DKIMとは(Domainkeys Identified Mail)

DKIMMとは電子署名方式の送信ドメイン認証のこと。公開鍵方式により送信者の認証、及びメール内容が改ざんされていないことを証明する。
2017年現在では普及率が低い。DKIMに対応していないメールの受信を禁止すると、DKIMに対応していないサーバからは受信できなくなり支障が発生する。

以下の特徴がある。
・TXT レコードとしてDNSに登録
・ヘッダ及びボディを元に電子署名を生成し、DKIM-Signatureとしてヘッダーに追加する。
・鍵長は512～2048(1024未満は脆弱性あり)
・秘密鍵の扱いには注意が必要。
・公開鍵を変更する場合は、新と旧でFQDNを分けるべき。1ショットで切り替えると、キューイングされているメールで認証が失敗する可能性あり。よって並行運用の期間が必要。

DKIM-Signatureヘッダーには以下のような情報があり。（主なもの抜粋）
・バージョン
・署名作成のアルゴリズム。「rsa-sha1」、「rsa-sha256」など
・電子署名データ(Base64)
・本文のハッシュ値
・メール本文の正規化方式(ヘッダと本文それぞれを simple or relaxed で指定。)
・送信ドメイン名
・署名ヘッダ
・認証対象の送信元メールアドレス
・証明対象の本文の長さ
・公開鍵取得方法(「dns/txt」)
・セレクタ
・署名時のタイムスタンプ
・有効期限

認証対象はあくまでも DKIM ヘッダー内の送信元メールアドレス。ヘッダーのメールアドレスと異なっていた場合の動作は実装に依存する。

カテゴリ：電子メール

[セキュリティ用語集トップへ]

本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2014 - 2017