スカイスナッグ・ブログ

未分類

知っておくべきことDKIM署名

2023年10月12日 5 min read

DKIM署名とは何ですか?

電子メール認証プロトコルにはいくつか種類がありますが、暗号化されたデジタルキーを持つのはDKIMだけです。DKIM署名は、メールボックスプロバイダーが送信者であるあなたの身元を確認し、メールなりすまし攻撃に対抗するのに役立ちます。メール認証の鍵

基本的にDKIMは、重要な手紙に見えないインクで署名し、そのメッセージが他の誰からのものでもなく、あなたからのものであることを明確にするのに役立ちます。しかし、それほど単純なものではない。

DomainKeys Identified Mailプロトコルを詳しく見てみよう。

DKIM署名が必要な理由

Eメールでのコミュニケーションは貴重な財産です。残念ながら、サイバー犯罪者は、ブランドが消費者や購読者から得た信頼を利用しようとしています。

詐欺師は、あなたのブランドのメールやウェブページになりすまして受信トレイに侵入し、マルウェアをインストールさせたり、機密情報を開示させたりします。これには、銀行口座、クレジットカード番号、社会保障番号、オンラインアカウントのログイン情報などが含まれます。なりすましメールは、簡単に個人情報の盗難につながります。

受信トレイのセキュリティを向上させる。

SMTP(Simple Mail Transfer Protocol)は、インターネット上で電子メールを送信するための業界標準ですが、電子メールが配信される前に送信者を確認する仕組みを提供していません。そのため、スパマーや詐欺師が迷惑メールで受信トレイを埋め尽くしたり、信頼できるブランドになりすましたり偽装しようとしたりすることが可能になっています。

認証プロトコルは、電子メールのヘッダーから送信者のドメイン・ネーム・サーバー(DNS)に公開されたレコードに情報をリンクすることにより、過去数十年にわたって電子メールのセキュリティを向上させてきた。

DKIM署名はこれらのプロトコルの一つである。これは暗号化された鍵を使うことで、偽造された送信者アドレスを検出する。

DKIMは、2004年にヤフーが開発したDomainKeysとシスコのIdentified Internet Mailを組み合わせたものである。DomainKeysセクションは電子メール送信者のDNSドメインを検証するためのもので、Identified Internet Mailは仕様のデジタル署名部分である。

グーグル、アップル・メール、アウトルックといった最も著名なメールボックス・プロバイダは、電子メールを認証する際にDKIM署名を確認する。

DKIM署名はどのように機能するのか?

DKIMは、他の電子メール認証メカニズムと同様に、送信者が電子メールメッセージを特定のドメインに関連付けることを可能にする。電子メールの正当性はDNSエントリによって保証される。一方DKIMは、暗号化されたデジタル署名を使用してこれを実現します。

DKIMのDomainKeysには、DNSレコードにブロードキャストされる公開鍵と、メールヘッダに含まれる秘密鍵があります。暗号化されたデジタル署名は秘密鍵であり、送信者に固有で、DNSでブロードキャストされたものと一致しなければならない。

DKIM署名は、メール転送エージェント(MTA)に、送信者の身元を検証するために使用される公開鍵情報にアクセスする場所を通知します。この2つの鍵が一致すれば、メールは受信トレイに送られる可能性が高くなります。もし一致しなかったり、メールにDKIM署名がなかったりすると、スパムとみなされるか、拒否される可能性が高くなります。

DKIMは電子メールをフィルタリングしませんが、受信サーバーが受信メッセージの最適なフィルタリング方法を決定するのを支援します。DKIMの検証が成功すると、メッセージのスパムスコアが下がることがよくあります。

DKIMヘッダーの読み方

DKIMを 使用してブランドをなりすましから守り、購読者を詐欺師から守るには、DKIMレコードを生成してDNSに配置する必要があります。IT部門またはEメールサービスプロバイダ(ESP)からの支援が必要な場合があります。

以下は、署名付きメッセージのDKIM署名(RFC2822ヘッダーフィールドとして記録)の例である:

DKIMヘッダーをひとつずつ分解してみよう。それぞれ タグ には、送信者に関する情報を含む値が割り当てられる。 **.**

DKIMヘッダーのタグ

タグ説明
b電子メール・メッセージの内容(ヘッダーと本文)の実際のデジタル署名
ベーボディ・ハッシュ
d署名領域
sセレクター
vバージョン
a署名アルゴリズム
cヘッダーとボディの正規化アルゴリズム
qデフォルトのクエリーメソッド
I署名された本体の正規化された部分の長さ
t署名のタイムスタンプ
x有効期限
h署名されたヘッダーフィールドのリストは、複数回出現するフィールドのために繰り返される。

注: 上記のタグは必須である。これらのタグがないDKIM署名は、検証時にエラーを生成します。 **.**

このDKIMヘッダーを見ればわかる:

デジタル署名は **dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.**.

この署名は送信者のドメインの署名と比較される。

  • ボディのハッシュは記載されていない。
  • 署名ドメインは example.com.メッセージを送信(署名)したドメインである。
  • セレクタはjun2005.eng。
  • バージョンは記載されていない。
  • 署名アルゴリズムは rsa-sha1シグネチャーを生成する。
  • ヘッダーとボディの正規化アルゴリズム(複数可)は、緩やかで単純である。
  • デフォルトの問い合わせ方法はDNSである。これは、署名ドメイン上で鍵を検索するために使用される。 **.**
  • 署名された本文の正規化された部分の長さは記載されない。署名ドメインは、本文全体から鍵を生成することも、本文の一部分から鍵を生成 することもできる。このセクションも含まれる。
  • 署名のタイムスタンプは1117574938。これは署名された時刻である。
  • 有効期限 **は1118006938.**である。これは、すでに署名された電子メールを再利用できるためである。 "偽物" 署名の有効期限を設定する。
  • 署名されたヘッダーフィールドのリストは、from:to:subject:dateを含む。これは 「署名入り が変更されていないことを確認する。

技術的な情報が多いことは承知しています。幸いなことに、メールマーケティング担当者がDKIMレコードを作成するためのツールがあります。

DKIM署名の検証方法

DNSレコードとDKIMシグネチャを理解するのは難しいかもしれません。電子メール認証メカニズムが適切に設定されているかどうかを確認するのに役立つインターネットツールがあります。

無料のSkysnag DKIM Record Checkツールを使用して、DKIMを検証します。

Gmailアカウントにメールを送信することも、DKIMをテストする方法のひとつです。Gmailウェブアプリでメールを開き、その横にある下向き矢印をクリックする。 "返信" ボタン (メール右上)を選択する。 "ショー・オリジナル" もし "signed-by: あなたのドメイン名" の原文があれば、DKIM署名は有効です。しかし、DKIM署名は、送信先のメールにアクセスできる場合にのみ見ることができることを覚えておいてください。すべての

送信前に配信性を向上させる

メール認証プロトコルを使用する説得力のある理由は数多くあります。配信可能性の向上はその最たるものです。メール認証を使用しない場合、メールボックスプロバイダはあなたのメッセージを迷惑メールやスパムフォルダに振り分ける可能性が高くなります。

これをよりよく理解するために:

DKIMは秘密鍵を使って電子メールを認証する:

1- 送信サービスは、DNSレコードにその公開鍵を公開する。

2- 送信サービスは秘密鍵を使ってメッセージに署名し、DKIM署名ヘッダーを生成して送信メールに添付する。

3- 「dタグ = 送信者ドメイン タグ = サブドメイン

4- 受信サービス (Gメール) はTHE DNS EXAMPLEに問い合わせる: s.domainkey.domain.com 公開鍵を取得する

5- 受信サービス (Gメール) 署名が有効であれば、取得した公開鍵でメールに添付されたDKIM署名を検証する。

結論

SkysnagはDMARC、SPF、DKIMを自動化し、メールの配信性を向上させます。DMARC、SPF、DKIMを自動化することで、メールの有効性を確認することができ、なりすまし攻撃を回避することができます。今すぐこのリンクから 無料トライアルにご登録いただき、貴社のDKIM署名が正しく設定されていることをご確認ください。 

ドメインのDMARCセキュリティコンプライアンスを確認する

DMARC、SPF、DKIMを数カ月ではなく数日で施行する

Skysnagは、多忙なエンジニアがDMARCを実施し、SPFやDKIMの設定ミスに対応することで、メールの配信性を向上させ、なりすましやID偽装を排除します。