DKIM レコード チェッカー

DKIM（DomainKeys Identified Mail、RFC 6376）は、送信メールに暗号署名を追加します。送信メールサーバーはプライベートキーを使用してメールのヘッダーと本文に署名します。公開キーはDNS TXTレコードとして{selector}._domainkey.{domain}に公開されます。受信サーバーは公開キーを検索して署名を検証します。これにより次のことが証明されます：（1）メールはプライベートキーにアクセスできるサーバーから送信されました。（2）メールは転送中に変更されていません。SPFおよびDMARCと共に、DKIMはメールなりすましを防止し、配信性を向上させます。

セレクタはDNSでDKIM公開キーを検索するために使用されるプレフィックスです。同じドメインに複数のセレクタが存在でき、キーローテーションまたは複数の送信サービスが可能です。セレクタはDKIM-Signatureヘッダーに含まれます：「s=google」は受信者がgoogle._domainkey.yourdomain.comで公開キーを検索するよう指示します。一般的なセレクタ：Google WorkspaceはGoogleを使用、Microsoft 365は「selector1」と「selector2」間で自動ローテーション、SendGridは「s1」と「s2」を使用、Mailchimpは「k1」を使用、Proton Mailは「protonmail」を使用します。

RFC 8301（2018年に発行）は、DKIMの1024ビットRSAキーを非推奨にし、最小2048ビットが必要です。研究により、1024ビットRSAキーは十分なコンピューティング能力と資金があれば因数分解できることが示されています。理論的な攻撃者があなたのキーを因数分解できれば、DKIM署名を偽造できます。Googleは2023年に1024ビットDKIMを非推奨にしました。1024ビットキーを見かけた場合は、できるだけ早く2048ビットキーにローテーションする必要があります。ほとんどの最新メールサービスはすでにデフォルトで2048ビットキーを生成しています。

DKIMでは、空の公開キー（p=）は、キーが意図的に取り消されたことを示します。このキーで署名されたメールはDKIM検証に失敗します。これはDKIMキーローテーションメカニズムです。キーをローテーションするときは、p=を空に設定して古いキーを取り消します。取り消されたキーを見つけた場合、それは以前のESPからの古いキーかもしれません。アクティブなメールは取り消されたキーで署名されるべきではありません。メールが取り消されたキー（DNSレコードがp=を持つセレクタ）で署名されている場合、DKIMに失敗します。

DKIMセレクタを見つけるには：（1）メールサービスプロバイダーのドキュメントまたは管理パネルを確認してください。（2）テストメールを送信して完全なメールヘッダーを確認します。DKIM-Signatureヘッダー（「s={selector}」を含む）を探します。（3）Google Workspace：管理コンソール→アプリ→Gmail→メール認証。（4）Microsoft 365：Exchange管理センター→メールフロー→コネクタ。（5）カスタムMTA：署名セレクタのPostfix/Exim設定を確認してください。このチェッカーの「追加セレクタ」フィールドにカスタムセレクタを入力します。