DKIM(DomainKeys Identified Mail)の設定
DKIMは、公開/秘密鍵による暗号化を使用する認証方式で、送信側ドメインの管理者が承認、設定した、認証済みサーバーからメールが生成されているかどうかを認証します。
DKIMを設定する理由
スパム送信者は、本物のメール送信者からだと主張するメールを送信することがよくあります。ほとんどの場合、こうしたメールは受信者にメールを表示させるために送信されます。また、正規の送信者であるという名目で、受信者から機密情報(パスワード、メールアドレスなど)を収集しようとすることもあります。スパム送信者がよく用いる方法には、なりすましメールと後方散乱メールの2つがあります。
なりすましメール:
なりすましメールは、スパム送信者が、自身のものではない正規のドメイン/メールアドレスからメールが送信されたように見せかける不正行為です。これは、合法的なメールに見せかけ、受信者が信頼してメールを開くよう、メールヘッダーを偽造して行います。
送信者が本物らしく見え、より多くの受信者がメールを見るため、スパム送信者はこのアプローチを取ります。しかし、ユーザーから機密情報を取得しようとすると、深刻な結果を招くことがあります。なりすましメールは、SPFとDKIMを設定することによって検出、回避できます。DKIMが設定されている場合、各メッセージに関連付けられたドメイン名のIDが認証されます。
このDKIM認証が失敗した場合、設定された条件に基づき、DKIM認証が失敗したときにそのメールは検疫または拒否されます。
後方散乱メール:
スパム送信者は、ドメイン名を偽装し、改ざんしたメールアドレスを使用してメールを送信します。受信側ドメインがそのメールを拒否した場合、なりすましされたドメインにバウンスメッセージが送信されます。
スパム送信者があなたのメールアドレスになりすまし、スパムメールを別のドメインに送信した場合を考えてみましょう。これらのスパムメールが無効なメールアドレスに送信されると、受信側ドメインはなりすましされたドメインにバウンスメッセージを送信します。このバウンスメッセージは、スパム送信者に送信されるのではなく、ユーザーがメール送信を要求しているなりすましされたドメインに送信されます。なりすましされたドメインは、受信側ドメインからもブラックリストに登録されます。DKIMが設定されている場合、ドメインの信頼性を認証でき、ドメインがブラックリストに登録されることを回避できます。こうしたスパムメールの受信側では、DKIMはメールの信頼性を検出するのに役立ちます。正当でないメールはメールボックスに配信されません。
スパム送信者がよく使用する2つの方法、なりすましメールと後方散乱メールは、ドメインにSPFとDKIMを設定することで、ある程度防止できます。
DKIMの仕組み
DKIMプロセスでは、公開鍵はドメインのDNSマネージャー(ドメイン登録業者またはDNSプロバイダー)のTXTレコードとして公開されます。すべての送信メールに、特定のドメインの秘密鍵を使用して生成された一意の署名が組み込まれます。受信側メールサーバーは、この秘密鍵と公開鍵の組み合わせを使用してメールソースを認証します。認証に失敗した場合、受信側サーバーは、サーバーの動作に基づき、メールを拒否するか、スパム/偽装メールに分類します。
ドメインのDKIMを有効にして使用すると、Zohoを使って送信した有効なメールは受信側でスパムに分類されなくなります。
DKIMセレクター
セレクターは、ドメインのDKIM公開鍵の詳細を識別するために使用します。これはDKIM署名の属性であり、メールのDKIMヘッダーに含まれています。異なるユーザーセットに特別な署名者制御を提供する必要がある場合は、1つのドメインに対して複数のセレクターを使用できます。
セレクターを追加して認証したら、そのセレクターをデフォルトにし、ドメインに対して有効にする必要があります。有効にすると、そのドメインからの送信メールはすべて、[ユーザー]セクションでユーザーが別のセレクターに関連付けられていない限り、デフォルトセレクターによって署名されます。
ドメインのDKIM署名を追加する手順:
ドメインのDNSマネージャーで必要なテキストレコードを作成した後、Zoho MailのコントロールパネルからドメインのDKIMを有効にできます。DKIM設定には、以下の3つの主要な手順があります。
- Zoho Mailでデフォルトセレクターを使用して、一意のDKIM公開鍵の値を生成します。
- ドメインのDNSマネージャー(ドメイン登録業者/DNSプロバイダー)でTXTレコードを作成します。
- Zoho Mailでセレクターを認証し、DKIMを有効化します。
I. Zoho Mailで一意のドメインキーを生成する
- 管理者の認証情報を使用して、https://mailadmin.zoho.com/cpanel/index.doからコントロールパネルにログインします。
- [メール認証]>[DKIM]の順に選択し、DKIM設定ページに移動しま。
- DKIMを設定するドメインの編集アイコンをクリックします。
- [セレクターを追加]をクリックし、ドメインの新しいセレクターを追加します。
- Zoho Mailで使用するドメインのセレクター名を入力します。例:zoho
- [保存]をクリックします。[TXTレコード値]テキストボックスが、DKIM公開鍵の値と共に表示されます。
- [TXTレコード値]項目のテキスト全体をコピー(右クリック>>[コピー])します。
- DNSマネージャーでこの値を使用してTXTレコードを作成してから、[認証]をクリックする必要があります。
II.DNSマネージャーでTXTレコードを作成する
- ドメインのDNSマネージャーにログインします。
- お使いのDNSに、タイトルが<selector>._domainkey.<yourdomainname.com>のTXTレコードを作成します。
例:選択したセレクターがzohoでドメイン名がzylker.orgの場合、TXTレコードの名前はzoho._domainkey.zylker.orgとなります。山かっこを付けずに、テキストをカスタム値に置き換えてください。
GoDaddy/Wix/Squarespace/Namecheapなどを使用してDNSをホストしている場合、TXTレコード名にzoho._domainkeyを指定します(プロバイダーがドメイン名を自動的に付加します)。 - TXTレコード値には、Zohoのテキスト項目[TXTレコード値]からコピーしたコンテンツ全体を貼り付けてください。
- DNSマネージャーでTXTレコードを保存します。
- こちらの外部サービス製リンクを使用して、DKIMの有効性をチェックできます。
注:
TXTレコード作成プロセスは、使用するDNSプロバイダー/マネージャーによって異なります。
一部のDNSプロバイダー(GoDaddy、Wix、Squarespace、Namecheapなど)は、ドメイン名を自動的に追加します。このような場合は、TXTレコード名として<selector>._domainkeyを指定します。
また、特定のDNSプロバイダーは、TXTレコードではなくサブドメインを作成することを想定しています。
GoDaddyドメインマネージャーでTXTレコードを追加する手順
- GoDaddy DNSマネージャーにログインします。[マイアカウント]メニュー、[ドメイン]の順に選択します。
- [ドメイン]を展開し、認証するドメインの[DNSを管理]ボタンをクリックします。
- [DNSマネージャー]ページが開き、既存のDNSレコードに関する情報が表示されます。
- [レコード]セクションまでスクロールし、[追加]ボタンをクリックして、DNSレコードを追加します。
- [レコードタイプ]ドロップダウンメニューの[TXT]を選択します。
- [ホスト]項目に、<selector>._domainkeyと入力します。
- [TXT値]項目に、Zoho Mailコントロールパネルで生成したTXTレコード値を入力します。
- [完了]をクリックします。
III.ドメインのDKIMを有効化する
- DKIM認証が外部サービスサイトで成功したら、Zoho Mailコントロールパネルにログインします。
- 個々のセレクターの[認証]をクリックします。テキストレコードの状態が「認証済み」に変更されます。
- 認証されると、DKIMを今すぐ、または後で有効化するよう求めるプロンプトが表示されます。DKIMをすぐに有効化すると、ドメインからのメールへのDKIM署名が開始されます。
- 有効化すると、ドメインから生成されるすべてのメールにDKIM署名が追加されます。
複数のDKIMセレクター:
1つのドメインに複数のセレクターを使用して、異なる場所にある複数のオフィスに個別のDKIM署名を提供したり、一連のアカウントに個別のDKIM署名を提供したりすることができます。
例:
- ukoffice._domainkey.zylker.com
- usoffice._domainkey.zylker.com
- hrteam._domainkey.zylker.com
- marketing._domainkey.zylker.com
ユーザーセットやオフィスごとに固有のDKIM鍵用に、セレクターをさらに追加できます。
ユーザーベースのDKIMセレクター:
複数のセレクターがある場合は、要件に基づいて異なるユーザーセットをセレクターに関連付けることができます。デフォルトセレクターは全ユーザーに自動的に適用されるため、ドロップダウンには表示されません。
セレクターを追加すると、[ユーザーリスト]セクションにある特定のユーザーセットに関連付けることができます。
SPF/DKIM問題のトラブルシューティング
TTLが長い
TTL(Time to Live)は、DNSで指定した、DNSの変更が有効になるまでの時間です。TTL値が大きい(24時間/48時間)と、TXT/SPFレコードが伝播するまでに時間がかかる場合があります。TTLセットに基づいてDNSの変更が有効になるまで、最長12~24時間かかることがあります。
不正な値
多くの場合、DNSプロバイダーによってSPFレコードの追加方法が異なります。
入力ミス/スペルミス
Zohoの設定ページから正しい情報をコピーしたかどうかをチェックしてください。DKIMの場合、表示された鍵全体をコピーし、TXTレコード値として入力する必要があります。また、TXTレコード名は、推奨される命名規則に従っている必要があります。
注:
メールを中継するメールサーバーがメールコンテンツに変更を加えると、署名が変更され、受信側の認証時にDKIMが無効となる可能性があります。
現在のところ、DKIMは、Zohoで生成され、外部サーバーに直接配信されるメールにのみ対応しています。メールルーティングと送信ゲートウェイを使用して設定されたドメインでは、メールは直接配信されません。また、他のサーバーで生成されたメールにDKIMは対応しません。