DKIMとは？書き方やMAツールごとの設定方法、確認方法、仕組みまで解説

メールのなりすましや改ざんを防ぐために必要な「DKIM」。本記事では、DKIMとは何か、なぜ必要なのか、仕組みや書き方、設定方法、確認方法、注意点などをわかりやすく解説します。

◆目次
1. DKIMとは。なぜ必要なのか
2. DKIMの仕組み
3. DMARCとの違い
4. DKIMの書き方や設定方法
5. MAツールでのDKIM設定
6. DKIMの確認方法
7. DKIM設定時の注意点
8. まとめ

1. DKIMとは。なぜ必要なのか

DKIM（DomainKeys Identified Mail）とは、メール送信者のドメインを認証するための技術です。メールに電子署名を付与することで、メールの内容が送信元のドメインから送信されたものであることを確認します。

近年、メールのなりすましや改ざんによるフィッシング詐欺などが急増し、深刻な問題となっています。なりすましメールでは、送信元のドメインを偽装して、あたかも正規の企業や個人から送信されたように見せかけます。これにより、ユーザーはなりすましメールのリンクをクリックしたり、添付ファイルを開いたりしてしまい、個人情報の漏洩やウイルス感染などの被害に遭う可能性があります。

DKIMを導入することで、メールのなりすましや改ざんを防ぐことができます。メールのセキュリティを強化するためには、DKIMの導入が欠かせません。

①2024年2月、Gmailの送信者ガイドラインが改訂された

DKIMなどのメール認証に注目が集まるもう1つの理由として、Gmailの送信者ガイドラインの改訂があげられます。

2024年2月からの新しいガイドラインでは、「個人用Gmailアカウント」宛てに1日に5,000件以上のメールを送信する送信者には、SPF・DKIM・DMARCという3つのメール認証が義務付けられます。ここでいう個人用Gmailアカウントとは末尾が@gmail.comまたは@googlemail.comのアカウントです。つまり、法人の独自ドメインは対象外です。

Gmailの送信者ガイドラインについてはこちらでも解説していますので、ぜひ参考にしてください。

メール送信者のガイドライン｜Google

2. DKIMの仕組み

DKIMの仕組みは、大まかにいうと以下の図のとおりです。

1. メール送信者は、秘密鍵を使ってメールに署名します。
2. 受信者は、公開鍵を使って署名の正当性を確認します。

署名には、メールのヘッダーと本文の情報が含まれます。署名が正当であれば、メールの内容が送信元のドメインから送信されたものであると確認できます。

3. DMARCとの違い

DKIMとよく似た技術に、DMARC（Domain-based Message Authentication, Reporting and Conformance）があります。DMARCは、DKIMやSPFといったドメイン認証技術を組み合わせて、メールのなりすましや改ざんを防ぐための技術です。具体的には、メールの送信元認証を通らなかったメールをどう扱うか、「隔離」や「拒否」など送信者側のポリシーを宣言できる仕組みです。

DKIMは電子署名を使用しメールの正当性と非改ざん性を証明するための技術、DMARCはSPFとDKIMによる認証を通らなかったメールに対する取り扱いを宣言し、受信者を保護するための仕組みです。

4. DKIMの書き方や設定方法

DKIMの書き方や設定方法は、メールサーバの種類によって異なります。一般的なメールサーバでは、以下の手順で設定できます。
メールサーバの管理画面にログインします。
DKIMの設定項目を見つけます。
ドメインまたはDKIMレコードを設定します。
Xserverを例に解説します。

サーバーパネルにログイン後、「DKIM設定」というメニューを選びます。

DKIM設定を追加するドメインを選択し有効化すると、メール認証用のDKIMレコード（公開鍵）が設定されます。

5. MAツールでのDKIM設定

MAツールなどのメール配信システムを使用している場合は、それぞれのツールでDKIM設定が必要です。

①Adobe Marketo Engageでの設定
Adobe Marketo Engageでは以下の手順でDKIMを設定します。

・「管理者」セクションから「メール」をクリック
・「SPF／DKIM」タグから「ドメインを追加」をクリック
・「ドメイン」「セレクター」「キーサイズ」を設定（キーサイズは2048を推奨）※
・DKIMレコードが作成されるのでその内容をネームサーバーに反映

※キーサイズ：公開鍵の暗号化のセキュリティレベルで単位はビット。以前は1024ビットが主流でしたが近年は2048が主流となっています。

ネームサーバーへの反映は、IT部門の方やWebサイト管理者（サーバー管理者）に依頼することをおススメします。

設定方法の詳細の情報は公式サイトもご覧ください。

②Account Engagement（旧 Pardot）での設定
Account Engagementでは以下の手順です。基本的に、ツール側でDKIMレコードを生成しDNSサーバーへ反映させる、という流れは同じです。

・Account Engagementから「管理者」を選択し、「ドメイン管理」を選択
・「電子メール送信ドメイン」からDKIMを設定するドメインを選び「予想されるDKIMエントリ」を選択
・DomainKey 値（DKIMレコード）をネームサーバーに設定

詳細はこちらをご参照ください。

③HubSpotでの設定
HubSpotでは、DKIMレコード設定用のフローが用意されています。基本的に画面の指示を見ながら進めていきます。

・「設定」から「ウェブサイト」を選択し「ドメインとURL」を選択
・「ドメインの接続」を選択し表示されたダイアログから「Eメール送信」を選択
・表示される手順に沿ってDNSレコードをネームサーバーに設定する

最新の情報はこちらをご参照ください。

6. DKIMの確認方法

DKIMの設定が正しく行われていることを確認するには、以下の方法があります。

①受信したメールのヘッダー情報を確認する
Gmailの場合は、受信したメールの宛先にある「▼」をクリックするとメールのヘッダー情報を確認できます。「署名元」が記載されていれば、DKIMが設定されています。

②チェックツールで確認する
外部のチェックツールで確認することも可能です。代表的なものは下記の2つです。DKIMレコード設定時に決めた「セレクタ」と、ドメインを指定することでDKIMレコード（公開鍵）を確認できます。

https://dmarcian.com/dkim-inspector/

https://dkimcore.org/tools/

7. DKIM設定時の注意点

DKIMを設定する場合、設定ミスや情報漏えいを防ぐため、以下のようなことに注意しましょう。

・メール配信ツールなどを入れ替える場合にDKIM設定も必ず更新する
・DKIMレコードが正しく反映されているかどうか、テスト配信やツールで確認する
・可能であればIT部門やサーバー管理会社に設定を依頼する
・設定したDKIMレコードは定期的に更新する

8．まとめ

メールのなりすましや改ざんなどによる被害は、後を絶ちません。万が一、自社のドメインが第三者によって偽造され、受信者に被害が及ぶようなことになれば、企業としての信頼を損なってしまうリスクがあります。

また、2024年2月にはGoogleの送信者ガイドラインは、そうした社会情勢も加味した対応と言えるでしょう。メール配信を行う場合は、SPF・DKIM・DMARCの3つを必ず設定するようにしましょう。

Brizzyでは、MAツールの導入コンサルティング、運用支援を行っています。メール設定などもお気軽にご相談ください。