自分のドメインに複数の DKIM レコードを設定できますか?

DKIM Multiple DKIM Records

1 つのドメインで複数の DKIM レコードを持つことはできますか? 答えはイエスです。DNS プロバイダーで許可されている数の DKIM レコードをドメインに含めることができます。

DKIMとは何ですか?

DKIM は DomainKeys Identified Mail の略です。 これは、メールのヘッダー フィールドとコンテンツの偽造を検出するように設計されたメール認証方法です。 DKIM を使用すると、受信メール サーバーは、メールのヘッダーとコンテンツが送信中に改ざんされていないかどうかを確認できます。

DKIM は非対称暗号方式に基づいており、送信サーバーだけが知っている秘密キーと、DNS で公開され、受信サーバーがアクセスできる公開キーのペアを使用します。

送信電子メール サーバーを離れる前に、電子メール メッセージはサーバーに格納されている秘密鍵で署名されます。 受信サーバーに到着すると、電子メール メッセージは、DNS で公開されている公開キーを使用してサーバーによってチェックされます。

DKIM レコードとは何ですか?

DKIM レコードは、DNS で公開される TXT レコードです。 これはタグのリストで構成され、そのうちの 1 つは公開 DKIM キーを含む「p=」タグです。

DKIM レコードの例を次に示します:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

上記の DKIM レコードは、レコードのパラメーターを定義するタグのリストで構成されています。 レコード内の p タグは、受信側サーバーが DKIM 署名を検証するために使用する base64 でエンコードされた公開鍵を指定します。

DKIM レコードを CNAME レコードにすることもできます。その場合、CNAME レコードを TXT タイプの DKIM レコードにマップします。

たとえば、SendGrid で DKIM を設定すると、次のような CNAME タイプの DKIM レコードが作成されます:

s1.domainkey.uXXX.wlXXX.sendgrid.net

このレコードは、TXT タイプの DKIM レコードにマップされます:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

ドメイン example.com のすべての DKIM レコードは xxx._domainkey.example.com に存在し、xxx はレコード タイプに関係なく DKIM セレクターです。

DKIM セレクターとは何ですか?

DKIM セレクターは、ドメイン上の DKIM 公開鍵の場所を指定するために使用される文字列です。 DKIM セレクターの主な目的は、同じ組織のドメイン名で複数の DKIM キー ペアを許可することです。

たとえば、セレクター「may10」を選択し、ドメイン example.com のそのセレクターで DKIM 公開鍵を作成できます: may10._domainkey.example.com.

別のセレクター「july29」を選択して、ドメイン example.com のそのセレクターで DKIM 公開鍵を作成することもできます: july29._domainkey.example.com.

DKIM セレクターの詳細については、What is a DKIM selector

1 つのドメインで複数の DKIM レコードを持つことはできますか?

前のセクションで説明したように、単一のドメインに複数の DKIM レコードを作成するには、そのドメインに複数の DKIM セレクターを作成し、各セレクターが DKIM レコードを指すようにします。

単一のドメインに複数の DKIM レコードを持つ可能性は、次のシナリオに役立ちます:

  • 組織は複数の電子メール配信サービスを使用して、単一のドメインに代わって電子メールを送信します。この場合、複数の DKIM セレクターと秘密/公開キーのペアを使用して、これらのサービスを分離する必要があります。

    たとえば、SendGrid と Mailgun の両方がドメインに代わってメールを送信することを承認する場合、少なくとも SendGrid 用に 1 つ、Mailgun 用に 1 つの DKIM レコードが必要です。 このようにして、2 つのサービスの署名/検証サーバーは、それぞれのキー ペアを正しく見つけることができます。

  • メール配信サービスを 1 つだけ使用している場合、「DKIM key rotation」と呼ばれる DKIM セキュリティ メカニズムには、複数のセレクター/キー ペアが不可欠です。 これは基本的に、キー ペアが侵害されるリスクを軽減するためにキー ペアが定期的に更新されるプロセスです。

    このプロセスの詳細については、What is a DKIM selector をご覧ください。

SPF や DMARC とは異なり、1 つのドメインに複数の DKIM レコードを持つことは可能であるだけでなく、多くの場合必要になります。

関連記事:

Previous Post Next Post

 Protect Business Email & Improve Email Deliverability

Get a 14 day trial. No credit card required.

Create Account