メールの信頼性を確保し、受信者に安心してメールを受け取ってもらうためには、DKIM(DomainKeys Identified Mail)の設定が欠かせません。迷惑メールやフィッシングメールなどが増加している現代において、DKIMのような送信ドメイン認証技術の必要性は増しています。
また、2024年2月にGoogleが改訂を行った「送信者ガイドライン」は、メール配信業務の担当者であればご存知の方も多いかと思います。その内容のひとつに、1日に5,000件を超えるメール配信を行う場合は、SPF・DKIM・DMARCを全て設定する必要があると記載されています。
しかし、メール配信やメルマガ配信を担当していてもこれらの認証技術の詳細や設定方法を知らない方も多く、どうすればいいか分からないと半ば諦めかけてしまっている人も多くいるかと思います。
そこで本記事では、DKIMの基本的な概要からその仕組み、そして具体的な設定方法までを丁寧に解説します。ぜひご一読ください。
目次
DKIMの概要
DKIM(DomainKeys Identified Mail)は、送信者が発行した電子署名を元に、受信先でメールのなりすましや改ざんをチェックする認証技術です。
この技術は、メールが本当にそのドメインの所有者から送信されたものであることを証明し、改ざんが行われていないことを確認します。
- なりすまし:電子メールはその設計上、送信者のアドレスを簡単に偽装できるため、なりすましが頻繁に発生していました。これにより、フィッシング攻撃やスパムメールが多発し、メールの信頼性が低下していた
- メールの改ざん:メールが送信された後、途中のサーバーで内容が改ざんされるリスクも存在しました。改ざんされたメールが受信者に届くと、情報の信頼性が損なわれる
DKIMはこのようなメールに置けるセキュリティの課題を解決できるのです。
DKIMが生まれた背景
DKIMの原型となる技術は2007年に発明され、2013年には現在の標準となるDKIM(STD76)が開発されました。この技術がメール配信に使われるようになることで、迷惑メールやスパムメールの数は一時的に減少しましたが、2020年頃には再び増加傾向が見られました。
迷惑メールやフィッシング詐欺の一部は、実在する企業と同じドメインを利用してユーザーにメールを送信するため、受信者が偽装メールを本物と誤認してしまうリスクがあります。DKIMは、送信元のメールアドレスが偽装されていないことを証明し、こうした「なりすまし」への対策として有効です。
DKIMの役割
DKIMは迷惑メールの対策としての役割だけでなく、送信元のレピュテーションスコアにも影響を与えます。レピュテーションスコアとは、IPアドレスの信用度をスコア化したもので、メール配信の場合は過去の配信実績や本文中に含まれるスパムキーワードなどが影響します。このスコアが悪化すると、ビジネスメールが取引先やお客様に届きにくくなり、業務効率が低下する可能性があります。
特に、メールマーケティングを行っている企業にとって、メールの到達率に影響するレピュテーションスコアの悪化は、施策効果に直結する重大な問題です。したがって、ビジネスで使用するメールサーバーやドメインは、確実に相手の受信ボックスにメールが届くように、適切な管理とDKIMの設定を維持することが重要です。
このように、DKIMはメールの信頼性を高め、ビジネスコミュニケーションの品質を向上させるために不可欠な技術です。
DKIMの仕組み
DKIMの仕組みは、公開鍵暗号方式を利用してメールの真正性を保証するものです。送信者側は、メールの本文と一部のヘッダー情報を基にハッシュ値を生成し、それを秘密鍵で暗号化します。
この暗号化されたハッシュ値がデジタル署名となり、メールヘッダーに追加されます。受信者側のメールサーバーは、送信者のDNSから公開鍵を取得し、この署名を復号してハッシュ値を検証します。これにより、メールが改ざんされていないことを確認し、送信ドメインの正当性を確認します。
DKIM認証の流れ
DKIMが認証されるまでは以下のステップが必要となります。
- 送信元で「秘密鍵」と「公開鍵」を用意する(この際「公開鍵」はDNSサーバに公開される)
- メールの送信時に「秘密鍵」を使い電子署名を付加する
- メールの受信側はDNSサーバから「公開鍵」を取得する
- 送信元の「秘密鍵」とあらかじめDNSサーバある「公開鍵」が一致する
- メールに付加されている電子署名の照合を行う
「秘密鍵」と「公開鍵」は各ドメインに割り当てられており、送信元の秘密鍵は送信元がDNSサーバに公開した公開鍵にしか一致しません。
メールの本文で表示されるメールアドレスやドメイン名が一致していても、送信元のサーバーが違うことが証明されると迷惑メールとして処理されます。
また、メール配信の過程で第三者によりメールの内容を書き換えられる「改ざん」も、DKIMの使用で対策できます。
DKIMを設定するメリット
DKIMを設定することで得られるメリットは多岐にわたります。まず、メールの到達率が向上します。DKIM署名があることで、受信側のメールサーバーはメールの信頼性を評価しやすくなり、スパムフィルターにかかるリスクが減少します。
また、フィッシング詐欺の防止にも効果的です。正当なドメインからのメールであることが証明されるため、受信者が安心してメールを開封することができます。さらに、企業のブランドイメージ向上にも寄与します。
DKIM
DKIMは、電子メールの信頼性を高めるための重要な技術です。ここまでの解説でも触れてきましたが、DKIMを活用するメリットについてまとめてみましょう。
- なりすまし・改ざんの対策:DKIMは、送信元のドメインが正当であることを証明するため、なりすましや改ざんを防止します。送信元のサーバーが秘密鍵で署名を行い、受信側が公開鍵でその署名を検証することで、メールが改ざんされていないことを確認します。
- スパムやフィッシングの減少:DKIMを利用することで、フィッシング詐欺やスパムメールのリスクが減少します。DKIM署名があるメールは、受信側のスパムフィルターで迷惑メールと判定されにくくなります。
- 到達率の改善:DKIM署名が付与されたメールは、相手の受信ボックスで迷惑メールと判別される確率が低下するため、到達率の改善が期待できます。
また、本記事の冒頭でも紹介したようにGoogleが送信者ガイドラインを強化しているのと同時にYahoo!メールなどもセキュリティの強化を進めていたりします。
SPF
SPF(Sender Policy Framework)は、DNSを使い送信元のドメインが正当なものかをチェックする認証技術です。DNS(Domain Name System)は、ウェブ上でドメイン名とIPアドレスを紐づけて、管理・運用を行うシステムです。
受信したメールのドメインに紐づいているIPアドレスを送信元のDNSに問い合わせ、メール配信の過程で「なりすまし」が発生していないかを確認することができます。これにより、送信元アドレスが正当な送信者からのものであるかを確かめることができます。
ただし、SPFがチェックできるのは送信されたメールのドメインと紐づいているIPアドレスだけであり、メールの本文やヘッダーの改ざんを防ぐことはできません。SPFは送信者の正当性を確認するための重要なツールですが、完全なセキュリティ対策としてはDKIMやDMARCと併用することが推奨されます。
DMARC
DMARC(Domain-based Message Authentication Reporting and Conformance)は、DKIMとSPFを補完する形で設計されたドメイン認証技術です。
本記事では詳しい解説は避けますが、 DMARCの役割はDKIMやSPFによって認証ができなかったドメインから送付されたメールの扱いを決めることです。
DMARCを活用することで、ドメイン認証ができなかったメールについて以下のような取り扱いを設定できます。
- 隔離:隔離フォルダに移動
- 拒否:メールを配信しない
- なし:メールは配信されるが、処理方法を選択できる
これにより、ドメイン所有者はメールの認証ポリシーを柔軟に設定し、メールの信頼性を高めることができます。DMARCの詳細は以下の記事で解説していますので、併せてご確認ください。
関連記事:DMARCとは?メリットや設定方法、DMARCレポートの読み方について徹底解説
DKIMの設定方法
GmailやOutlookなどでは、設定次第でメールクライアントが提供しているDKIMを使うことができます。
例えば、GmailではGoogle Workspaceのアカウントを取得し、TXTレコードとDKIM鍵をドメインに紐付けることで、DKIMを使ったメールの送受信が可能になります。TXTレコードは、ドメイン情報をDNSに登録する際に使われるテキストレコードで、主にドメインの所有者を証明する際に使われます。
しかし、Google Workspaceを使っていない場合や、その他のメールソフト(ウェブメール)を使っている場合は、オープンソースのDKIMを利用するのが一般的です。DKIMのオープンソースソフトウェア(OSS)には「Rspamd」や「OpenDKIM」などがあります。今回はOpenDKIMを導入する際の概要について解説します。
- EPELレポジトリをインストールする:EPEL(Extra Packages for Enterprise Linux)レポジトリを追加します。
- OpenDKIMをインストールする:OpenDKIMをEPELレポジトリからインストールします。
- キーペア(秘密鍵と公開鍵)を作成する:秘密鍵と公開鍵のペアを作成します。
- DNSの設定を行う:作成した公開鍵をDNSのTXTレコードに設定します。
詳しい内容は省略していますが、どの工程にもコマンド入力などの専門的な作業が必要です。そのため、社内に技術的なリソースがない場合は、OSSを活用しても自力でDKIMの設定を行うことは難しいかもしれません。
その場合は、後述する「メールリレーサービス」などを活用し、自社のメールインフラを残しつつDKIMをはじめとするセキュリティ要件の整備を行いましょう。
より詳しいDKIMの設定方法は以下の記事を参考にしてください。
関連記事:【図解】初めてでも腹落ち!DKIMの仕組みと設定方法
2048ビットDKIM鍵の設定と「DNSの255文字制限」対策
セキュリティ強度が求められる中で従来の1024ビットからより強固な2048ビットの鍵長へ移行する動きが加速しています。しかし鍵長が倍になることでDNSレコードに登録する文字列も長くなり一般的なDNSサービスの制限に引っかかってしまうという新たな問題が発生しています。
なぜ2025年は2048ビットの鍵長が推奨されるのか
コンピュータの計算能力向上に伴い短い暗号鍵では解読されるリスクが高まっているためです。NIST(米国国立標準技術研究所)などのセキュリティ機関も2048ビット以上の使用を強く推奨しておりGmailなどのプラットフォーマーも長鍵長への対応を送信者に求めています。
1024ビットでも現時点では動作する場合が多いですが将来的なセキュリティ基準の引き上げを見越して今のうちから2048ビットで設定しておくことが賢明な判断といえます。
TXTレコードが長すぎる場合の「レコード分割」の書き方
DNSのTXTレコードには「1つの文字列は255文字まで」という仕様上の制限があります。2048ビットの公開鍵はこの制限を超える長さになるためそのまま貼り付けるとエラーになったり勝手に切り捨てられたりします。
これを回避するには鍵の文字列を適切な位置で区切り複数の引用符(””)で囲んで記述する「レコード分割」という手法を用います。具体的には長い文字列を「”前半の文字列” “後半の文字列”」のようにスペースまたは改行で区切って記述することでDNSサーバー側が自動的に連結して一つのレコードとして扱ってくれます。
主要なDNSサービス(AWS Route53, お名前.com等)での設定例
利用しているDNSプロバイダによって長いレコードの扱い方が異なります。例えばAWS Route53では管理画面上で自動的に分割処理が行われないため、手動でダブルクォーテーションを用いて分割記述する必要があります。
参考:AWS公式:Route 53 で 255 文字を超える TXT レコードを設定する
一方で、お名前.comなどの一部のサービスでは、入力欄に510文字までの制限があるものの、ダブルクォーテーションはシステム側で自動付与されるため、手動で入力するとエラーになるなどの仕様の違いがあります。
参考:お名前.com公式:DNSレコード設定の入力可能文字は?
- AWS Route53等は手動で引用符による分割記述が必要
- お名前.com等は入力欄の制限により調整が必要な場合がある
- バリュードメイン等は自動で分割されることもあるため仕様を確認する
DKIM設定後の注意点
DKIMを設定した後は、以下の点に注意をして運用・管理を行いましょう。
- 動作確認
- 鍵の管理
- DNSの運用
それぞれについて詳しく解説します。
動作確認
設定したDKIMが正しく作動しているかチェックが必要です。DKIMの設定が正しく行われていない場合、ドメイン認証のセキュリティとして機能しません。
DKIMの動作確認には「オンラインツール」と「コマンドライン」のいずれかを活用する方法がありますが、後者は技術的なハードルが高いため、まずはオンラインツールで確認を行うと良いでしょう。
この記事では、「MXToolBox」を使ったDKIM動作確認の手順を紹介します。
- 入力バーの右側にある三角アイコンをクリック
- 「DKIM Lookup」または「DKIM Test」を選択
- ドメイン名とセレクタ(セレクタとはDKIM署名の一部で、特定の鍵を識別するために使用される)を入力
- 実行ボタンをクリック
上記の手順を踏むと、入力したドメインに関するDKIMの設定が表示されます。
鍵の管理
DKIMで利用する鍵は「公開鍵」と「秘密鍵」の2種類です。公開鍵はDNSに公開されていますが、秘密鍵は送信元が設定し、厳重に保管しておかなければなりません。
もし、秘密鍵の情報が漏洩すると、第三者がなりすましを行ったメールでもドメインが一致してしまうため、DKIMのセキュリティが破綻してしまいます。そのため、秘密鍵は社内でもアクセスできる人を限定し、セキュリティの強固な場所に保管しましょう。
また、セキュリティの堅牢性を維持するために、公開鍵と秘密鍵は定期的に更新することが推奨されます。具体的には、以下の点に注意して管理を行います。
- 定期的な鍵のローテーションを行う
- 秘密鍵へのアクセスを厳重に管理する
- 鍵の変更時には、古い鍵を迅速に無効化する
DKIMの設定後は管理や更新に関するルールを定め、セキュリティの維持に努めましょう。
DNSの運用
DKIMの公開鍵はDNSのTXTレコードに登録されます。このため、DNSの設定と運用も重要なポイントとなります。公開鍵を適切に設定し、DNSの変更が反映されるまでのプロパゲーション時間を考慮する必要があります。
また、DNS設定に変更があった場合には、迅速にDKIM設定も更新し、整合性を保つことが求められます。
DMARCアライメントを意識したDKIM設定のポイント
DKIMの設定において最も重要な概念の一つが「DMARCアライメント(整合性)」です。これは単にDKIM署名が正しいかどうかだけでなく「誰が署名したか」がメールの送信元(Fromアドレス)と一致しているかを確認する仕組みです。2025年のガイドラインをクリアするためにはこのアライメントの概念を正しく理解しておく必要があります。
第三者署名と作成者署名(自社ドメイン署名)の違い
メール配信サービスを利用している場合デフォルトの設定ではサービス提供事業者のドメイン(例:sendgrid.netなど)で署名が行われることがあります。これを「第三者署名」と呼びます。
一方で自社のドメイン(例:company.co.jp)で署名を行う設定を「作成者署名」または「独自ドメイン署名」と呼びます。第三者署名でもDKIM認証自体はパスしますが次項で解説するDMARCアライメントの観点では不十分な状態となります。
「Fromアドレス」と「d=タグ」のドメインを一致させる重要性
DMARC認証を成功させるためにはメールヘッダーの「Fromアドレス」のドメインとDKIM署名に含まれる「d=タグ」のドメインが一致している必要があります。
もしFromアドレスが自社ドメインなのにDKIM署名が配信サービスのドメイン(第三者署名)のままだと「ドメインが一致しない」としてDMARC認証は失敗(unaligned)と判定されてしまいます。高い到達率を実現しなりすまし対策を完遂するためには必ず自社ドメインを用いた作成者署名を行いFromアドレスと署名ドメインを一致させることが必須条件です。
DKIMを設定しない場合に発生するリスク
DKIMを設定せずにメールの送受信を行っていると、どのようなトラブルが発生するのでしょうか。
迷惑メール・スパムメールに利用される
ここまでの解説でもあったように、DKIMは配信されたメールが送信元のドメインによって作成されたかをチェックする役割を持っています。
SPFも同様にドメイン認証技術として活用されていますが、DNSレコードに注目した認証しか行わないため「なりすまし」の防止ができません。
両者は同じ認証技術ではあるものの、別の方法でドメインの正当性を検証するため、SPFとDKIMの両方が機能することで「なりすまし」と「改ざん」の対策に効果を発揮します。
メールが届きにくくなる
DKIMを設定していないメールは、受信者側の設定で受信ボックスに配信されづらくなります。
特にGmailでは「送信者ガイドライン」に「全てのメール送信者にSPFかDKIMのいずれか」を使用する旨が記載されているため注意が必要です。
また、1日に5,000件を超える送信者にはDKIM・DMARC・SPFの全てを設定した上でのメール配信が求められています。
迷惑メールを起点とするサイバー犯罪が増えている近年では、セキュリティが不十分なメールは到達率が低くなる傾向にあります。DKIMやSPFに関しては、メールを送受信する上での標準規格となっていることを理解しておきましょう。
関連記事:Gmail送信者のガイドライン変更の内容と対応方法を”1から10まで”解説!
メールリレーサービスの活用
ここまでの解説にもあるように、DKIMを設定していない環境でメールの送受信を行う場合は、様々なリスクを抱えてしまうことになります。とは言え、DKIMの設定には専門的な技術を必要とすることから自力での設定が難しいケースもあることでしょう。
このような場合は、既存のメールインフラに変更を加えずにDKIMを設定したメール配信を可能にする「メールリレーサービス」を利用することがオススメです。
メールリレーサービスとは
メールリレーサービスは、自社のSMTPサーバーと受信サーバーの間で、大量配信や高速配信を可能にするSMTPサーバーを提供しているサービスのことです。このようなサーバーの中継方法は、使用されているプロトコルの名前から「SMTPリレー」とも呼ばれています。
メールリレーサービスで利用される中継サーバーは、メールの配信速度や効率を最適化するための様々な技術を備えており、メールのスパム判定を避けるための対策が施されています。
- 負荷分散と最適化
- スパムフィルター回避対策
- 送信制御とモニタリング
- 配信の最適化アルゴリズム
- レピュテーション管理
など、本来はエンジニアがやらなければいけない複雑な業務をすべてメールリレーサービスに任せることができるのは大きなメリットとなります。
メールリレーサービス「blastengine」の活用
blastengineは簡単にメールの大規模高速配信が可能なSMTPリレーサーバーを提供していますが、同時にメールサーバーを必要としない、APIでのメール送信の仕組みも提供しています。
サーバーの運用やメンテナンスはblastengineで行うため、常に高いIPレピュテーションを保って安全にメールを送ることができます。
また、導入社数27,000社、15年連続顧客導入数No.1の姉妹製品blastmailの技術力で構築した配信基盤で、各メールプロバイダ、携帯キャリアドメインへの最適化と大規模ネットワークを経由してメール配信を行い、日本国内への圧倒的な到達率を実現しています。
それでいて、月額3,000円から利用ができるためコストパフォーマンスも高く、メールだけでなく日本語での電話サポートにも対応しています。
メールアドレスの入力のみですぐにトライアルを始めることができますので、是非試してみてください。
まとめ
ドメイン認証技術の1つである「DKIM」は、送信元が作成した電子署名を受信側で検証することで「なりすまし」や「改ざん」を防止する仕組みです。
Googleをはじめとするメールクライアントは、DKIMやSPF、DMARCなどのドメイン認証技術を設定した上でのメールの送受信を推奨しており、今後さらに厳しいセキュリティ要件が追加される可能性もあるでしょう。
そのため、今後メールの到達率を維持するにはDKIMの設定が不可欠です。
しかし、DKIMの設定には専門的なスキルが必要になり、社内のリソースによっては自社のメールインフラへの実装が難しい場合も想定されます。
このような課題を持つ企業は「メールリレーサービス」を活用し、DKIMを設定した上でのメール配信環境を実現しています。
メールリレーサービスは、各システムごとに機能やプランが異なっていますが、本記事で解説しているような課題の解消には「ブラストエンジン」がオススメです。
ブラストエンジンは月額3,000円でDKIMをはじめとする「送信者ガイドライン」にも対応した配信環境が整備できるだけでなく、無料お試し期間も用意しています。
ブラストエンジンの無料トライアル
DKIMやSPFを設定し、メールを相手の受信ボックスに確実に届けるための施策として是非ご活用ください。
FAQ
- Q:DKIMとはどのような仕組みで、導入するメリットは何ですか?
- A:DKIMは、送信者が発行した電子署名を用いてメールの「なりすまし」や「改ざん」を防ぐ送信ドメイン認証技術です。導入することで、メールの信頼性が高まり、スパム判定を回避して到達率が改善されるメリットがあります。
- Q:DKIM、SPF、DMARCの違いは何ですか?
- A:SPFはIPアドレスで送信元の正当性を確認し、DKIMは電子署名で改ざんを検知する技術です。DMARCはこれらを補完し、認証に失敗したメールの扱い(拒否や隔離など)を送信者がポリシーとして設定できる仕組みです。
- Q:DKIMを設定しないとどのようなリスクがありますか?
- A:メールがなりすましに利用される危険性があるほか、Googleなどの送信者ガイドラインを満たせず、正当なメールであっても迷惑メールと判定されたり、相手に届かなくなったりするリスクが高まります。
- Q:専門知識がなくてもDKIMを設定する方法はありますか?
- A:自社サーバーでの設定にはDNSや鍵管理の専門知識が必要ですが、「メールリレーサービス」を活用することで、既存のインフラを変更せずに簡単にDKIM対応のメール配信が可能になります。
