DKIMレコードとは?
DKIM(DomainKeys Identified Mail)レコードは、ドメインの公開暗号鍵を含むDNS TXTレコードです。メール送信時、送信サーバーが秘密鍵でメッセージに署名し、受信サーバーがDNSから公開鍵を取得して署名を検証します。これにより、メールが送信中に改ざんされていないこと、正当な送信元から送られたことが確認されます。
DKIMはSPF、DMARCと並ぶメール認証の三本柱の一つで、フィッシングやなりすましメールの防止に不可欠です。
DKIMレコードの確認方法
DKIMレコードを確認するには、セレクターとドメイン名の組み合わせでDNS TXTレコードを照会します。DKIMの公開鍵は selector._domainkey.example.com に格納されています。
DNS RobotのDKIM確認ツールにドメイン名を入力します。セレクターの指定も可能です。
ツールが65以上の一般的なセレクター(google、default、selector1など)を自動スキャンします。
DKIMレコードの各タグ、鍵の種類・サイズ、10項目の検証結果とヘルススコアが表示されます。
dig google._domainkey.example.com TXT +shortDKIMレコードのタグ一覧
DKIMレコードには以下の主要なタグが含まれます。各タグの意味と推奨設定を理解することで、DKIMの適切な設定を維持できます。
DKIMのバージョンを指定。常にDKIM1を使用。
鍵の種類。RSA(2048ビット以上推奨)またはEd25519。
Base64エンコードされた公開鍵データ。空の場合は鍵が失効。
テストモードフラグ。設定中は有効にし、本番環境では削除。
DKIMの鍵サイズと推奨事項
DKIMの鍵サイズはセキュリティに直接影響します。現在の推奨は2048ビットRSA以上です。1024ビットは脆弱と見なされ、一部のメールプロバイダーに拒否される可能性があります。
Ed25519鍵は256ビットですが、3072ビットRSAと同等のセキュリティを提供する最新の暗号方式です。ただし、まだ一部のメールサーバーでサポートされていないため、RSA 2048ビットとの併用が推奨されます。
1024ビットRSA — 脆弱。一部のプロバイダーが拒否する可能性あり
2048ビットRSA — 推奨。現在の標準
4096ビットRSA — 高セキュリティだがDNS TXTレコードの制限に注意
Ed25519 — 最新の暗号方式。小さなサイズで高いセキュリティ
SPF・DKIM・DMARCの関係
メール認証は3つの仕組みが連携して機能します。SPFチェッカーで送信サーバーのIPを認証し、DKIMでメッセージの完全性を暗号署名で検証します。DMARCチェッカーはSPFとDKIMの結果を統合し、認証失敗時のポリシー(none、quarantine、reject)を定義します。
3つすべてを正しく設定することで、ドメインのなりすまし防止とメール配信率の向上が実現します。DMARC生成ツールでDMARCレコードを作成し、SMTPテストでメールサーバーの設定を検証してください。
関連メール・DNSツール
DKIM確認に関連する他のDNS Robotツールもご活用ください。