対象
- Email DLP にて DKIM 機能を利用する管理者
目的
- Email DLP にて DKIM 機能を設定する手順を説明します。
注意事項
- 本記事の内容は 2025 年 4 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
- Email DLP 管理画面へのアクセス方法は、以下の記事をご参照ください。
Email DLP 管理コンソールへのアクセス方法
概要
DKIM とはなにか?なぜ登録するのか?
DKIM は送信ドメイン認証の一種で、メールの改ざんを検知するための手法です。
DKIM レコードを DNS へ登録し送信元のメールサーバーにて DKIM 署名を有効化することで、メール送信時、メールヘッダーに DKIM で認証するための電子署名が付与されるようになります。
送信先のメールサーバーはこの電子署名を検証し、メールが改ざんされていないことを確認します。
DKIM 認証では DKIM 署名が正当なものであるか、なりすましの可能性がないかについて、送信先のメールサーバーが送信者アドレスのドメインを管理する DNS に問い合わせます。
このとき DKIM 署名と DNS に公開されている DKIM レコードを用いて、メールが改ざんされていないことを確認します。
このように DKIM を利用することで、メールのなりすましを防止し、メールセキュリティを向上させることができます。
近年では、Google 社など大手メールサービス事業者がセキュリティの観点から DKIM 認証が pass することを強く推奨しています。
DKIM 認証が pass しない場合、メールが送信先のメールサーバーに拒否され正しく届かなくなったり、迷惑メールと判定される可能性があります。
DKIM セレクターとはなにか?
DKIM セレクターは、DKIM 認証を行う際に、どこに認証のために必要な公開鍵が保管されているかを、認証を行おうとするメールサーバーに示すものです。
DKIM レコードと紐づいて使用されます。
Google Workspace / Microsoft 365 で DKIM 設定を有効にしているが、Email DLP でも設定が必要なのか?
ご認識の通りです。
送信メールの DKIM 署名は全てのメール送信サーバーで行う事を推奨しております。
一般的にそれぞれの送信メールサーバーではメールを受け取った時点での SPF・DKIM・DMARC の結果をARC(Authenticated Received Chain) ヘッダーと呼ばれる箇所に記載いたします。
受信メールサーバーによっては、この ARC ヘッダーの履歴を確認し、メールの受信許可・拒否などの判定に使用する場合がございます。
そのため、各送信メールサーバで DKIM 設定を行い、DKIM 認証の成功の履歴が ARC ヘッダーに記載されるようにする事で、メールが正常に受け取られる可能性を高める事ができます。
※Email DLP につきましては次の記事のように ARC に対応しております。
リリース情報:[Email DLP] 2023年8月(ARCへの対応)
なお、Email DLP で DKIM 署名の設定を実施していない場合で、 Google Workspace / Microsoft 365 の DKIM 署名がついた添付ファイル付きメールを Email DLP で自動 ZIP 暗号化もしくは Secure Download での URL 化をすると、受信メールサーバーの DKIM 認証時に改ざんされたとみなされる可能性があります。
DKIM レコードを設定することにより、すべてのメール送信に影響は出ないか?また、DKIM 設定は必須作業なのか?
DKIM 設定することによる影響は、DKIM チェックを行なっている受信環境に対してのみとなります。
また、一般的なメールサーバーの迷惑メールチェックでは、SPF レコード 、コンテンツチェック、レピュテーション検証など、様々な方式を元に受信環境ごとに規定しています。
なお、Email DLP のご利用にあたって、DKIM 設定は今後必須となる予定です。
DKIM レコードを Microsoft 365 / Google Workspace と Email DLP の双方で行うことは可能か?
可能です。
DKIM セレクターを分けることで、複数の公開鍵を TXT レコードに設定することができます。
手順
DKIM の有効化
1. Email DLP 管理画面 [テナント設定] - [DKIM 設定] を選択し、[+ 新しいセレクターを追加] ボタンをクリックします。
2. [DKIM セレクター作成] のウィンドウが表示されましたら、以下情報を入力します。
- セレクター名 : 下記の条件を満たす任意の値を入力してください。
※ 使用可能な文字:a-z、0-9 の英数字、ドット(.)、ハイフン(-)
※ 最大文字数:63 文字
※ その他の条件:小文字で始める必要があります。 - 鍵長 : [1024 ビット] または [2048 ビット] から選択します。
※ セキュリティ向上のため 2048 ビットの鍵長での発行を推奨しております。
※ DNS の文字列の長さの制限などにより 2048 ビットの鍵長を設定できない場合には 1024ビットの鍵長で発行ください。
3. 作成したセレクターを選択後に表示された値を DNS の TXT レコードに追加します。
TXT レコードの名前、TXT レコードの値にカーソルを合わせ選択することでコピーが可能です。
※ デフォルトで TXT レコード値に [t=y;] (テストモード) のタグも表示されているため、本番利用する場合は [t=y;] を削除してください。
※ サブドメイン(例:sub.example.com )を含む、複数ドメインにて DKIM レコードを有効化したい場合は、対象となる各ドメインの DNS にて、この TXT レコードの追加が必要となります。
※ DNS サーバー上での TXT レコードの追加方法は、各サーバーによって異なります。詳細は、DNS サーバー事業者にご確認ください。
4.コマンドプロンプト (Windows) もしくはターミナル (Mac OS) を開き、コマンドを実行し、設定した TXT レコードの値が表示されることを確認します。
nslookup -type=TXT <セレクタ名>._domainkey.<追加ドメイン> 8.8.8.8
C:\Windows\system32>nslookup -type=TXT <セレクタ名>._domainkey.<追加ドメイン> 8.8.8.8
サーバー: dns.google
Address: 8.8.8.8
権限のない回答:
<セレクタ名>._domainkey.<追加ドメイン>. text =
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
dig +short @8.8.8.8 <セレクタ名>._domainkey.<追加ドメイン> txt
dig +short @8.8.8.8 <セレクタ名>._domainkey.<追加ドメイン> txt
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
5. DNS への TXT レコード登録後、[有効化する] を選択します。
6. [ドメイン名] に DKIM 登録をするドメインを入力し [有効化する] ボタンをクリックします。
複数のドメインについて登録する場合は、[+ ドメインを追加] を選択すると項目が追加されます。
※ 既存のセレクターへのドメインの追加方法につきましては、次の記事をご参照ください。
既存の DKIM にドメインを追加する
DKIM の検証
※ 当手順は Email DLP との接続作業完了後に実施します。
1. 受信メールのヘッダーから DKIM の検証が成功しているか確認します。
※ 検証の合否につきましては、Google Admin Toolbox Messageheader にて DKIM の項目が pass であるかご確認ください。
※ メールのヘッダーの取得方法は下記の記事の「Gmail 画面で受信メールのヘッダーを確認する手順」をご参照ください。
メッセージソースの取得方法
2. DKIM 検証の成功を確認後、DNS サーバに追加した TXT レコード値から「t=y;」を削除します。
※ 修正時に TXT レコードに改行や余分なスペースがないかご注意ください。
なお、HENNGE 製品管理者限定のユーザーコミュニティ「chameleon (カメレオン)」では、
その月にリリースされた HENNGE One の機能追加や改善を取りまとめ、開発背景などを記載した「アップデート情報」を毎月公開しています。
あわせてご覧ください。
HENNGE ユーザーコミュニティ「chameleon (カメレオン)」
※ 閲覧にあたっては「chameleon (カメレオン)」のユーザー登録が必要です。
※ ご登録は、HENNGE 製品ご利用のお申し込みをいただいている担当者様限定です。