FAQ
DKIM と dkim.jp に関するよく寄せられる質問と回答です。
- 「DKIMとはなんですか?」
- 「DKIMの利点はなんですか?」
- 「SPFでは不十分なのでしょうか?」
- 「DKIMはどのくらい広まっていますか?」
- 「DKIMで迷惑メールは減るのですか?」
- 「DKIMを導入するとメールが届くようになりますか?」
- 「DKIM署名されてるかはどこを見ればわかりますか?」
- 「DKIMの設備への負荷はどうですか?」
- 「DKIMを導入するにはどうしたらいいですか?」
- 「スパマーが対応したらどうするんですか?」
- 「dkim.jpはどこを目指してるんですか?」
「DKIMとはなんですか?」
DKIM とは DomainKeys Identified Mail の略で、受信したメールが「正当な送信者から送信された改ざんされていないメール」かどうかを調べることができる電子署名方式の送信ドメイン認証技術です。
メール送信時に秘密鍵によって生成した署名情報を送信メールのヘッダに記述し、メール受信時に署名ドメインのDNSサーバー上に公開されている公開鍵によって署名を検証します。これによりメールの送信者とメール本文の正当性の両方を確認できます。
わかりやすく言えば、メールにパスポートを持たせて送信し、受信時にメールが持っているパスポートを調べて、本物の送信者が発行したパスポートかどうか、メール自体が正しいものかどうかを調べることができる仕組みです。
より詳細に DKIM についてご存知になりたい方は、以下についてもご参照ください。
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/dkim/(財団法人インターネット協会)
「DKIMの利点はなんですか?」
DKIMは、メール送信者の偽装(なりすまし)を防ぐ送信ドメイン認証技術の一つで、ネットワーク(IPアドレス)ベースのSPF/SenderID、メールへの電子署名を行うDKIMと大別されます。
DKIMは電子署名をベースとしたなりすます判定を行なうことから、メール転送やゲートウェイサービスのように、途中で異なるMTAを中継された場合においても、判定処理が可能となるという利点があります。
また、メール一通ごとに本文の内容を含めて署名することにより、途中経路でのメール改竄の防止にも有効となります。
さらに、メールの送信者(ドメイン)を特定することが出来ますので、将来的には、送信者(ドメイン)の評判情報(ドメインレピュテーション)を蓄積し、メールの隔離や受信可否判定に活用することができます。
送信ドメイン認証全体の精度を高めるためには、SPF/SenderID、DKIMそれぞれ異なる技術を組み合わせて使うことが必要となっております。
「SPFでは不十分なのでしょうか?」
SPF と DKIM はいずれも送信ドメイン認証技術です。
SPF が IP アドレスベースの認証技術であり、差出人ドメインの詐称のみを検知することができます。これに対し、DKIM は電子署名ベースの認証技術であり、ドメインだけでなくメール本文の改竄も検知することができます。
それぞれが保護できる領域は異なるため、SPF と DKIMは補完的な技術といえます。さらにインターネット上の商取引があたりまえとなった現在では、メール自体の信頼性、特にメール本文の保護が重要な局面はますます増えています。このため、SPF だけでなく DKIM にも対応し、送信ドメイン認証の精度を上げていくことは重要であるといえます。
「DKIMはどのくらい広まっていますか?」
DKIMは米国で開発されたという経緯もあり、現状では国内より欧米での普及率が高いといわれています。世界的に知名度のある企業では e-bay や PayPal, Facebook, Sendmail, Google, Yahoo!Inc などが、すでに自社のWebサービスに組み込んだり製品として提供しています。
DKIMは送信側が署名を行い、受信側が検証してはじめて機能しますので、この双方が広まることが重要です。
DKIM普及率の調査はさまざまな専門機関にて行われています。例えば WIDE が調査しているDNSベースの DKIM普及率は以下のURLで確認できます。
http://member.wide.ad.jp/wg/antispam/stats/index.html.ja
ただ、DKIMの性質上、DNSなどの公開情報のみで正確な普及率を調査することはなかなか難しく、受信側の対応も考えると、メールを扱う企業やISPが対応状況を公開し集約していく必要があります。たとえば、財団法人日本データ通信協会では以下のサイトに主にISPのDKIM対応状況を公開しています。
http://www.dekyo.or.jp/soudan/auth/
dkim.jp でも参加企業の協力を仰ぎながら、DKIMの国内普及率の調査に取り組んでいく予定です。
「DKIMで迷惑メールは減るのですか?」
DKIMは、メール送信者の偽装(なりすまし)、及びメール文面の改ざんを検知する技術です。したがって、迷惑メールの多くを占める なりすましメールを送る動機を低減させる効果が期待できます。
また、メールの送信者(ドメイン)を特定することが出来ますので、将来的には、送信者(ドメイン)の評判情報(ドメインレピュテーション)を蓄積し、メールの受信可否判定に活用することができます。
以上のような成果を積み重ねることで、迷惑メールの削減を実現することが期待されています。
「DKIMを導入するとメールが届くようになりますか?」
DKIMによる署名をつけてメールを送信する事は、そのメールを送信したドメインが確かにそのドメインである事を証明するという事です。しかし、これはメールの内容が受信者が受信したいメールであることを保証するものではありません。メールの内容によっては受信者が迷惑メールであると判定し、受信を拒否する場合もあります。
DKIM で署名してメールを送信する事で、受信者は なりすましたメールを見分ける事ができるようになります。そして送信者が常に迷惑メールではない正常なメールを送り続ける事によって、ドメインの評判度(レピュテーション)を向上させ、そのドメインでDKIM署名されたメールがより受信されやすくなるようになります。そして同時に受信者はドメインを なりすまして送信してくる迷惑メールを排除することができるようになります。
「DKIM署名されてるかはどこを見ればわかりますか?」
DKIM署名されたメールは、メールヘッダに DKIM-Signature ヘッダが付与されます。
(DKIM-Signature ヘッダ 例)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=example.jp;
s=dkimjp20101115; t=1308471652;
bh=KF7zwHMa9ToPtsGy8urMTpCLCfTnzrcJ6mxHnrWCffQ=;
h=To:Sender:MIME-Version:Subject:From:Content-Type:
Content-Transfer-Encoding:Message-Id:Date;
b=xdIeG4cUHIBhU0nix2V5tK9ZN7QwnKd+qYuFamqtZpon2EfsKfSwdGhSHvU6fRj3z
dp6tVjGpT64hx4eayxKcnjHTYMq8yRVgEPp9naNrCD7SIX70P6LvrbFpMZc85Exxpx
FZdETOXsumsY7pt6tpP9puwjN3/5EsYuwWM63AUY=
受信時にDKIM署名されたメールが認証されると、メールヘッダにさらに Authentication-Results ヘッダが付与されます。”dkim=pass”であれば、そのドメインから確かに送られたメールであることが証明されます。
Authentication-Results: example.com;
sender-id=pass header.from=example.jp;
dkim=pass (good signature) header.i=@example.jp
”メールヘッダ”とは、メールの送信・受信の際にメールに記録される送信者・受信者の情報です。閲覧する場合は以下のようにします。
- Outlook Express の場合
受信トレイなどにあるメールを右クリックして[プロパティ]→[詳細](このメッセージのインターネット ヘッダー)でヘッダ情報を見ることができます。 - Thunderbird の場合
メニューから[表示]→[ヘッダ]→[すべて]を選択するとヘッダ情報を見ることができます。 - Yahoo!メール の場合
ログイン後、メールを表示し、[詳細ヘッダー]というリンクをクリックするとヘッダ情報を見ることができます。 - Gmail の場合
ログイン後、メールを表示するとメールに▼ボタンがあり、これをクリックし、[メッセージのソースを表示]を選択するとヘッダ情報を見ることができます。
「DKIMの設備への負荷はどうですか?」
導入する際に、送信側では DKIM 署名の付与の負荷を、受信側では DKIM 署名の検証の負荷を想定して設備増設を行います。メールシステムの構成や流量もさまざまであるため一概には言えませんが、システムリソースに余裕があるような環境であれば追加の設備増強は不要である場合もあります。
送信側・受信側いずれの立場でも、導入当初は一部のメールやメールサーバに適用して負荷状況を分析し、段階的に導入範囲を広げていく方法をとるとよいでしょう。
「DKIMを導入するにはどうしたらいいですか?」
DKIMを始めるには受信側と送信側、またはそのどちらかの対応が必要です。受信側では外部からDKIM署名されたメールが送られてきた場合その署名を照合し、ドメインが なりすまされていないかを確認する処理を行います。送信側では自ドメインから外部ドメインに送出されるメールにDKIM署名を実施します。
自分でメールサーバを運用している場合、DKIMの処理を実施するプログラムを自分でメールサーバにインストールし利用を開始する必要があります。日頃から外部の業者にメールサーバの面倒を見てもらっている場合は、そちらへ相談することをお勧めします。ASPやクラウドのメールサービスを利用している場合は、そのメールサービス提供者に相談してください。メールの送信代行業者を利用している場合も、その業者に相談してください。
自分でメールサーバを運用されている方の参考として、DKIMの署名および照合を行うプログラムの一覧を以下にあげておきます。以下にあげたもの以外にも商用製品にもDKIMの機能をもったものが多くあります。
OpenDKIM http://www.opendkim.org/
ENMA http://enma.sourceforge.net/
「スパマーが対応したらどうするんですか?」
DKIM で出来ることは「メールの送信元が誰であるかの担保」です。言い換えると、「なりすましのない世界」を作ることです。
もちろん、スパマーも DKIM に対応できます。しかし、「なりすまし」がなくなれば、ドメインによるメール送信元の正当性の評価が可能になります。これにより、正当な送信者は正当であると評価され、スパマーはスパマーであると評価できます。
DKIM は普及の初期段階において、「正当な送信者へのプラス評価の加算」して利用されることが想定されますが、十分に普及したのちには、「スパマーへのマイナス評価の加算」に利用されるでしょう。
このように、スパマーが DKIM に対応しても、より安全性を高められます。
「dkim.jpはどこを目指してるんですか?」
理想的には、迷惑メールのない世界を目指します。
まず、当面のゴールとして「なりすましのない世界」を実現してまいります。そのための手段のひとつと
して、送信ドメイン認証技術である DKIM を選択しました。したがって、DKIM の十分な普及が私たちの直接的な使命です。
DKIM の普及には、(1)送信者が署名を付加する、(2)受信者が署名を検証する、というふたつの工程があります。このため、DKIM の普及には、送信者と受信者双方の対応が必要になります。dkim.jp では事業者間の連携を強化し、DKIM の普及に対してのコンセンサスの形成を重視します。
これからの計画としては、2011 年 7 月を目途とし、メンバー中のメール送信事業者による、DKIM の署名の提供を目指します。また、DKIM の普及率を十分に高め、dkim.jp 内外に対して、普及活動を進めます。
さらに、次のステップとしては、受信側での署名の検証を進め、DKIM による送信ドメイン認証が成立する環境を整えたいと考えています。
