・SMTPリレーが可能なメール配信システムです。
ブラストエンジンは、SMTPリレーサーバーを使用して、簡単に大量のメールを高速配信することが可能です。さらに、メールサーバーを必要とせず、API経由でメールを送信する仕組みも提供しています。
ブラストエンジンは、サーバーの運用やメンテナンスを行っているため、常に高いIPレピュテーションを維持しながら、安全にメールを送ることができます。
以下のような課題がある場合は、ブラストエンジンの利用を検討してみることをおすすめします。
- 自社のIPアドレスやドメインがブラックリストに登録されていて、メールが届かない場合
- 国内キャリアにメールが届かず、対応方法がわからない場合
- 自社でメールサーバーを管理・運用したくない場合
また、ブラストエンジンは各メールプロバイダーや携帯キャリアのドメインに最適化されており、大規模なネットワークを経由してメール配信を行うことで、日本国内での到達率を圧倒的に高めています。
利用料金は月額3,000円からとコストパフォーマンスにも優れており、メールだけでなく、日本語での電話サポートにも対応しています。
メールアドレスの入力のみで無料トライアルが可能ですので、まずは気軽にお試しください。
シェア1位のメール配信システム「ブラストメール」の活用
SPFやDKIMなどGmail送信者ガイドライン対応(standardプラン以上)しており、シンプルで使いやすいメール一斉配信システムです。
ブラストメールは、13年連続で顧客導入シェア1位を獲得している信頼性の高いメール配信システムです。ブラストエンジンとは異なり、メルマガなどのメール一斉送信に利用することができます。
このメール配信システムの特徴は、使いやすさとコストパフォーマンスの高さです。さまざまな業種や官公庁でも利用されており、定番のメール配信システムとして広く知られています。
迷惑メール対策機能はもちろん、セグメント配信や効果測定、HTMLメールエディタなど、基本的な機能がすべて揃っています。最も安いプランでも、月額4,000円以下で導入することができます。
シンプルで安価なため、初めてメール配信システムを利用してみたい方にもおすすめです。無料トライアルも用意されているので、まずは試してみることをお勧めします。
まとめ
DKIMをはじめとする送信ドメイン認証技術を正しく設定することで、なりすましメールを防止できます。この機会に、自身のメーラーにDKIMが正しく設定されているか確認してみてはいかがでしょうか。確認方法は、この記事で紹介した各メールサービスでのDKIM確認方法を参考にしてください。送信ドメイン認証技術(SPF、DKIM、DMARC)について深く理解し、フィッシング詐欺やマルウェア感染といった被害から身を守りましょう。