IT用語集
多要素認証(MFA)とは? その重要性や3つの認証要素について解説
DKIMとは? 10分でわかりやすく解説
目次
DKIM(DomainKeys Identified Mail)は、メールに付与した電子署名を受信側がDNS上の公開鍵で検証し、署名に使われたドメインがそのメールに関与したことと、署名対象のヘッダーや本文が署名後に改変されていないことを確かめる仕組みです。メール認証の中では「送信元IPを見るSPF」「Fromドメインとの整合や受信側の扱いを定めるDMARC」は役割が異なり、組み合わせて使います。DKIM単体では表示上のFromなりすまし対策として十分ではなく、送信経路の棚卸し、署名ドメインの設計、配送途中の改変対策まで含めて設計する必要があります。
- 先に結論:DKIMは「メール内容に対する署名」の仕組みであり、改ざん検知と署名ドメインの関与確認に向いています。
- 単体で不足する点:受信者に見えるFromドメインとの整合は別問題で、外部からのなりすまし抑止にはDMARCまで含めた設計が欠かせません。
- 失敗しやすい場面:メーリングリスト、転送、本文やヘッダーを書き換える中継、外部配信サービスの設定漏れ、鍵の切り替え時のDNS反映漏れです。
DKIMとは何か
DKIMは、DomainKeys Identified Mailの略で、メールに電子署名を付け、受信側がDNS上の公開鍵で検証する技術です。ここで確認できるのは、署名に使われたドメインがそのメールに署名したことと、署名対象のヘッダーおよび本文が署名後に変わっていないことです。送信元IPの照合を中心に扱うSPFより、転送時の影響を受けにくい場面がありますが、配送途中で本文やヘッダーが書き換わると検証に失敗することがあります。
DKIMの定義と役割
送信側は、メールの本文と一部ヘッダーをもとにハッシュ値を作り、秘密鍵で署名してメールに付与します。受信側は、メールに書かれた署名ドメイン(d=)とセレクタ(s=)を手がかりにDNSから公開鍵を取得し、その署名を検証します。
DKIMが担う役割は、主に次の2点です。
- 改ざん検知:署名対象の本文やヘッダーが配送途中で変更されると、検証結果は失敗になります。
- 署名ドメインの関与確認:どのドメインがそのメールに署名したかを受信側が確認できます。
ただし、DKIMは「そのメールの差出人本人」を確認する仕組みではありません。攻撃者が自分で管理する別ドメインにDKIM署名を付けること自体は可能であり、受信者に見えるFromドメインのなりすまし対策として使うにはDMARCで整合を確認する設計が欠かせません。
DKIMの仕組みと動作原理
- 送信サーバーまたは送信サービスが、秘密鍵でメールに署名し、ヘッダーにDKIM-Signatureを付与する
- 受信サーバーがDKIM-Signatureを読み取り、d=(署名ドメイン)とs=(セレクタ)を確認する
- 受信サーバーがDNSから「s._domainkey.d」に対応するTXTレコードを取得する
- 公開鍵で署名を検証し、署名対象が変わっていなければDKIM=passになる
受信側はDKIMだけで受信可否を機械的に決めるとは限りません。実際にはSPFの結果、DMARCポリシー、送信元の評判、本文の特徴などと組み合わせて評価します。
DKIMだけでは足りないケース
- Fromなりすましを抑止したい場合:DKIM passでも、署名ドメインとFromドメインが一致していなければDMARCの評価に使えないことがあります。
- 中継で本文が書き換わる場合:メーリングリストのフッター追加や中継時のヘッダー書き換えで署名が壊れることがあります。
- 送信経路が多い場合:社内MTA、クラウドメール、問い合わせフォーム、請求書送付、メルマガ配信などを別々に管理していると、署名漏れが起きやすくなります。
DKIMの歴史と背景
メールは標準仕様の上、差出人情報を偽装しやすい設計で使われてきました。スパムやなりすまし対策の必要性が高まる中で、ドメイン単位で署名を検証する仕組みとしてDKIMが整備され、現在は主要な受信基盤で広く使われています。
DKIMで得られること
| 改ざん検知 | 署名対象の本文やヘッダーが配送途中で変更されると検証に失敗し、改変の有無を把握しやすくなります。 |
|---|---|
| DMARC連携 | 署名ドメインとFromドメインの整合が取れていれば、DMARCで失敗メールの扱いを制御しやすくなります。 |
| 到達性判断 | 受信側は正規メールかどうかを複数要素で判定します。DKIMが安定して通る状態は、その判断材料の一つとして使われます。 |
| ブランド保護 | 自社ドメインを使う正規メールの識別性が上がり、偽装メールを見分けやすい環境を作れます。 |
一方で、DKIMだけでメールの安全性が完成するわけではありません。設定と運用を誤ると、署名していてもDMARC評価に使えない、あるいは配送途中でfailになる、といった問題が起きます。
DKIMの設定方法
DKIMは「鍵の準備」「DNSへの公開」「送信側での署名設定」がそろって初めて機能します。実務で先に整理すべきなのは、どの送信経路が、どのドメインとして署名するかです。ここが曖昧なまま設定だけ進めると、送信経路ごとに挙動が分かれて障害を見つけにくくなります。
DKIMレコードの作成手順
- 公開鍵と秘密鍵のペアを生成する。メール基盤や配信サービスが自動生成する場合もあります。
- 公開鍵をDNSのTXTレコードとして登録する。
- 送信側のMTAや送信サービスに秘密鍵を配置し、署名を有効化する。
DNSレコード名は一般に「セレクタ._domainkey.ドメイン」形式です。たとえば「selector._domainkey.example.com」のようになります。セレクタは、鍵を切り替えるときに新旧の公開鍵を区別するための識別子です。
TXTレコードの値には通常「v=DKIM1; k=rsa; p=...」のような公開鍵情報が入ります。実際の値は長くなりやすく、DNS管理画面の改行や引用符の扱いを誤ると取得に失敗します。登録後は、公開DNSから想定どおりに引けるか必ず確認します。
送信メールサーバーでのDKIM署名の設定
署名設定では、次の観点を先に固めると手戻りが減ります。
- どの送信経路で署名するか:社内MTA、クラウドメール、メルマガ配信、問い合わせフォーム、予約通知など
- どのドメインで署名するか:Fromドメインと同一にするか、サブドメインを分けるか
- どのヘッダーと本文を署名対象にするか:変更が入りやすい経路なら過度に厳しい設計を避ける
- 秘密鍵をどこに置き、誰が変更できるか:漏えい時の影響が大きいため権限管理が欠かせません
現場で起きやすいのは、「社内メールは署名されるが、外部の配信サービスだけ未設定」という漏れです。請求書送付、問い合わせ自動返信、メルマガ、SaaSからの通知など、Fromに同じドメインを使う経路を先に棚卸ししておく必要があります。
DKIM署名の検証方法
確認すべきなのは「署名が付いているか」だけではありません。受信側で実際にpassになっているかまで見ます。
- テストメールを送信し、受信メールのヘッダーにDKIM-Signatureがあるか確認する
- Authentication-Resultsなどで dkim=pass / fail を確認する
- DNSから公開鍵のTXTレコードを取得し、想定したセレクタとドメインで公開されているか確認する
送信側で署名できていても、配送途中で本文やヘッダーが書き換わると受信側ではfailになります。検証は送信側のログだけで完結させず、実際の受信メールヘッダーまで確認するのが基本です。
DKIMのトラブルシューティング
| dkim=fail | 公開鍵と秘密鍵の不一致、DNSレコードの誤登録、配送途中の本文やヘッダーの改変が典型例です。公開DNSからの取得結果、署名ログ、配送経路での書き換え有無を順に切り分けます。 |
|---|---|
| 署名が付かない | 署名設定が一部の送信経路にだけ未適用、署名モジュールの停止、SaaS側の設定漏れが主な原因です。送信経路の一覧と適用範囲を突き合わせます。 |
| 迷惑メール扱い | DKIM以外にもSPF、DMARC、送信元IPの評判、苦情率、バウンス率、本文品質が影響します。認証だけでなく配信運用全体を見直します。 |
| 配信遅延 | DKIM検証だけが原因とは限りません。送信側キュー、DNS応答遅延、受信側のグレイリスティングやレート制御も含めて切り分けます。 |
DKIMとSPF、DMARCの関係
メール認証はDKIMだけ、SPFだけで完結しません。外部から見たなりすまし対策として実効性を持たせるには、少なくともDKIMとSPFを整え、その結果をDMARCで受信側の扱いにつなげる構成が基本になります。
SPFの概要と役割
SPFは、ドメインが「そのドメインをエンベロープFromやHELO/EHLOで使ってよい送信ホスト」をDNSで宣言し、受信側が接続元IPなどと照合する仕組みです。認証対象は送信元IPであり、本文改ざんの検知は担いません。
転送では接続元が変わるため、SPFだけだと認証に使いにくい場面があります。この弱点を補いやすいのがDKIMです。
DMARCの概要と役割
DMARCは、SPFまたはDKIMの結果を使い、ドメイン所有者が「失敗したメールをどう扱うか」を宣言し、レポートを受け取る仕組みです。ここで見るのは、受信者に表示されるFromドメインと、SPFまたはDKIMで認証されたドメインが整合しているかどうかです。
そのため、DKIMがpassでも、署名ドメイン(d=)がFromドメインとずれているとDMARC評価に使えないことがあります。導入時は「署名できるか」だけでなく、「Fromと整合するか」まで確認します。
DKIM、SPF、DMARCの違い
| DKIM | 確認対象は署名対象のヘッダーと本文です。改ざん検知と署名ドメインの関与確認に向いていますが、中継で書き換えが入ると失敗します。 |
|---|---|
| SPF | 確認対象は接続元IPです。送信元の正当性確認に使いやすい一方、転送では崩れやすい傾向があります。 |
| DMARC | 確認対象はFromドメインとの整合と、失敗時の扱いです。隔離や拒否の方針、集計レポートによる可視化まで含めて設計します。 |
実務で見るべき順序は、SPFまたはDKIMのどちらが通るかではなく、Fromドメインに対して、どの送信経路で、どの認証結果が、DMARC整合まで含めて成立しているかです。
DKIMの運用と管理
DKIMは設定した直後よりも、送信経路の追加、SaaS導入、鍵の更新、本文テンプレート変更といった運用変更のタイミングで壊れやすい仕組みです。運用設計では、変更を検知し、失敗時に原因を追える状態を作っておく必要があります。
DKIMの監視とアラート
監視では、単にfail件数を数えるだけでは不十分です。どの送信経路で、どのFromドメインに対して、どの受信側で失敗しているかまで切り分けられる形にします。DMARCレポートを活用すると、第三者による偽装の兆候や、把握できていなかった送信経路が見つかることがあります。
- dkim=fail の急増:設定変更、経路変更、悪用の兆候を疑う
- 署名なしメールの増加:送信経路の追加漏れや設定逸脱を疑う
- Fromドメインと署名ドメインの不整合:DMARC評価に使えない経路がないか確認する
DKIM鍵の更新(ローテーション)
公開鍵と秘密鍵は定期的に切り替える運用が一般的です。鍵を長期間固定すると、漏えい時の影響範囲を狭めにくくなります。切り替えでは、新旧のセレクタを使い分けながら移行期間を設けます。
- 新しい鍵ペアを作成し、新セレクタ用のDNS TXTレコードを追加する
- 送信側を新セレクタで署名する設定に切り替える
- DNS伝播と受信状況を確認しながら、一定期間は旧セレクタの公開鍵を残す
- 新セレクタで安定して通ることを確認した後、旧鍵を廃止する
注意したいのは、「旧鍵をすぐ消す」と受信側が公開鍵を取得できなくなることです。署名自体は通常どれか一つの鍵で行い、移行期間はDNS上の旧レコードを残して検証失敗を防ぎます。
送信ドメインレピュテーションの管理
DKIMが継続的に失敗する状態は、受信側から見て正規メールの識別性が低い状態です。ただし、迷惑メール判定や到達率はDKIMだけで決まりません。送信量の急増、苦情率、バウンス率、宛先リストの質、本文の特徴なども影響します。
そのため、認証と配信品質は分けずに管理します。
- DKIM、SPF、DMARCの整合が維持されているか
- 無効アドレスや苦情の多い宛先を放置していないか
- 大量配信を急に増やしていないか
- 配信停止や問い合わせに迅速に対応できているか
メール配信における注意点
- メーリングリストや中継サービスが本文やヘッダーを書き換えると、DKIMはfailになることがあります。
- 外部配信サービスを追加したら、その経路でもDKIM署名とDMARC整合が成立するか確認します。
- テンプレート変更、件名付与ルール変更、フッター追加など、メール本文やヘッダーに触れる変更は検証項目に入れます。
DKIM運用で差が出るのは、鍵生成の巧拙よりも、送信経路の棚卸し、変更管理、受信側結果の可視化を継続できるかどうかです。
まとめ
DKIMは、メールに付与した電子署名を受信側がDNS上の公開鍵で検証し、署名ドメインの関与と署名対象の改ざん有無を確認する技術です。価値が出るのは、SPFとDMARCを含めて「Fromドメインに対して、どの送信経路が、どの認証方式で、どこまで整合しているか」を管理できているときです。まずは送信経路の棚卸し、署名ドメイン設計、受信メールヘッダーでの検証を行い、その上でDMARCレポートと鍵更新の運用までつなげると、認証の破綻を早めに見つけやすくなります。
Q.DKIMは何を確認する技術ですか?
A.署名に使われたドメインがそのメールに関与したことと、署名対象のヘッダーや本文が署名後に変わっていないことを確認します。
Q.SPFとDKIMはどちらを先に整えるべきですか?
A.優先順位を付けるより、同じ送信ドメイン設計の中で両方をそろえる考え方が妥当です。SPFは送信元IP、DKIMは署名対象の完全性を見ます。
Q.DMARCでいうアライメントとは何ですか?
A.受信者に見えるFromドメインと、SPFまたはDKIMで認証されたドメインが一致または同一組織ドメインとして評価できる状態を指します。
Q.DKIMがfailになる典型例は何ですか?
A.公開鍵と秘密鍵の不一致、DNSレコードの誤登録、配送途中の本文やヘッダー書き換え、送信経路ごとの設定漏れが代表例です。
Q.セレクタは何のために使いますか?
A.公開鍵を識別し、鍵の切り替え時に新旧のレコードを分けて管理しやすくするために使います。
Q.DKIMの秘密鍵はどこで管理しますか?
A.署名を実行する送信基盤側で管理し、変更権限を限定します。外部配信サービスを使う場合は、その事業者側の鍵管理方法も確認します。
Q.外部のメール配信サービスを使う場合の注意点は何ですか?
A.そのサービス経由でもDKIM署名が付き、Fromドメインに対してDMARC整合が取れるかを確認します。問い合わせフォームや請求書送付も見落としやすい経路です。
Q.DKIM鍵のローテーションはどう進めますか?
A.新しいセレクタの公開鍵をDNSに追加し、送信側の署名を切り替え、受信結果を確認した後に旧鍵を廃止します。旧公開鍵を早く消しすぎないことも大切です。
Q.DKIMを入れても迷惑メール扱いが減らないのはなぜですか?
A.受信側はDKIMだけで判定しません。SPFやDMARCの状態、送信元IPの評判、苦情率、バウンス率、本文品質なども合わせて見ています。
Q.DKIMだけでなりすまし対策は完結しますか?
A.完結しません。攻撃者が別ドメインで署名したメールまで排除できるわけではないため、Fromドメインとの整合をDMARCで確認する設計が欠かせません。
ピックアップ Pick up
-
インタビュー顧客ごとに最適なSASEを見極め、提供するリコージャパンの取り組み ― Soliton OneGateの認証を組み合わせ、更に安心して使える環境に ―
-
インタビュー情報資産の確実な保全に向けて ― バッファロー、ソリトン、パトライトの3メーカーで取り組む、危機を「見える」「聞こえる」形で捉えるソリューション ―
-
インタビューBUFFALO「AirStation Pro」のセキュリティはなぜ強固?JC-STARとデジタル証明書認証
-
インタビューFNETSが描く次世代セキュリティ像「セキュアアクセス+」とは?その認証で果たすソリトンの役割
-
インタビュー消防DXで命を守るNEC、 その信頼を支えるソリトンセキュリティ
-
インタビュー手軽で高機能な無線ネットワーク「Cisco Meraki」と認証で果たすSoliton OneGateの役割
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
外部リンク
VVAULT AUDIT
サイバー攻撃
SASE
