連載
» 2006年02月16日 10時00分 UPDATE

送信ドメイン認証技術解説:電子署名方式の最新技術「DKIM」とは (4/4)

[末政延浩,@IT]
前のページへ 1|2|3|4       

DKIMもメーリングリストが苦手

 電子署名方式の送信ドメイン認証はメーリングリストが苦手である。DomainKeysもそうだが(詳細は「電子署名を使うDomainKeysの設定方法」を参照)、DKIMもメーリングリストが苦手だ。なぜならば、メーリングリストマネージャは電子署名の対象になる本文やヘッダ(特に「Subject:」ヘッダ)を再配送する際に変更する場合が多く、投稿時に作成した電子署名を破壊してしまうからである。

 DKIMのドラフトでは、メーリングリストサーバに対して、投稿者がDKIMで署名したメールを投稿してきた場合、署名を検証した結果が認証失敗であれば再配布しない(メーリングリストのメンバーに送信しない)ように勧めている。一方、認証に成功した場合は、参加者に再配布する際にメーリングリストに関連するアドレス(例えば、メーリングリストの所有者アドレスなど)を値とする「Sender:」ヘッダを追加して再度署名を行い、新たに「DKIM-Signature:」を追加して送出するように勧めている。

 また、前述したようにlタグを使って署名対象を先頭からリーズナブルなバイト数の本文に限定することで電子署名が破壊されないようにできる。例えば、再署名を実施しないメーリングリストにDKIM署名付きのメールを投稿した場合、メーリングリストマネージャがそのメールを再配布する際にメーリングリストの名前などを表示するフッタを追加したとしても電子署名は破壊されない。

 ただし、lタグを利用する場合でも署名対象の本文があまりにも短いと、悪意のあるユーザー(例えばスパムメール送信者)によって署名対象以降の本文にまったく関係のない文章を挿入され、「DKIM-Signature:」そのものを再利用するような攻撃も考えられるので、慎重に扱う必要がある。

DKIM(dkim-milter)の実装

 DKIMの標準化は現在進行中であるが、仕様はほぼ決定している。現時点でのオープンソースの実装として、Sendmail社からdkim-milterが提供されている。この記事の執筆時のバージョンは0.2.2である。sendmail MTAのMilterとして実装されており、オープンソースsendmailの8.13.0以降および商用版Sendmail Switchの3.1以降のバージョンで利用できる。

 dkim-milterにはgentxt.cshというシェルスクリプトが付属しており、これを利用してDNS上に公開するDKIMの公開鍵が簡単に作成できる。興味のある方は以下のURLからダウンロードして、実験してみてほしい。


 DKIMは多くのベンダが参加して標準化が進められていることもあり、実装や適用はこれから順調に進んでいくものと考えられている。現在、DomainKeysを利用している大手のフリーメールサイトなども、近い将来にはDKIMへ移行していくだろう。また、商用製品でのサポートもSendmail社から今年中に対応する製品がリリースされる予定である。

 もし、いますぐにでも電子署名方式の送信ドメイン認証を利用したい場合には、現時点ではDomainKeysで実験的な運用を開始して、将来的にはDKIMに移行するというプランが現実的だろう。

Index

電子署名方式の最新技術「DKIM」とは

Page1

DKIMの両親となったDomainKeysとIIM

DomainKeysとDKIMの違い

DKIMの仕組み


Page2

公開鍵の提供

送信側における電子署名の作成


Page3

受信側での処理と認証結果の処理

Site Signing Policy(SSP)


Page4

DKIMもメーリングリストが苦手

DKIM(dkim-milter)の実装


Profile

末政 延浩


センドメール株式会社

テクニカルディレクター


ISPや企業のメールシステムの構築およびコンサルティングに従事。インターネット電子メールシステムの安全性を高めるため送信ドメイン認証技術の利用の拡大を望む


[an error occurred while processing this directive]
前のページへ 1|2|3|4       

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。