DKIMの作成者署名と第三者署名とは

今回もワイメール公式コラムをご覧いただき、ありがとうございます。

過去のコラムで、なりすまし判定回避のための対策としてDKIMを紹介しましたが、DKIMにも、「作成者署名」と「第三者署名」の2種類があることはご存じでしょうか?

今回のコラムでは、DKIMの作成者署名と第三者署名の違いやワイメールでの仕様についてご紹介します。

DKIMとは

DKIM(Domainkeys Identified Mail)とは、送信メールに電子署名を付与して受信者側で正当な配信元からの送信であるかやメールが改ざんされていないかを検証できる仕組みです。

DNSレコードで他者に公開する「公開鍵」と、送信者(ワイメールの場合は送信システム)のみが知っている「秘密鍵」のペアをあらかじめ用意し、メールの送信時に秘密鍵を使用して電子署名を行います。

受信者は電子署名が行われたドメインのサブドメインとして公開された所定の形式のTXTレコードから公開鍵を取得し、それを用いて電子署名を検証します。

また、署名はメール本文や一部のメールヘッダを用いて行うため、メールの内容が改ざんされていないかを確認することが可能になります。

SPFやDMARCとの関係

DKIMは、なりすまし判定回避のためのドメイン認証として、SPFやDMARCとセットで紹介されることが多いと思います。

SPF(Sender Policy Framework)は、あらかじめ許可する送信サーバーのIPアドレスをDNSで公開することで、正当な送信サーバーからのメールであることを検証できる仕組みです。

送信元サーバーの設定等は不要で、所定の形式のTXTレコードを公開するだけで、SPFに対応したメーラーが受信時に検証を行えるため導入コストが低く、広く普及しています。

しかし、転送されたメールの追跡ができない点や、メールの改ざんを検証できない点などから、それらを補えるDKIMと併用することが推奨されています。

DMARC(Domain-based Message Authentication Reporting and Conformance)は、DKIMとSPFの認証に失敗した場合に、そのメールを受信者がどのように処理するべきかをあらかじめ送信者側で公開できる仕組みです。

受信サーバーの設定に左右されるなりすましメールの扱いを、正当な送信者側から指定できます。

なお、DMARCはメールがSPFと後述するDKIMの作成者署名で検証された場合のみ有効になります。

ワイメールではSPF/DKIM/DMARCの全てがデフォルトで設定されており、お客様側の設定や操作は必要ありません。

作成者署名と第三者署名の違い

電子署名を行うドメインによって、作成者署名と第三者署名の2通りの署名方法があります。

作成者署名はメールヘッダのFromアドレスのドメインと署名を行ったドメインが一致する場合、第三者署名はその他の場合です。

どちらもメール内容改ざんの検証には違いはありません。

ただし、第三者署名では署名したドメインと送信元ドメインとの関連性を受信側で判断する必要があるため、作成者署名のほうが第三者署名よりも送信元の正当性の検証という点においては優れています。

Gmailでは、そのような理由から第三者署名のメールには、送信者情報に「経由」と表示されます。

メール配信サービスによっては第三者署名のみが可能な場合や、作成者署名がオプションになっている場合があります。

ワイメールの仕様ではどうなっている?

ワイメールでは、自社ブランド化でお持込みいただいたドメインまたは弊社貸与ドメインに公開鍵を設定し、そのドメインで署名を行っているため、デフォルトの送信元ドメインで配信を行う場合は作成者署名が、送信元ドメインを変更して配信を行う場合は第三者署名が有効になります。

例1: デフォルトの送信元ドメインが「example.com」で、送信元メールアドレスが「readonly@example.com」の場合

→ 「example.com」で作成者署名が行われる

例2: デフォルトの送信元ドメインが「example.com」で、送信元メールアドレスが「readonly@example.jp」の場合

→ 「example.com」で第三者署名が行われる

どちらもすべての配信で自動で行われるため、お客様側で行っていただく操作や設定等はありません。

FROMアドレスのドメインを変更して作成者署名を行うことも可能

ワイメールでは、以下の2つの設定を行うことで、基本設定の編集ページからFromアドレスのドメインを変更した場合でも作成者署名を行うことが可能です。

  • デフォルトの送信元ドメインに設定されている公開鍵を変更後のドメインにも設定する
  • ワイメールのコントロールパネルから、作成者署名に切り替えたいドメイン(メールアドレス)を指定する

具体的な操作については、ヘルプページの「FROMアドレスのドメインを変更してDKIM認証を行うにはどうすればよいですか?」で画像付きでご説明していますので、ご参照いただけると幸いです。

最後に

いかがでしたでしょうか?

ワイメールでは、お客様の煩わしい設定操作を排除し、メールを安全に送信できるよう努めておりますが、一歩踏み込んで簡易な設定を行うことでより信頼性の高いドメイン認証を行うことが可能です。

この機会に、ぜひご運用の見直しを頂ければ幸いです。

引き続き、ワイメールをご愛顧いただけますようよろしくお願いします。

免責事項

当コラムの内容は、コラム執筆時点での内容です。今後のバージョンアップ等により、仕様やインターフェイスが変更になる場合がございます。

また、DNSの設定に関しましては、お客様ご自身が管理またはご契約されているDNSサービスにお問い合わせいただけますようよろしくお願いいたします。

“DKIMの作成者署名と第三者署名とは” への1件の返信

コメントは受け付けていません。