DKIM導入ガイド：よくある落とし穴とその回避方法

DKIM（Domain Keys Identified Mail）は、メッセージの完全性と送信者の正当性を検証する重要な電子メール認証プロトコルです。DKIMはBIMI（Brand Indicators for Message Identification）にとって不可欠であり、適切に認証されたメールだけが受信トレイにブランドロゴを表示できるからです。しかし、DKIMのセットアップには、セキュリティと配信性の両方を損なういくつかのよくある落とし穴があります。

• DNSに公開鍵がないか、正しくない：DKIM公開鍵がDNSで公開されていなかったり、書式が正しくない場合、認証は失敗します。常にDKIMレコードジェネレータを使用し、DNSエントリの構文エラーを検証してください。
• 鍵の長さが弱い、または古い：1024ビットより短いキー（512ビットなど）を使用すると、DKIMが攻撃に対して脆弱になります。少なくとも1024ビットのキーを使用し、2048ビットを推奨します。
• アライメントの問題：DKIM署名のドメイン（d=値）は、Fromアドレスのドメインと一致する必要があります。不一致は認証の失敗を招き、DMARCコンプライアンスを破壊する可能性がある。
• セレクタの不一致：DNSレコードのセレクタは、メールヘッダのセレクタと一致する必要があります。1文字の不一致でも認証に失敗することがあります。
• 不正なフォーマット：DKIMレコードは、DNSでは切れ目のない単一の文字列でなければなりません。改行、エスケープされていないセミコロン、フィールドの欠落（v=DKIM1やk=rsaなど）はレコードを無効にします。
• DKIM署名を有効にするのを忘れる：DNSレコードを公開するだけでは十分ではありません。メールサーバーまたはメールプロバイダーでDKIM署名が有効になっていることを確認してください。
• サブドメインとサードパーティベンダーの無視：サブドメインからメールを送信したり、サードパーティのサービスを利用したりする場合は、認証のギャップを避けるために、それぞれにDKIMを適切に設定する必要があります。
• 監視やテストをしていないDKIMの設定を定期的にテストし、DMARCレポートを監視して問題を早期に発見する。変更後はテストメールを送信し、DKIMがパスしていることを確認する。

• 定期的にローテーションされた強力な鍵を使用すること：1024-2048ビット
• DNSフォーマットとセレクタのアライメントをダブルチェックする：正しい構文と一致するセレクタを確認する。
• DKIMドメインの整列：DKIM署名のドメインは、「From」アドレスと一致する必要があります。
• 更新のたびにテストする：DMARCレポートで認証結果を監視する。
• サードパーティの送信者と調整する：すべてのベンダーがDKIMを正しく実装していることを確認する。
• 古いキーや危殆化したキーを失効させる：悪用を防ぐため、DNSから削除する。

• DNSの伝播遅延を確認してください：変更には最大48時間かかる場合があります。
• DMARCとDKIMの障害レポートを確認する：何が失敗しているのか、なぜ失敗しているのかについての手がかりを探す。
• 署名後にメッセージの内容が変更されていないことを確認する：転送ツールやセキュリティツールがメッセージを変更していないことを確認する。
• メールサービスプロバイダのドキュメントを参照する：プラットフォーム固有のガイダンスに従って、認証の問題をトラブルシューティングする。