対象
HENNGE Email DLP にて DKIM 機能を利用するお客様が対象です。
目的
HENNGE Email DLP にて DKIM 機能を利用できるよう設定します。
注意事項
本記事の内容は 2024 年 1 月時点で製品の内容をもとにしたものであり、以後予告なく変更される場合があります。
よくあるご質問
DKIM とはなにか?なぜ登録するのか?
DKIM は送信ドメイン認証の一種で、メールの改ざんを検知するための手法です。DKIM レコードをDNSへ登録し送信元のメールサーバーにて DKIM 署名を有効化することで、メール送信時、メールヘッダーに DKIM で認証するための電子署名が付与されるようになります。送信先のメールサーバーはこの電子署名を検証し、メールが改ざんされていないことを確認します。
DKIM 認証では DKIM 署名が正当なものであるか、なりすましの可能性がないかについて、送信先のメールサーバーが送信者アドレスのドメインを管理する DNS に問い合わせます。このとき DKIM 署名と DNS に公開されている DKIM レコードを用いて、メールが改ざんされていないことを確認します。このようにDKIM を利用することで、メールのなりすましを防止し、メールセキュリティを向上させることができます。
近年では、Google 社など大手メールサービス事業者がセキュリティの観点から DKIM 認証がpassすることを強く推奨しています。DKIM 認証がpassしない場合、メールが送信先のメールサーバーに拒否され正しく届かなくなったり、迷惑メールと判定される可能性があります。
DKIM の詳細については弊社ブログ記事でもご紹介しておりますので、ご覧ください。
DKIM セレクターとはなにか?
DKIM セレクターは、DKIM 認証を行う際に、どこに認証のために必要な公開鍵が保管されているかを、認証を行おうとするメールサーバーに示すものです。
DKIM レコードと紐づいて使用されます。
Google Workspace / Microsoft 365 で DKIM 設定を有効にしているが、HENNGE Email DLP でも設定が必要なのか?
ご認識の通りです。送信メールの DKIM 署名を有効にする場合は「一番外側の送信メールサーバー」となる HENNGE Email DLP でも設定を実施してください。(DKIM 署名の追加は、一番外側のメールサーバーにて実施するのが一般的な考え方となります。)
なお、HENNGE Email DLP で DKIM 署名の設定を実施していない場合で、 Google Workspace / Microsoft 365 の DKIM 署名がついた添付ファイル付きメールを HENNGE Email DLP で自動 ZIP 暗号化もしくは Secure Download でのURL化をすると、受信メールサーバーの DKIM 認証時に改ざんされたとみなされる可能性がございます。
DKIM レコードを設定することにより、すべてのメール送信に影響は出ないか?また、DKIM 設定は必須作業なのか?
DKIM 設定することによる影響は、DKIM チェックを行なっている受信環境に対してのみとなります。
また、一般的なメールサーバーの迷惑メールチェックでは、SPF レコード 、コンテンツチェック、レピュテーション検証など、様々な方式を元に受信環境ごとに規定しています。
なお、HENNGE Email DLP のご利用にあたって、DKIM 設定は今後必須となる予定です。
DKIM レコードを Microsoft 365 / Google Workspace と HENNGE Email DLP の双方で行うことは可能か?
可能です。
DKIM セレクターを分けることで、複数の公開鍵を TXT レコードに設定することができます。
詳細手順・説明
1. HENNGE Email DLP 管理画面 [ テナント設定 ] → [ DKIM設定 ] を選択し、[ + 新しいセレクターを追加 ] ボタンをクリックします。
2. [ DKIM セレクター作成 ] のウィンドウが表示されましたら、以下情報を入力します。
・セレクター名 : 任意の値を入力してください。
※ 使用可能な文字:a-z、0-9 の英数字、ドット(.)、ハイフン(-)
※ 最大文字数:63文字
※ その他の条件:小文字で始める必要があります。
・鍵長 : [ 1024ビット ] または [ 2048ビット ] から選択します。
※ セキュリティ向上のため 2048 ビットの鍵長での発行を推奨しております。
※ DNS の文字列の長さの制限などにより 2048 ビットの鍵長を設定できない場合には 1024ビットの鍵長で発行ください。
3. 作成したセレクターを選択後に表示された値を DNS の TXT レコードに追加します。
TXT レコードの名前、TXT レコードの値にカーソルを合わせ選択することでコピーが可能です。
※ デフォルトで TXT レコード値に [ t=y; ] (テストモード) のタグも表示されているため、本番利用する場合は [ t=y; ] を削除してください。
※ TXT レコード値に [ t=y; ] (テストモード) のタグを含んで登録を行い、DKIM設定を有効化した後にメールを送信しますと、Gmailでメールを受信した場合、受信メールのヘッダーにDKIM検証成功時は「dkim=pass (test mode) 」、DKIM検証失敗時は「dkim=fail (test mode) 」という文字が記録されます。尚、メール受信時のテストモードでのDKIM検証の成功・失敗は、メール受信に影響を与えないようにすべきという旨がRFCには記載されております。
※ サブドメイン(例:sub.example.com )を含む、複数ドメインにて DKIM レコードを有効化されたい場合は、対象となる各ドメインの DNS にて、この TXT レコードの追加が必要となります。
※ DNS サーバー上での TXT レコードの追加方法は、各サーバーによって異なります。詳細は、DNS サーバー事業者にご確認ください。
4.コマンドプロンプト(Windows)もしくはターミナル(Mac OS)を開き、コマンドを実行し、設定したTXTレコードの値が表示されることを確認します。
nslookup -type=TXT <セレクタ名>._domainkey.<追加ドメイン> 8.8.8.8
C:\Windows\system32>nslookup -type=TXT <セレクタ名>._domainkey.<追加ドメイン> 8.8.8.8
サーバー: dns.google
Address: 8.8.8.8
権限のない回答:
<セレクタ名>._domainkey.<追加ドメイン>. text =
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
dig +short @8.8.8.8 <セレクタ名>._domainkey.<追加ドメイン> txt
dig +short @8.8.8.8 <セレクタ名>._domainkey.<追加ドメイン> txt
"v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3<中略>dPx4QIDAQAB"
5. DNS への TXT レコード登録後、[ 有効化する ] を選択します。
6. [ ドメイン名 ] に DKIM 登録をするドメインを入力し [ 有効化する ] ボタンをクリックします。
複数のドメインについて登録する場合は、[ + ドメインを追加 ] を選択すると項目が追加されます。
※既存のセレクターへのドメインの追加方法につきましては、次の記事をご参照ください。