DKIMとは、電子メールの送信主を認証する技術のことで、SPFなど送信サーバのIPアドレスを使って認証するのではなく、電子署名を使って認証する技術である。電子署名を使った認証では、S/MIMEなどが有名であるが、DKIMではS/MIMEで実現する本文の改ざんチェックなどを行うのではなく、あくまで送信元のドメインがメールアドレスのドメインと一致していることを証明する、すなわち「なりすましの防止」に役立つ技術である。
具体的には送信主のDNSサーバ上に公開鍵(ドメインキー)を持たせておいて、電子メール内の電子署名を認証する方式で、S/MIMEのようにPKIなどを利用するわけではないので、安価に導入することができる。
Google AppsでDKIMを導入するステップ
1月7日現在、日本語環境のGoogle AppsでDKIMを導入するには以下の3ステップが必要である。
- Google Appsのコントロールパネルを一時的に英語環境に切り替える。
- ドメインに対するドメインキーを生成する。
- 生成したドメインキーをDNSサーバに設定する。
(2011/2/7 追記)日本語環境でも設定が可能となったため、ステップ1は省略可能です。
ステップ1.コントロールパネルの切り替え
- Google Appsの管理画面から「ドメインの設定」を選択する。
- 「全般」タブの中の「新しいサービスとベータ版の機能」のコントロールパネルを「拡張版」に切り替えて、「変更を保存ボタン」を押す。
これで一時的に英語環境になる。
ステップ2.ドメインキーを生成
- 上部メニューより「Advanced tools」を選択する。
- 画面最下部に「Authenticate email」が表示されるので、その中の「Setup email authentication(DKIM)」をクリックする。
- GoogleAppsで利用しているドメインが表示されていることを確認して「Generate new record」をクリックする。
- Prefixを指定するダイアログが表示されるが、そのまま「Generate」ボタンを押す。
- DNSサーバに登録が必要なドメインキーが生成されるので、メモ帳などにコピーしておく。
以上でドメインキーの準備は完了である。
ステップ3.DNSサーバに登録
- DNSサーバの当該ドメインゾーンを編集し、TXTレコードを追加する。
具体的な方法はDNSサーバの種類によって異なるが、BINDを使った例を以下に紹介する。この例では、先ほど生成したドメインキーの「DNS Host name(TXT record name):」に表示されている部分をキーとして指定し、「TXT record value:」に表示された文字列をダブルコーテーションで囲んで値として記載している。
- TXTレコードを追加したら、ゾーン設定を反映させておく(シリアル値の更新を忘れないように)。
※DNSの値が反映されるには最大48時間かかるので、もしこの後のテストでうまくいかない場合は2日くらい待ってから確認するとよいだろう。 - DNSの設定が完了したら、再度GoogleAppsの管理画面に戻り、先ほど生成したキーの下にある「Start authentication」ボタンを押す。
- DNSの設定が正しければ、ステータスに「Authenticating email」と表示される。
コントロールパネルを一時的に英語環境にしてしまっているので、忘れないようにステップ1を参考に日本語に戻しておこう。 あとは実際にメールを送信してみて、電子署名によるチェックが正常に行われたかを確認する(自分自身にメールを出してもテストができないので、誰か別の人か別のアドレス宛に送ること)。
今回はYahooメール宛にメールを出してみたところ、以下のようにヘッダ内でドメインキーによる認証が成功していることがわかる(最後の部分でdomailkey=pass(OK)が見えればOK)。
Google Appsを利用しているユーザはぜひ設定してみるとよいだろう。
詳しい設定については、Google内にヘルプが用意されている(英語)。
Authenticate email with domain key
0 件のコメント:
コメントを投稿
必ず返信しますので、できればお名前をお書きくださいませ。
※URLは未記入で構いません。