DKIMとは？送信ドメイン認証（SPF/DMARC）の仕組みと迷惑メール対策

DKIMとは？

DKIMは送信元メールアドレスが正当であるという証明のために、電子的な署名を行うドメイン送信技術です。

送信側はメール送信時に、送信サーバーがメールのヘッダーと本文を基にしたハッシュ値に対して自らの秘密鍵を用いて電子署名を付加します。

受信側は、受信サーバーが受信したメールに対して同様にハッシュ値を作成します。次に送信元ドメインのDNSから取得した公開鍵を利用して受信したメールの電子署名からハッシュ値を取り出します。

最後に双方のハッシュ値を比較して照合を行います。これにより受信者はメールの正当性を確認できるという仕組みです。つまり、その署名が本物かどうかを見極めるわけです。

文章にすると大変な手間に見えますが、ネット上ではこれらの作業を一瞬で行っています。

DKIM署名の種類と特徴

DKIM署名には大きく2つの種類があります。メール送信者のドメインを利用する「作成者署名」と、メール送信者以外のドメインを利用する「第三者署名」です。それぞれ解説しましょう。

■作成者署名

作成者署名とは、メール送信者のドメイン（Fromアドレスのドメイン）で、署名を付与する方式を指します。メールのヘッダー情報に表示される、Fromアドレスと同じドメインで署名ができるので、より強固な認証方法になるといえます。

自社でメールサーバーを運用している場合、当該メールサーバーで署名を付与し、自社ドメインのDNSサーバーにDKIMの公開鍵を置く必要があります。
配信サービスを利用している場合には、署名や公開鍵の発行はサービス側で対応可能です（そういったサービスを利用しましょう）。この場合、公開鍵を自社ドメインのDNSサーバーに置くだけで対応可能です。

■第三者署名

第三者署名とは、メール送信者のドメインではなく、第三者のドメインで署名を付与する方式を指します。作成者署名と異なり自社での設定は不要なため導入のハードルは低いといえます。

しかしながら、現在ではDKIMと言えば作成者署名を指しているため、特別な事情がない限りは作成者署名への対応が求められます。後述するDMARC対応でも同様です。

メール配信サービスを利用している場合、そのサービスのドメインを使って署名や公開鍵の設定を行います。

DKIMとSPF・DMARCの違い

SPFの仕組みとDKIMとの比較

SPF（Sender Policy Framework）とは、 電子メールの送信元ドメインが詐称されていないか確認する仕組みを指します。

送信側が送信元ドメインのDNSサーバーにメール送信IPアドレスを登録し、受信側はその情報を取得することで、送信元が詐称されていないかどうかを判断します。

DKIMと同じ仕組みのように見えますが、電子署名は用いられていません。SPFではメール送信元の正当性は保証できても、そのメールが改ざんされたかどうかまでは検知できません。

一方で、DKIMはメールの内容が改ざんされたかどうか検知できても、送信元の正当性を保証するには不完全です。

したがって、メールマーケティングを行っている企業は、両者の足りない部分を補うため、DKIMとSPFの両方に対応する必要があります。

DMARCの役割とDKIMとの違い

DMARC（Domain-based Message Authentication, Reporting, and Conformance）とは、 電子メールにおける送信ドメイン認証技術の1つを指します。

SPFは送信側サーバーのIPアドレスが、正当なものかどうかを判別する手段です。DKIMはメールに電子署名を付加することで、メールの送信者や内容が改ざんされていないかどうかを検証します。

しかし、判別や検証を行うだけで、SPFとDKIMにより認証しなかったメールをどう取り扱うのかは、受信者の判断に委ねられています。

そして認証しなかった理由や、メールがどのように処理されたのかについて、送信者は事情を把握できません。

DMARCはSPFとDKIMが認証をしなかった場合に、メッセージをどうするか決めるセキュリティルールです。

DMARCは認証しなかったメールをどのように処理すればよいか、 送信者が宛先メールサーバーに対して表明する仕組みといえます。

受信者はそれによりメールを処理できます。また受信者から送信者に対して、認証に失敗した旨を通知するレポートも送ることが可能です。

これにより送信者は、自身が送信したメールの問題点を把握することがわかるだけでなく、自分のドメインを騙るなりすましメールを検知することも可能となります。

なりすましメールと迷惑メール対策におけるDKIMの重要性

なりすましメール（Email Spoofing）とは、知り合いや信用できる人、あるいは実在する企業や機関を詐称したメールを指します。

悪意のある第三者が、個人情報の不正取得や詐欺などの犯罪行為を行います。この攻撃では送信者がメールのヘッダーを偽造するので、ユーザーは表示どおりに受け取ってしまいます。

特に企業を狙ったなりすましメールは、ビジネスメール詐欺（Business E-mail Compromise/BEC）と呼ばれます。

実際に日本航空（JAL）が被害にあった例をご紹介しましょう。

■JALの事例

2017年12月20日、JALは取引先になりすましたメールで、航空機のリース料を騙し取られたと公表しました。
同年9月に本社財務部へボーイング777型機をリースしている、アメリカの金融会社担当者からメールが届きます。
メールの内容はリース料の支払先変更で、香港の銀行口座に支払うよう求めたものでした。
メールを信じた財務部の担当者は、指定された銀行口座にリース料として、約3億6,000万円を振り込んでしまい騙し取られました。

この事件は警視庁が捜査にあたっていますが、解決には至っていないようです。

迷惑メール対策としてのDKIMの効果

DKIMは送信元メールが正当であるという証明のために、電子署名を使用するドメイン送信技術です。

メールのヘッダーと本文を確認できるので、改ざんを検知することができます。
JALのケースでもヘッダーが改ざんされていたため、財務部の担当者は気がつかなったようです。

しかし、取引先の企業がDKIMを導入していたら、改ざんを検知できた可能性があります。
なりすましメールの損害額は決して小さくありません。ビジネスメール詐欺では億単位の被害となることは珍しくないのです。

損害が発生する前に手立てを講じておく必要があります。

DKIMの導入と設定方法

OpenDKIMなどを利用するといいでしょう。

OpenDKIMはDKIMの署名と検証を行う、オープンソースのソフトウェアで、コミュニティが開発・保守を担っています。

■DKIM導入の手順

1. ソフトウェアを設定する
   OpenDKIMなどのサービスを利用し、秘密鍵と公開鍵のペアとレコードの生成を行う。
   
   
2. DNSサーバーにDKIMレコードを追加する
   生成したDKIMレコードをDNSサーバーで公開し、受信側サーバーが確認できるようにする。
   
   
3. 設定を確認する
   DKIMレコードが正しく設定されているか、検証ツールを使って確認する。
   
   
4. テストメールを送信する
   Gmailなどにテストメールを送信し、DKIM認証がpassの状態になっているか確認する。

■DKIM導入の注意点

DKIMは導入してそのまま放置するわけにはいきません。まずDKIMの電子署名の作成に使った秘密鍵は、絶対に外部に漏れないよう管理しなければなりません。

秘密鍵と公開鍵のペアは定期的に変更することが望ましいとされています。

またDKIMを導入するとDNSへの負荷が高まります。トラブル回避のためにDNSの運用には注意をはらいましょう。

OpenDKIMなどを利用している場合は、その団体の動向を注視する必要があります。

DKIM設定のメリットとデメリット

DKIM設定にはメリットとデメリットがあります。それぞれ解説しましょう。

■DKIM設定のメリット

• 転送されたメールも正しく判別することができる
• メールのヘッダーや本文が改ざんされていないか判別できる
• 送信元の正当性を担保できる

■DKIM設定のデメリット

• DNSサーバーへの追加や秘密鍵の管理が必要なため人的負担が増える
• 送信側は受信側がメールをどう処理したのか確認できない
• 送信したメールが認証されない場合、なりすましメールか技術的な問題なのか受信側は確認できない

デメリットを補うため、送信元ドメイン認証に対応するためにSPFとDMARCも同時に導入するのが望ましいです。
前述したとおり、「Gmail」では2024年2月より同メールを送信するすべての送信者は、DKIMまたはSPFを設定する必要があると規約を改定しています。

企業のメルマガ配信は、DKIMを導入したメール配信システムがおすすめ

Mail Publisher（メールパブリッシャー）」なら、簡単にDKIMが導入できるのでおすすめです。

まとめ：DKIMによる安全なメール送信環境の実現