DKIM認証は、送信元認証(なりすまし防止)を行うための機構の一つです。
DKIM認証は、本来の送信元ドメインではなく、FROMアドレスのドメインに対して認証が行われますので、お客様側でFROMアドレスのドメイン部分を設定した場合、そのFROMアドレスのドメインに対してDKIM認証が行われるようになります。
ワイメールでは、FROMアドレスのドメインを任意のものに設定した場合でも、デフォルトで第三者認証が有効となり、お客様の環境のドメイン名で署名された第三者認証が行われます。この場合は、特にお客様で行っていただく作業はありません。
第三者認証ではなく作成者認証を行いたい場合、変更後のドメインのDNSレコード情報を編集できる権限をお持ちの場合は、ワイメールで生成された公開鍵情報(所定のTXTレコード)をDNSレコードに登録していただくことにより、作成者認証を行うことができます。
※作成者認証と第三者認証のいずれも暗号強度などに違いはありません。
※DMARC検証時のルール上、第三者認証は許可されず無効として扱われます。
※SPF/DKIM/DMARC認証はあくまで送信元のなりすましを防ぐための機構であり、迷惑メールフォルダ行きの可能性を低減させることを保証するものではありません。
第三者署名ではなく作成者署名で認証を行いたい場合
以下の「作成者署名用DKIMレコードの設定方法」→「送信時に作成者署名を付与するよう設定する」の手順を参考に、設定を行ってください。
作成者署名用DKIMレコードの設定方法
1.まず、ワイメールで契約しているドメイン名を調べます。
「契約しているドメイン名」は、コントロールパネルを開くためのURLのドメインです。
または、マイページに表示されている、基本契約情報の「ドメイン名」でも確認が可能です。
お客様がご利用中の環境のDKIMレコードは、「selector._domainkey."契約しているドメイン名"」で公開されています。
「契約しているドメイン名」が画像の例のように「example.com」の場合は、「selector._domainkey.example.com」になります。
2.次に、FROMアドレスに指定したドメイン下で、DKIMレコードのホスト名に対するCNAMEレコードを設定します。
- 任意のドメインのCNAMEレコードを編集できる権限をお持ちの場合-DKIM(作成者認証)設定
- お客様ご自身で既存のドメインのDNSを管理されていて、DNSレコードの編集権限をお持ちの場合-DKIM(作成者認証)設定
3.設定したDNSレコードが正常に応答するかどうか確認します。
下記のページにアクセスします。
https://www.cman.jp/network/support/nslookup.html
各項目を下記のように入力し、チェックします。
- ホスト名(FQDN): selector._domainkey."送信元アドレス(From)に設定したドメイン"
- オプション: TXT
- DNSサーバ: 指定なし
応答値に、canonical nameとしてお客様の環境の「selector._domainkey."契約しているドメイン名"」が表示され、
「selector._domainkey."契約しているドメイン名"」のDKIMレコードが表示されていれば正常にレコードが反映されています。
DNSレコードの設定は以上となります。
送信時に作成者署名を付与するよう設定する
DNSレコードの設定が完了したら、目的の送信元アドレスからの送信時に作成者署名が付与されるよう設定します。
1.コントロールパネルの「共通設定」→「作成者署名設定」を開きます。
2.作成者署名を付与したい目的のメールアドレス(「基本設定の編集」で「送信元(From)アドレス」に指定したアドレス)を登録します。
3.実際に作成者認証が通るか確認します。
DKIMに対応しているYahooメールやGmailなどで、ワイメールから送信されたメールを受信し、メールヘッダを確認してください。下記のように、Authentication-Resultsヘッダに「dkim=pass (ok) 」、「header.i=@送信元アドレスのドメイン名」という記述があれば、作成者認証に成功しています。
Authentication-Results: ・・・ example.com from=example.com; dkim=pass (ok) header.i=@example.jp