ビュー:
DDEIでは、送信者ドメイン認証機能の一つとして、DKIM署名用意しております。
DDEIにおける送信者ドメイン認証の概要及びその他の機能につきましては、こちらをご参照ください。
本KBでは、DKIM署名機能についてご紹介します。
 

DKIMの概要

DKIMはRFC6376にインターネット標準として規定されています。簡単な概要の紹介につきましてはこちらをご参照ください。

 

DKIM署名の設定

管理画面の [管理] > [送信者フィルタ/認証] > [DKIM署名] から設定します。
当該画面での設定に従って、DDEIから送信されるメールにDKIM署名(DKIM-Signatureヘッダ)が付与されます。

1.ドメイン

DKIM署名を行う送信者のドメインを指定します。
Fromヘッダのメールアドレスのドメイン部が本設定値に合致した場合、以降の設定に従ってDKIM署名の付与を実施します。
"*.example.test"のようにワイルドカードを使用したサブドメイン指定が可能です。
この場合、example.testのすべてのサブドメインが対象となります。
 

2.SDID(DKIM-Signatureヘッダ内の対応タグ:d=)

DKIM署名に使用するSDID(Signing Domain Identifier)を指定します。

「1.ドメイン」で指定したドメインと異なるドメインを指定することも可能ですが、その場合、当該DKIM署名に対するDMARC認証の失敗につながります。
「1.ドメイン」で指定したドメインと同一のドメイン、またはその親ドメインを指定することになります。
 

3.セレクタ(DKIM-Signatureヘッダ内の対応タグ:s=)

DKIM署名に使用するセレクタを指定します。
先述のSDIDと合わせ、公開鍵情報の格納先となるDNS TXTレコードが決定します。
 

4.署名するヘッダ(DKIM-Signatureヘッダ内の対応タグ:h=)

DKIM署名の生成に使用するヘッダを指定します。
送信元(From)/送信先(To)/日付(Date)から選択する他、カスタムヘッダにて任意のヘッダを追加します。
 

5.秘密鍵

DKIM署名に使用する秘密鍵を設定します。
既存の鍵ファイルをインポートするか、新規に鍵をDDEIで生成するかを選択します。

設定後、"DNS TXTレコード名"と"DNS TXTレコード値"にDNSに登録すべき公開鍵情報が表示されます。
DKIM署名の検証には、当該情報がDNSサーバから参照できる必要があります。

"DNS TXTレコード名":
DKIM署名の登録先となるドメイン名が表示されます。
(セレクタ)._domainkey.(SUID)というドメインのTXTレコードに公開鍵情報が登録されている必要があります。

"DNS TXTレコード値":
DNS TXTレコード名に登録する実際のTXTレコード値が表示されます。
こちらの値が秘密鍵と対になる公開鍵情報となります。
 

6.ヘッダの正規化(DKIM-Signatureヘッダ内の対応タグ:c=)

DKIM署名を生成する際に使用する、メールのヘッダ情報の正規化方式を指定します。
以下いずれかを指定します。

 簡易: "simple"を使用します。署名検証時、一切のヘッダ値の変更を許可しない方式です。
 緩和: "relaxed"を使用します。署名検証時、ヘッダ値の変更に関して、大文字/小文字の同一視、折り畳み、空白値を許可する方式です。
 

7.本文の正規化(DKIM-Signatureヘッダ内の対応タグ:c=)

DKIM署名を生成する際に使用する、メールのボディの正規化方式を指定します。
以下いずれかを指定します。

 簡易: "simple"を使用します。署名検証時、ボディ部の変更に関し、空行のみを許可する方式です。
 緩和: "relaxed"を使用します。署名検証時、ボディ部の変更に関し、空行と行末の空白値を許可する方式です。
 

8.署名の有効期限(DKIM-Signatureヘッダ内の対応タグ:x=)

DKIM署名の有効期限(単位:日数)を指定します。
0を指定した場合、無制限となります。
 

9.本文の長さ(DKIM-Signatureヘッダ内の対応タグ:l=)

DKIM署名の生成に使用するボディ部の最大長を指定します。
 

10.AUID(DKIM-Signatureヘッダ内の対応タグ:i=)

DKIM署名に使用するAUID(Agent or User Identifier)を設定します(任意)。
入力値は、以下の形式である必要があります。

 (ローカルパート)@(ドメインパート)
 @(ドメインパート)

また、(ドメインパート)はSDIDと同一、またはそのサブドメインである必要があります。
 

11.サブドメインの除外

ドメインとして"*.example.test"のようにサブドメイン指定を行った場合に設定可能となる項目です。
DKIM署名の実施を除外したいサブドメインを設定します。
 

補足事項

  1. 既にDKIM署名(DKIM-Signatureヘッダ)がメールに含まれている場合、すべてのDKIM署名を削除してから新規にDKIM署名を付与いたします。
  2. DKIM署名処理に失敗した場合、メールは署名されないままDDEIに配送されます。
    署名の失敗は、管理画面の[ログ] > [メッセージ追跡ログ]にて当該メールの"処理履歴"から確認できます。
    また、署名の失敗は、管理画面の[アラート/レポート] > [アラート] > [ルール]の"System: Unsuccessful DKIM Signing"でアラートとして通知させることも可能です。