DomainKeys Identified mail (以下、DKIM)は受信したメールが正当な送信者から送信され、改ざんされていないことを検証する電子署名方式の送信ドメイン認証技術です。
Hosted Email Security(以下、HES) では、受信メッセージに対してDKIM検証、送信メッセージに対してはDKIM署名を追加することが可能です。
受信メッセージ
DKIM署名ヘッダフィールドの "d="タグで指定したドメインがメッセージ内の "From:" フィールドのドメイン部分にある親ドメインと同一、または親子関係である場合に、受信メッセージのDKIM署名が検証されます。
送信メッセージ
メッセージヘッダ内の "From:"フィールドの値が MAIL FROMアドレス(エンベロープの差出人)と同じ場合に、DKIM署名が送信メッセージのヘッダに追加されます
設定方法 (受信メールへのDKIM検証設定)
1. 管理コンソールにログオンし、[受信保護設定] - [ドメインベース認証] - [DomainKeys Identified Mail (DKIM) 検証] をクリックします。
2.「初期設定」は管理されているドメイン全てに対する設定です。全ドメインに対して同じ設定を行いたい場合は「初期設定」リンクをクリックします。
ドメインごとに設定を行いたい場合は「追加」ボタンをクリックし、「DKIM検証設定を追加する」画面を表示します。
3. 各項目を設定します。
(1) 「ドメイン名:」から、DKIM検証を実施する任意のドメインを選択します。
(2) 「DKIM検証を有効にする」を有効にします。
(3) 必要に応じて、「Xヘッダをメールメッセージに挿入する」を選択します。
以下は挿入されるヘッダの例です。
X-TM-Authentication-Results:dkim=pass; No signatures and verification is not enforced
X-TM-Authentication-Results:dkim=pass; No valid signatures and verification is not enforced
X-TM-Authentication-Results:dkim=fail; No processed signatures but verification is enforced
X-TM-Authentication-Results:dkim=pass; Contain verified signature, header.d=test.com, header.s=TM-DKIM_201603291435, header.i=sender@test.com X-TM-Authentication-Results:dkim=fail; No verified signatures
(4) 「インターセプト」セクションで、DKIM検証に失敗したメッセージに対して行う処理を選択します。
(5) 「タグ付けと通知」で、メッセージに対してさらに行う処理を選択します。
(6) 必要に応じて、「強制ピア」指定します。
メールメッセージの送信者ドメインが強制ピアに指定されているかどうかにより、検証成功・失敗の基準について、以下の違いがあります。
強制ピアに指定した送信者ドメインからのメッセージ:
メールメッセージの署名が検証に成功することが必要です。
DKIM署名が存在しない場合や、有効な形式の署名が存在しない場合はDKIM検証失敗として取り扱われ、「インターセプション」で指定した処理が実行されます。
強制ピアに指定していない送信者ドメインからのメッセージ:
DKIM検証が成功した場合に加え、DKIM署名が存在しない場合や、有効な形式の署名が存在しない場合も、DKIM検証成功として取り扱われます。
この場合は「インターセプション」で指定した処理は実行されません。
(7) 必要な設定を全て行ったら「追加」ボタンをクリックします。
以上で操作は完了です。
設定方法 (送信メールへのDKIM署名追加設定)
1. 管理コンソールにログオンし、[送信保護設定] - [DomainKeys Identified Mail (DKIM) 署名] をクリックします。
2. 「追加」ボタンをクリックし、「DKIM署名設定を追加する」画面を表示します。
3.各項目を設定します。
(1) 「ドメイン名:」で、DKIM署名を追加する任意のドメインを選択します。
(2) 「DKIM署名を有効にする」を有効にします。
(3) 以下の各項目を設定します
・ SDID
ドロップダウンリストから署名ドメイン識別子を選択します。
・ セレクタ
鍵の名前空間を細分するセレクタです。初期設定を保持します。
・署名するヘッダ
署名するヘッダを選択し(複数選択可)、必要に応じ、「ヘッダのカスタマイズ:」欄にカスタマイズヘッダを追加します
・待機時間
新しい鍵ペアを使用した送信メッセージへの署名が有効になるまでの時間を指定します。
・鍵のペア
「生成する」をクリックして生成します。
以下のように鍵のペアが表示されます。
(4) [詳細]をクリックし、以下の項目を設定します。
・ヘッダの正規化
ヘッダ用の正規化アルゴリズムを選択します
・本文の正規化
本文用の正規化アルゴリズムを選択します
・署名の有効期限
1~30日を指定可能です
ボディ長の上限
メールボディの長さが指定した値を超えた場合、署名は行いません
(5) 必要な設定を全て行ったら「追加」ボタンをクリックします。
4. 管理ドメインのDNS サーバに必要なTXTレコード情報を公開します
【注意】
HESは、該当ドメインのDNSレコードに正しいTXTレコードが公開されているかチェックします。
公開されていれば、送信メールに対してDKIM署名の追加を開始します。
以下は、追加されるDKIM署名ヘッダの例です。
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=test.com;
s=TM-DKIM_201701011234; t=1172620939; x=1172621939;
bh=YhgoiD/fs553x6jbtQom9deJUzYXOAuXqDABbYpbcZk=;
h=Date:From:To:Subject:Message-ID;
b=Aqhl5qpVzoszapYG9u9CkJxcv5MXKzqplTPFqu+exD3wfOH4Bt1qVFs6QA9g5pPAZ
6AT2RathgvITnd3y41SKsuLMQ4VSsUYSE34GvpqJ7Wmt+WAbh+OQhiztouHs3h5V9u
ewthno4eJckYILHyptlhnsyoRw6GZ5mZdBv9S4yM=
以上で操作は完了です。
