IMSVA 9.1 には DKIM (DomainKeys Identified Mail) の署名機能が実装されており、内部から外部宛のメッセージに署名することができます。
-
ウイルス検索やスパムメール検索などのポリシールールの検索後、配送するメッセージに署名します。
-
DKIM の仕様は RFC 6376 にインターネット標準として規定されています。詳しくはWeb等のリソースを参照してください。
-
Microsoft365 などで DKIM 設定をおこなっている場合、IMSVA の設定で DKIM 署名が挿入されることにより受信側で DKIM 検証が失敗する可能性があります。
この場合は IMSVA、Microsoft365 のどちらか一方で DKIM 署名を挿入するように設定してください。
署名する対象となるメッセージ
次の両方の条件に該当した場合、メッセージに DKIM の署名が行われます。
- 条件:
- (a) 送信者のドメインが DKIM 署名のドメインに設定されている
- (b) 受信者のドメインが ポリシー > 内部アドレス に登録されていない
設定手順
設定を変更した場合には Postfix のサービスが再起動します。
テスト用のサブドメインを用意して動作を検証した上で実環境に導入することを推奨します。
-
管理コンソールの 管理 > IMSVA設定 > DKIM署名 の画面を開き、[追加] ボタンをクリックします。
「DKIM署名の追加」画面が表示されます。また、「詳細」をクリックすると詳細設定も表示されます。
-
ユーザ環境に合わせて各項目を設定します。
一般 設定例 DKIM-Signature ヘッダのタグ 説明 DKIM-Signature ヘッダのタグ 説明 ドメイン: example.com (From ヘッダ) 署名する送信者 (From ヘッダ) のドメインです。example.com にはサブドメインは該当しません。サブドメインのメッセージにも署名するには *.example.com を指定した署名のエントリを別に登録してください。
SDID: example.com d= SDID (Signing Domain Identifier) には署名のドメインを指定します。署名を検証する際、このドメインの DNS から公開鍵を取得します。
「ドメイン」に指定したドメイン (From ヘッダのドメイン) と異なるドメインを指定することは可能ですが、DMARC の検証に失敗する可能性があります。また、InterScan MSS や IMSVA の DKIM 署名の検証では From ヘッダと SDID のドメインが異なる場合、検証に失敗します。
セレクタ: default s= DNS 上の公開鍵を示します。
default であれば署名を検証する際、公開鍵を default._domainkey.の TXT レコード (DKIM レコード) をクエリして取得します。例えば秘密鍵を変更した場合には古い秘密鍵と分けるために 20190415 など、異なるセレクタを指定します。
秘密鍵: n/a n/a 「アップロード」または「作成」を選択します。
すでにエクスポートした既存の秘密鍵があれば「アップロード」を選択して秘密鍵のファイルを指定します。新たに新しい秘密鍵を生成する場合、「作成」を選択してキーの長さを 1024 または 2048 から選択します。
詳細 設定例 DKIM-Signature ヘッダのタグ 説明 DKIM-Signature ヘッダのタグ 説明 ヘッダの正規化: relaxed c= "simple" の場合、署名を検証する際、一切のヘッダの変更、本文 (メッセージボディ) の変更は認められません。
"relaxed" の場合、署名を検証する際、ヘッダ名の大文字小文字の違いやヘッダフィールドの折り返し (folding)、ホワイトスペース (改行やタブ、スペース) の違いは認められます。
"c=" タグはヘッダ、本文の正規化の順に "/" (スラッシュ) で分けられ、例えばヘッダが "relaxed"、本文が "simple" であれば "c=relaxed/simple" となります。
本文の正規化: relaxed 署名の有効期限を有効にする: n/a x= 署名の有効日数を 1 - 30 の範囲で指定します。例えばチェックを入れ、30 日に設定した場合、署名した日時 ("t=" タグの日時) から30日後に署名の有効期限が切れ、それ以降に署名を検証すると失敗します。
本文の長さを有効にする: n/a l= 署名対象となる本文 (メッセージボディ) のサイズを指定します。例えばチェックを入れて 50 bytes を設定した場合、本文の先頭から 50 bytes が署名対象となります。
AUID: n/a i= AUID (Agent or User Identifier) には必要に応じて SDID と同じドメインのサブドメイン (例えば SDID が example.com であれば AUID には support.example.com) を指定します。親ドメインでサブドメインのメッセージに署名する場合に設定します。
なお、InterScan MSS や IMSVA の DKIM 署名の検証では From ヘッダと AUID のドメインが異なる場合、検証に失敗します。
除外ドメイン: n/a n/a 「ドメイン」に *.example.com など、ワイルドカードでドメインを登録している場合、署名から除外するサブドメインを指定します。
設定後、[保存] ボタンをクリックします。以下のように DKIM 署名の設定がリストに表示されます。
-
初期設定では署名するヘッダ ("h=" タグ) として「差出人」 (From)、「宛先」 (To)、「日付」 (Date) にチェックが入っています。
例えば署名するヘッダに Subject ヘッダや Message-ID ヘッダを追加するのであれば、「カスタマイズ」をクリックして以下のように入力し、[保存] をクリックします。
-
DKIM 署名のリストの画面に戻りますので [保存] をクリックし、いったん設定を保存します。
-
「DNSレコード」のリンクをクリックすると、ポップアップ画面に次のように表示されます。
DNS TXTレコードの名前: default._domainkey.example.com DNS TXTレコードの値: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAn9SeKHVEtdu719gKHY8K TUF1BUTIFIWzdgartnovlhwbis3zqjFwFWKJf7JZhPHnr/D1KWd0LWQKlfDzPGLV /N93p0ttOqkDIQmbX8wI3qPEYuG6btOy9tJwMhFQdLZwpbU04ZbC8T17XUjO4gmf VUlsfXX2ZsEYxBl7+JTNVhfSdwq9qNLGmNJwMQ/HVDG9Eh4jjrQfpcFZg+pruH3w EysuOtldb/GdLnQVqW1jR61QYm7prGj4llDRyao6+6UQncBU3JZdHY211a/CIXDe 6iy+YDJoPle7CDIzqaNt+OlTQAORD3Ni9x6w8SqtJJTtq2ebbfKgkkipi9KBRyJc lQIDAQAB
上記例では、"default._domainkey.example.com" の TXT レコードに "v=DKIM1; k=rsa; p=MIIBIjANB ..." の値を設定することになります。ユーザ環境に合わせて DNS に TXT レコード (DKIM レコード) を設定してください。
"p=" のあとの文字列には64文字ごとに空白が挿入されています。BIND など、255 文字を超える TXT レコードが存在するとサービスの起動に失敗する場合があるため、64文字ごとに改行したり、ダブルクオートを挿入する目安としてこの空白が挿入されています。
そのため、例えば次のように複数行に分けて DNS に TXT レコードを設定してください。
default._domainkey IN TXT ( "v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAn9SeKHVEtdu719gKHY8K" "TUF1BUTIFIWzdgartnovlhwbis3zqjFwFWKJf7JZhPHnr/D1KWd0LWQKlfDzPGLV" "/N93p0ttOqkDIQmbX8wI3qPEYuG6btOy9tJwMhFQdLZwpbU04ZbC8T17XUjO4gmf" "VUlsfXX2ZsEYxBl7+JTNVhfSdwq9qNLGmNJwMQ/HVDG9Eh4jjrQfpcFZg+pruH3w" "EysuOtldb/GdLnQVqW1jR61QYm7prGj4llDRyao6+6UQncBU3JZdHY211a/CIXDe" "6iy+YDJoPle7CDIzqaNt+OlTQAORD3Ni9x6w8SqtJJTtq2ebbfKgkkipi9KBRyJc" "lQIDAQAB" )
-
DNS の設定が終わったら 管理 > IMSVA設定 > DKIM署名 に戻り、「DKIM署名を有効にする」にチェックを入れた上で [保存] をクリックして DKIM 署名を有効化します。
外部宛のメッセージに次のような DKIM-Signature ヘッダが追加されて配送されます。
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=default; t=1555040205; bh=wE7NXSkgnx9PGiavN4OZhJztvkqPDlemV3OGuEnLwNo=; h=Date:From:To:Subject:Message-ID; b=GQIiALOKQZZjJAmG/PGpMFPLeS4SxmUT4mLUtJs7nT2GVI4/qfWAXjLifIJo7Gxok VhEg4tmGfGBAqcIoyu+KE4poIFrtyRzFrogbpT+DT1BjdhrsPUTwLpxg9yhb3It3sp d1rcBQwVyzr9gkHqbUMfjw7G82I+/PYsbnDUQm3tU/XSciM6VMA1eF7DKLP3GyIoHB 2vOsHGi+lVzO7APdut3NlcUcXIN0nhYsJaW+r/RzItis/8RvOvRlq+EtBSwCmWsKnW tah9JFNZ/mdYZEz3IaqF2CskGNag3H2/qYaKDrrP12IYLEWoheUlCeXHorojqix8Ct 6k//Xj40vo4lg==