【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

送信ドメイン認証技術解説

電子署名方式の最新技術「DKIM」とは

末政 延浩
センドメール株式会社
テクニカルディレクター
2006/2/16

 送信ドメイン認証技術にはIPアドレスを利用するものと電子署名を利用するものがある。前者の代表は「Sender ID」や「SPF(Classic SPF)」であり、後者のそれは「DomainKeys」である。

 今回は、電子署名を利用するタイプの送信ドメイン認証である「DomainKeys Identified Mail(DKIM:ディーキムと発音する)」を解説する。DKIMの具体的な説明に入る前に、その誕生について触れよう。

 DKIMの両親となったDomainKeysとIIM

 「電子署名を使うDomainKeysの設定方法」にて説明したDomainKeys以外にも電子署名を利用した送信ドメイン認証を実現する方法として、Cisco Systemsが提案した「Identified Internet Mail(IIM)」という規格がある。IIMはDomainKeysとは異なり、署名に利用した公開鍵もメールに添付し、その公開鍵の正当性を鍵サーバに問い合わせるというものであった(その方法として、取りあえずDNSを利用する)。

 DomainKeysとIIMという2つの規格にはそれぞれ長所と短所がある。そこで2005年より、2つの規格を統一する動きが「E-mail Signing Technology Group(ESTG)」というグループにおいて開始された。ESTGでは、オープンソースのsendmail MTAの開発者であるEric Allman(Sendmail社CSO)を中心に議論が進められDKIMという規格にまとめられた。

 この作業には、DomainKeysを提唱したYahoo!、IIMを提唱したCisco、Sender IDを提唱したMicrosoftなど多くのベンダが協力している。また、2005年末にはIETF(Internet Engineering Task Force)においてDKIMを検討するワーキンググループが発足し、標準化作業を進めている。

 DomainKeysとDKIMの違い

 すでに述べたが、DKIMも電子署名ベースの送信ドメイン認証である。DomainKeysとIIMが統合された規格であるが、内容はほぼDomainKeysに近い。

 DomainKeysとの違いは、電子署名を含むヘッダも含めて電子署名を作成することと、DKIMの方が認証の対象をより限定できることだ。DomainKeysがサポートしていたのがドメイン単位での認証だったのに対して、DKIMはIIMと同じく送信者アドレス単位での認証も可能としている。また、DomainKeysではやや未整理な扱いになっていた「Site Signing Policy(SSP)」がより厳密に定義されている。さらに、DKIMはDomainKeysの運用経験を基に細かな点が改良されている。

 なお、どちらかというとIIMの影響は少ない。例えば、IIMでは公開鍵をメールのヘッダとして付与できるが、DKIMではそうした仕組みを提供していない。

 以上のようにDKIMとDomainKeysはよく似ている。しかし、この2つはまったく異なる規格であり、互換性はない。ただし、将来的にはDomainKeysからDKIMへ移行することが想定されており、その過程において、DomainKeysとDKIMの両方を同時に(お互いに干渉し合わないという意味で)利用可能なように設計してある。

 DKIMの仕組み

 図1にDKIMの仕組みを示す。送信側で電子署名を実施し、受信側で電子署名を照合するという方式である。

図1 DKIMの仕組み
 (1)X.COMでは、あらかじめDNSに電子署名に使う公開鍵を公開しておく
 (2)X.COMのメールサーバは、送出メールの本文とヘッダを基に電子署名を含んだ「DKIM-Signature:」ヘッダを付与する
 (3)メールをY.COMのサーバにSMTPで送信する
 (4)Y.COMのメールサーバは「DKIM-Signature:」ヘッダのdタグ値であるX.COMのDNSへ公開鍵を問い合わせる
 (5)X.COMから取得した公開鍵により電子署名を照合する。照合がOKであり、かつ「From:」ヘッダに記されたアドレスのドメイン部とdタグが同じドメイン名であるので認証成功
 *認証に失敗した場合は、さらに「From:」ヘッダに記されたアドレスのドメインに対するSSPレコードを取得し、ポリシーに照らして認証結果を判断する

 DKIMでは、メッセージのヘッダや本文を基に電子署名を作成するため、中継MTAやウイルススキャナなどでメールデータに変更が生じ、電子署名が壊れると認証が成立しない。このことから、送信側での署名処理および受信側での照合処理のどちらも、なるべくサイトの最も外部に位置する中継MTAで実施することが望ましい。このような注意点は電子署名方式の送信ドメイン認証に一般にいえることでもある。

1/4

Index
電子署名方式の最新技術「DKIM」とは
Page1
DKIMの両親となったDomainKeysとIIM
DomainKeysとDKIMの違い
DKIMの仕組み
  Page2
公開鍵の提供
送信側における電子署名の作成
  Page3
受信側での処理と認証結果の処理
Site Signing Policy(SSP)
  Page4
DKIMもメーリングリストが苦手
DKIM(dkim-milter)の実装

ドメイン認証技術解説
  Sender ID:送信者側の設定作業
  Sender ID:受信者側の設定作業
  電子署名を使うDomainKeysの設定方法

電子署名方式の最新技術「DKIM」とは

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
New!
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
.NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策

  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」

  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?
  直属上司が海外にいるのエンジニアに見る
【実例】場所に捉われないワークスタイル

  「仮想化工房」のマイスターが選んだのは
VMware、Hyper-V、そしてVirtageだった!
  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ