Amazon SES における DKIM を使った E メールの認証 - Amazon Simple Email Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon SES における DKIM を使った E メールの認証

DomainKeys アイデンティファイドメール(DKIM) は、特定のドメインから来たと主張するEメールが、そのドメインの所有者によって実際に許可されていることを確認するために設計されたEメールセキュリティ標準です。パブリックキー暗号を使用して、プライベートキーで E メールに署名します。受信者サーバーは、ドメインの DNS に発行されたパブリックキーを使用して、送信中にEメールの一部が変更されていないことを確認できます。

DKIM 署名はオプションです。DKIM署名を使ってEメールに署名することで、DKIMに対応する E メールプロバイダーによる配信性能を強化することができます。Amazon SES には、DKIM 署名を使用してメッセージに署名するための 3 つのオプションがあります。

  • Easy DKIM: SES によってパブリックキーとプライベートキーのペアが生成され、その ID から送信するすべてのメッセージに DKIM 署名が自動的に追加されます。「Amazon SES のEasy DKIM」を参照してください。

  • BYODKIM (Bring Your Own DKIM): 独自のパブリックキーとプライベートキーのペアを提供すると、SES によって、その ID から送信するすべてのメッセージに DKIM 署名が追加されます。「Amazon SES で独自の DKIM 認証トークン (BYODKIM) を提供する」を参照してください。

  • 手動で DKIM 署名を追加する: SendRawEmail API を使用して送信する E メールに独自の DKIM 署名を追加します。「Amazon SES 内で手動での DKIM 署名」を参照してください。

DKIM 署名キーの長さ

現在、多くの DNS プロバイダーは DKIM 2048 ビット RSA 暗号化を完全にサポートしているため、Amazon SES は DKIM 2048 をサポートして E メールのより安全な認証を可能にし、API またはコンソールから Easy DKIM を設定するときにデフォルトのキー長として使用します。2048ビットキーは、Bring Your Own DKIM(BYODKIM)でもセットアップして使用できます。この場合、署名キーの長さは1024ビット以上2048ビット以下である必要があります。

Easy DKIMで構成されている場合、セキュリティと電子メールの配信可能性のために、まだ2048をサポートしていないDNSプロバイダーによって問題が発生した場合に備えて、1024ビットと2048ビットのいずれかのキー長と1024に戻す柔軟性を使用することを選択できます。新しい ID を作成すると、1024 を指定しない限り、デフォルトで DKIM 2048 で作成されます。

転送中のEメールの配信性能を維持するために、DKIM キーの長さを変更できる頻度には制限があります。制限事項は次のとおりです。

  • 既に設定されているキーの長さと同じ長さに切り替えることはできません。

  • 24時間の間に複数回異なるキーの長さに切り替えることはできません(その期間で1024への最初のダウングレードでない限り)。

Eメールが送信されると、DNS はパブリックキーを使用してメールを認証します。したがって、キーを迅速または頻繁に変更すると、以前のキーがすでに無効になっている可能性があるため、DNS はメールを DKIM で認証できない可能性があります。したがって、これらの制限は保護されます。

DKIM に関する考慮事項

E メールの認証に DKIM を使用する場合、次のルールが適用されます。

  • 「送信元」アドレスで使用するドメインでのみ DKIM を設定する必要があります。「Return-Path」あるいは「Reply-to」アドレスで使用するドメインに DKIM をセットアップする必要はありません。

  • Amazon SES は、複数のAWSリージョンで利用できます。複数のAWSリージョンを使用して E メールを送信する場合、リージョンごとに DKIM のセットアップを完了して、すべての E メールに DKIM 署名があることを確認する必要があります。

  • DKIM プロパティは親ドメインから継承されるため、DKIM 認証を使用してドメインを検証する場合は次のようになります。

    • DKIM 認証は、そのドメインのすべてのサブドメインにも適用されます。

      • サブドメインの DKIM 設定は、サブドメインで DKIM 認証を使用しない場合は継承を無効にし、後で再度有効にすることで、親ドメインの設定を上書きできます。

    • DKIM 認証は、そのアドレスで DKIM 検証済みドメインを参照する E メール ID から送信されるすべての E メールにも適用されます。

      • E メールアドレスの DKIM 設定を、サブドメインの設定 (適用される場合) と親ドメインの設定に上書きできます。DKIM 認証なしでメールを送信する場合は、継承を無効にし、後で再度有効にすることもできます。

継承された DKIM 署名プロパティについて理解する

まず、Easy DKIM または BYODKIM が使用されているかどうかにかかわらず、そのドメインが DKIM で設定されている場合、E メールアドレス ID が親ドメインから DKIM 署名プロパティを継承することを理解することが重要です。したがって、E メールアドレス ID で DKIM 署名を無効または有効にすると、次の重要な点に基づいてドメインの DKIM 署名プロパティが上書きされます。

  • E メールアドレスが属するドメインで既に DKIM をセットアップしている場合には、E メールアドレス ID にも同じく DKIM 署名を有効にする必要はありません。

    • ドメインで DKIM をセットアップする場合、Amazon SES が親ドメインから継承された DKIM プロパティを介して、このドメインのすべてのアドレスからのすべての E メールを自動的に認証します。

  • 特定の E メールアドレス ID の DKIM 設定により、そのアドレスが属する親ドメインまたはサブドメイン (該当する場合) の設定が自動的に上書きされます

E メールアドレス ID の DKIM 署名プロパティが親ドメインから継承されるため、これらのプロパティを上書きする場合は、次の表で説明された上書きの階層ルールに注意する必要があります。

親ドメインで DKIM 署名が有効になっていない 親ドメインで DKIM 署名が有効になっている

E メールアドレス ID で DKIM 署名を有効にすることができません。

E メールアドレス ID で DKIM 署名を無効にできます。
E メールアドレス ID で DKIM 署名を再度有効にできます。

通常、DKIM 署名の無効化はお勧めしません。送信者の評価を損うリスクがあるだけでなく、送信したメールが迷惑メールやスパムフォルダに移動されたり、ドメインが偽装されたりするリスクが高まるためです。

ただし、特定のユースケースや、DKIM 署名を永続的または一時的に無効にしたり、後で再有効化したりする必要があるような通常とは異なるビジネス上の意思決定がなされた場合に備えて、ドメインから継承された DKIM 署名プロパティを E メールアドレス ID に上書きするための機能があります。「E メールアドレス ID での継承されたDKIM署名の上書き」を参照してください。