ビジネスやプライベートでのコミュニケーションツールとして使われる電子メールですが、便利である一方で「なりすまし」や「改ざん」などのリスクもつきまとうものです。また、これらの不正メールは個人情報の搾取に利用されるだけでなく、実際に金銭が関わる詐欺にも利用されています。
例えば福島県では2022年の1月から6月までで、なりすまし被害の被害額はおよそ1億5千万円にものぼることがわかっています(参考:被害額は1億5000万円で去年の倍 今年1月〜6月のなりすまし詐欺(福島県))。
ただし、「メールの到達率を上げるにはDKIMの設定が必要です」 そう言われても、SPFやDMARCなど似たような用語が多く、具体的に何をすればいいのか混乱している方も多いのではないでしょうか。
DKIM(DomainKeys Identified Mail)を一言で表すと、メールにおける「電子的なハンコ(署名)」のことです。これがあることで、受信側は「このメールは間違いなくあの人から送られたもので、途中で改ざんされていない」と確認することができます。
特に2024年のGmailガイドライン変更以降、DKIMは単なる推奨設定ではなく、ビジネスメールを確実に届けるための「必須条件」になりつつあります。本記事では、DKIMの基本的な仕組みから、SPFとの決定的な違い、そして導入する上で知っておくべき「作成者署名」と「第三者署名」の重要性について、専門用語をできるだけ使わずにわかりやすく解説します。
目次
DKIMとは
「DKIM」とは「Domain Keys Identified Mail」の略で、電子メールにおける送信ドメイン認証技術の一つです。ここからは、DKIMや送信ドメイン認証技術についての概要を解説します。
DKIMは送信ドメイン認証技術の一つ
DKIMについて調べている方は「SPF」や「DMARK」と言ったキーワードも目にしたことでしょう。これらは全て「送信ドメイン認証技術」と言われる仕組みです。
それぞれの役割やシステムは異なりますが、メールの送信元アドレスのドメインをチェックした上で、正当なメールサーバーから送られてきたメールかを判断する仕組みという意味で共通しています。なりすましは、自身のメールアドレスを偽り不正メールを送信します。
メールアドレスの構成は上図のようになっており、送信認証ドメイン技術はメールアドレスのドメインを検証し不正メールを割り出す仕組みです。なお、複数人の方が同時に利用するドメインは「共通ドメイン」と呼ばれており、以下のようなものがあります。
- google.com
- onmicrosoft.com
- yahoo.co.jp
- ezweb.ne.jp
- docomo.ne.jp
企業などではドメイン部分に自社名を入れるなどして、オリジナルのメールアドレスを作成していますが、これらは上記のドメインとは違い「独自ドメイン」と呼ばれます。
上記の図では「なりすまし」が「受信者」に対して自身のドメイン名「bbb.com」を「aaa.com」に詐称してメールを送信していることが分かります。
このようなケースにおいて、送信されてきたメールのドメイン名が詐称されていないかなどをチェックする仕組みが、DKIMをはじめとする送信ドメイン認証技術です。
SPF・DKIM・DMARCの役割の違いを「郵便」で例えると?
メールセキュリティの話になるとSPFやDKIMさらにDMARCといった用語が飛び交い混乱しがちですが、これらは競合する技術ではなく相互に補完し合う関係にあります。3つの技術を組み合わせて初めて強固なセキュリティが完成します。それぞれの役割を現実世界の「郵便」や「手紙」に例えて整理してみましょう。
SPF=「住所の確認」
SPFは郵便における「差出人の住所確認」のような役割を果たします。届いた手紙の封筒に書かれている差出人の住所(IPアドレス)が、あらかじめ登録された正しい住所リスト(DNSレコード)と一致するかを照合します。
これにより無関係な場所から送られてきた怪しい手紙を検知できますが、住所自体を偽装されると見抜けないという弱点もあります。
DKIM=「封印の印鑑」
DKIMは手紙の封筒に押された「封蝋」や「割印」のようなものです。手紙の差出人が確実に本人であることを証明する電子署名(ハンコ)を押し、さらに配送途中で封が開けられたり中身が書き換えられたりしていないことを保証します。
住所(SPF)だけでは防げない改ざんリスクに対応できますが、これ単体ではなりすましメールをどう扱うべきかまでは受信側に指示できません。
DMARC=「取り扱い説明書」
DMARCはもし住所確認(SPF)や封印確認(DKIM)に失敗した怪しい手紙が見つかった場合、それをどう処理すべきかを受信側に指示する「取り扱い説明書」です。
「そのまま通してよい」「迷惑メール箱に入れてほしい」「受け取らずに破棄してほしい」といった具体的なアクションを送信側があらかじめ決めておくことができます。これにより自社を騙るなりすましメールがお客様の元へ届くのを未然に防ぐことが可能になります。
これら「SPF」「DKIM」「DMARC」の3つは、どれか一つではなく組み合わせて設定することで最大の効果を発揮します。それぞれの具体的な設定手順(レコードの書き方)や、現在の設定状況を確認する方法については、以下の記事でまとめて解説しています。
DKIMの仕組み
ドメイン認証技術であるDKIMはどのような仕組みで働き、どのような役割を担うのでしょうか。メールを配信する際にDKIMがどのように関わっているのか図解します。
DKIMの仕組み
送信ドメイン認証技術の一つであるDKIMの仕組みは、以下の図のようになっています。
DKIMでは上図にあるような仕組みで、DNSサーバーにドメインに不正がないかなどをチェックします。働きについてもう少し詳しく説明をすると、まずDKIMでは送信者側で「秘密鍵」と「公開鍵」と呼ばれるペアの鍵を用意します。
秘密鍵によってロックをかけられたメールは、ペアの公開鍵でしか検証することができません。送信者側の公開鍵は「DNS(Domain Name System)サーバー」と呼ばれる、ドメインのIPアドレスなどの情報を管理しているサーバーに公開されています。
受信者側は秘密鍵によって電子署名を付与されたメールが、受信の過程で改ざんされたり、なりすましによる不正メールでないかを検証するために、DNSサーバーに公開鍵を依頼します。DNSサーバーから公開鍵を受け取った受信用サーバーは、公開鍵を使って秘密鍵でロックされた電子署名を検証します。
DKIMはなぜ必要なのか
メール配信におけるDKIMの役割には、冒頭から解説しているメッセージのなりすましや改ざんを防ぐだけでなく、メールの到達率をアップさせるというものもあります。それぞれについて詳しく解説します。
メッセージのなりすまし・改ざんを防止できる
冒頭でも解説したようにDKIMの仕組みがあることで、なりすましや改ざんを防止することができます。
自身のメールサーバーにDKIMを導入することで、なりすましや改ざんの痕跡がある不正メールを検出できるだけでなく、配信するメールアドレスがなりすましに利用されない対策にもなります。(参考:実例から学ぶ!フィッシングメールの被害を防ぐために必要なこと)
参考記事のように実際に詐欺被害が発生してしまうと、企業イメージにも多大な影響を与えてしまうでしょう。そのため、メール配信業務がある企業の多くはこのようなリスクを軽減するためにDKIMをはじめとする送信ドメイン認証技術を採用しています。
メールの到達率が上がる
送信ドメイン認証技術を導入したメールサーバーを利用することで、配信したメールが相手の受信ボックスに届く割合を示す「到達率」がアップします。これは受信者側のメールサーバーからブロックされる可能性が下がるためです。
また、なりすましは「emotet」と呼ばれるマルウェアの感染媒体としても機能しています。
関連記事:emotetとは?emotetによるメールセキュリティの大幅な影響についても解説
そのためメールサーバーを提供している企業は、信頼性の証明できないサーバーからのメールに対する対策を強化しています。
DKIMなどの送信ドメイン認証技術がないメールサーバーからのメールは危険
悪質なマルウェアの感染経路になる可能性もある不正メールは、世界的にも危険性が指摘されています。
あくまで予想ではありますが、GmailやOutlookのようなユーザーが多い共用ドメインを扱っているメールプロバイダでは、DKIMなどを導入していないサーバーからのメール受信を制限する可能性があります。
送信ドメイン認証技術を導入せずにメールを利用している方は、自身がなりすましの被害に遭う可能性だけでなく、送信するメールが相手に届きづらくなる環境になるかもしれないことを覚えておきましょう。情報セキュリティーに関する調査・情報提供をしている「Security NEXT」によると、2022年5月時点で以下のような調査報告がなされています。
「2月の調査で35.1%にあたる79社が「DMARC」を導入していたが、3カ月後に実施した5月の調査では112社(49.8%)が設定していた。」
このように、メールを扱う企業の多くは情報セキュリティーへの関心を高めており、自社の信用と顧客の個人情報を守るために送信ドメイン認証技術を利用しています。
要注意!DKIMには「作成者署名」と「第三者署名」がある
DKIMを導入済みであっても期待した通りの到達率改善効果が得られない場合があります。その原因の多くはDKIM署名における「ドメインの種類」にあります。実はDKIMには大きく分けて「第三者署名」と「作成者署名」の2種類が存在し、どちらで運用されているかによってメール受信側の評価やセキュリティ強度が大きく異なります。特にDMARC認証をパスしてGmailのガイドラインに準拠するためには、この違いを正しく理解し適切な設定を行うことが不可欠です。
第三者署名とは(代理署名)
メール配信システムやクラウドサービスを利用する場合に、そのサービス提供事業者のドメインを使って署名を行う方式を指します。例えば自社のドメインが「company.co.jp」であっても署名には配信スタンドのドメインである「https://www.google.com/search?q=mail-service.com」などが使われます。
この方式はユーザー側でのDNS設定作業が不要もしくは最小限で済むため導入が非常に簡単ですが、受信側からは「代理人が送っている」と見なされます。そのため自社ドメインの信頼性を直接証明する力は弱く、なりすまし対策としての効果は限定的にならざるを得ません。
作成者署名とは(自社署名)
メールの送信元アドレス(Fromアドレス)と同じ自社ドメインを使って署名を行う方式です。送信元と署名ドメインが一致するため、受信側は「間違いなくこのドメインの所有者が送ったメールである」と確信を持つことができます。
これを「DKIMアライメントの一致」と呼び、DMARC認証を成功させるための重要な要件となります。企業の信頼性を担保し迷惑メール判定を回避するためには、手間がかかってもこの作成者署名への切り替えを行うことが強く推奨されます。
あなたのメールはどっち?確認方法
自社のメールが現在どちらの署名で送られているかは、実際に送信したメールのヘッダー情報を確認することですぐに判別可能です。Gmailであれば受信したメールのメニューから「メッセージのソースを表示」を選択し、表示されたテキストの中から「DKIM-Signature」という項目を探してください。その中にある「d=」というタグの値に注目します。
- d=自社ドメイン(例:company.co.jp):作成者署名(推奨される設定)
- d=配信ツールのドメイン(例:bmail.jp):第三者署名(改善の余地あり)
- DKIM-Signatureが見当たらない:DKIM自体が未設定
メールの一斉送信業務にはDKIMを採用した「メール配信システム」がオススメ
業務でメールの一斉送信がある企業では、DKIMなどの送信ドメイン認証技術を搭載したメール配信システムの利用がオススメです。
メール配信システムとは、一斉送信に特化した機能を提供しているシステムで、連絡用としての一斉送信はもちろん、メール集客での一斉送信にも対応しています。
メール配信サービスとは?
メール配信サービスとは、メールの送受信や配信リストの管理をするサービスです。各サービスによって差はありますが、サーバーに迷惑メール・スパムメールと認識されづらくなる対策がなされているものが多いです。メールのエラーやリスト管理に煩雑さを感じているのであれば、メール配信サービスの導入を検討してみてください。
また、メール配信システムは複数のメールアドレスに対して同時にメールを送信することが可能です。大規模なメール送信はしばしばスパムと見なされがちで、その結果、メールが迷惑メールフォルダに振り分けられたり、最悪の場合は送信先に届かないこともあります。
API連携・SMTPリレーサービス「ブラストエンジン(blastengine)」の活用
ブラストエンジン(blastengine)は、高速で大量のメール配信を実現するSMTPリレーサービスを提供するとともに、メールサーバーが不要なAPI経由のメール送信機能も提供しています。
ブラストエンジンがサーバーの管理とメンテナンスを担うことで、常に信頼性の高いIPレピュテーションを維持し、メール送信の安全性を保証します。以下のような課題を抱えている場合、ブラストエンジンの使用を検討しましょう。
- IPアドレスやドメインがブラックリストに登録されメールが送れない
- 国内キャリア宛のメール配信に失敗しどう対処すれば良いか分からない
- メールサーバーの管理や運用を自社で行いたくない
さらに、27,000社以上の導入実績を持ち、15年連続で顧客導入数No.1を誇る姉妹製品blastmailによって構築された配信基盤を活用し、各メールプロバイダーや携帯キャリアドメインに最適化されたメール配信を大規模ネットワークを通じて行い、日本国内へ高速かつ99%以上の高いメール到達率を実現しています。
このサービスは、月額3,000円から利用可能で、コストパフォーマンスに優れ、メールサポートだけでなく日本語の電話サポートも提供しています。メールアドレスを入力するだけで簡単にトライアルを開始できますので、ぜひお試しください。
シェア1位のメール配信システム「ブラストメール」の活用
ブラストメールは、前述のブラストエンジンとは異なり、メルマガ配信や大量配信メールの送信に特化しています。
ブラストメールは15年連続顧客導入数で1位を獲得しており、直感的な操作性と、優れたコストパフォーマンスにあります。幅広い業界や公共機関からの支持を受け、メール配信ツールとしての地位を確立しています。
以下のような課題を抱えている場合、ブラストメールの使用を検討すべきです。
- 配信したメルマガが迷惑メールに振り分けられてしまう
- 大量のメール配信に時間がかかってしまい効率が悪い
- 安くて信頼できるメール配信システムを探している
SPF・DKIMなど、Gmailの送信者ガイドラインに対応しているのはもちろん、ターゲット分けによるセグメント配信、成果測定、HTMLメールの編集など、必要な機能を一通り備えています。最もリーズナブルなプランであれば、月額4,000円未満から利用開始できます。
そのシンプルさと低価格から、メール配信ツールの使用が初めての方にも推奨されます。無料トライアルが提供されているため、興味があればぜひ利用を検討してみてください。
公式サイト:シェア1位のメール配信システム「ブラストメール」
FAQ
- Q:DKIMとはどのような技術で、SPFとは何が違いますか?
- A:DKIMはメールに電子署名を付与して「改ざん」や「なりすまし」を防ぐ技術です。SPFが送信元の「住所(IPアドレス)」を確認するのに対し、DKIMは「封印(印鑑)」で中身の正当性を保証します。これらは競合する技術ではなく、組み合わせることでより強固なセキュリティを実現できます。
- Q:DKIMを導入することで、メール配信にどのようなメリットがありますか?
- A:セキュリティ対策になるだけでなく、受信側からの信頼性が高まり「メール到達率」が向上します。特にGmailの新ガイドラインでは重要な要件となっており、ビジネスメールを確実に届けるためには欠かせない設定です。
- Q:DKIMの「作成者署名」と「第三者署名」の違いは何ですか?
- A:第三者署名は配信サービスのドメイン、作成者署名は自社のドメインで署名を行う方式です。DMARC認証を成功させ、なりすまし対策の効果を最大化するには、自社ドメインでの「作成者署名」が必須となります。
- Q:自社のメールがDKIMに対応しているか確認する方法はありますか?
- A:送信したメールのヘッダー情報(ソース)にある「DKIM-Signature」を確認します。「d=」のタグに自社ドメインが記載されていれば作成者署名、配信ツールのドメインなら第三者署名、タグ自体がなければ未設定と判断できます。
まとめ
DKIMとは、不正メールを検出するための送信ドメイン認証技術の一つです。秘密鍵と公開鍵を使い、受信したメールが「なりすまし」や「改ざん」されていないかを検証するDKIMは、自身と受信者を被害から守る仕組みです。
またDKIMの利用には、送信したメールを相手の受信ボックスに届ける到達率を高められるというメリットもあります。これらの理由から、メールを利用する業務がある企業では、DKIMをはじめとする送信ドメイン認証技術の導入が推奨されています。
また、一斉送信業務がある企業では、不正メールのような外部要因への対策と誤送信などの内部要因への対策をかねたメール配信システムの利用がオススメです。ただし、メール配信システムの中にもDKIMやDMARKを導入していないものもあるので注意が必要です。特に無料で利用することができるメール配信システムや、海外に拠点がある企業の提供するサービスは送信ドメイン認証技術に対する記載がない場合があります。
メール配信システムの1つである「ブラストメール」では、不正メール対策としてDKIMを採用しています。メール配信システムは数多くの種類がありますが、ブラストメールは十分なセキュリティ環境を整備し、15年連続顧客導入数シェア No.1を達成しています。
また、ブラストメールは無料体験期間も設けているので、初めてメール配信システムを導入する企業にも気軽にお試しいただけます。
お客様や取引先の個人情報や自社の信用を守るためにも、送信ドメイン認証技術を利用し、安全なメール配信ができる環境を整備しましょう。
