Tweet

電子署名方式の最新技術「DKIM」とは

　DKIMもメーリングリストが苦手

　電子署名方式の送信ドメイン認証はメーリングリストが苦手である。DomainKeysもそうだが（詳細は「電子署名を使うDomainKeysの設定方法」を参照）、DKIMもメーリングリストが苦手だ。なぜならば、メーリングリストマネージャは電子署名の対象になる本文やヘッダ（特に「Subject:」ヘッダ）を再配送する際に変更する場合が多く、投稿時に作成した電子署名を破壊してしまうからである。

　DKIMのドラフトでは、メーリングリストサーバに対して、投稿者がDKIMで署名したメールを投稿してきた場合、署名を検証した結果が認証失敗であれば再配布しない（メーリングリストのメンバーに送信しない）ように勧めている。一方、認証に成功した場合は、参加者に再配布する際にメーリングリストに関連するアドレス（例えば、メーリングリストの所有者アドレスなど）を値とする「Sender:」ヘッダを追加して再度署名を行い、新たに「DKIM-Signature:」を追加して送出するように勧めている。

　また、前述したようにlタグを使って署名対象を先頭からリーズナブルなバイト数の本文に限定することで電子署名が破壊されないようにできる。例えば、再署名を実施しないメーリングリストにDKIM署名付きのメールを投稿した場合、メーリングリストマネージャがそのメールを再配布する際にメーリングリストの名前などを表示するフッタを追加したとしても電子署名は破壊されない。

　ただし、lタグを利用する場合でも署名対象の本文があまりにも短いと、悪意のあるユーザー（例えばスパムメール送信者）によって署名対象以降の本文にまったく関係のない文章を挿入され、「DKIM-Signature:」そのものを再利用するような攻撃も考えられるので、慎重に扱う必要がある。

　DKIM（dkim-milter）の実装

　DKIMの標準化は現在進行中であるが、仕様はほぼ決定している。現時点でのオープンソースの実装として、Sendmail社からdkim-milterが提供されている。この記事の執筆時のバージョンは0.2.2である。sendmail MTAのMilterとして実装されており、オープンソースsendmailの8.13.0以降および商用版Sendmail Switchの3.1以降のバージョンで利用できる。

　dkim-milterにはgentxt.cshというシェルスクリプトが付属しており、これを利用してDNS上に公開するDKIMの公開鍵が簡単に作成できる。興味のある方は以下のURLからダウンロードして、実験してみてほしい。

◆　◇　◆

　DKIMは多くのベンダが参加して標準化が進められていることもあり、実装や適用はこれから順調に進んでいくものと考えられている。現在、DomainKeysを利用している大手のフリーメールサイトなども、近い将来にはDKIMへ移行していくだろう。また、商用製品でのサポートもSendmail社から今年中に対応する製品がリリースされる予定である。

　もし、いますぐにでも電子署名方式の送信ドメイン認証を利用したい場合には、現時点ではDomainKeysで実験的な運用を開始して、将来的にはDKIMに移行するというプランが現実的だろう。

4/4

Index
電子署名方式の最新技術「DKIM」とは
	Page1 DKIMの両親となったDomainKeysとIIM DomainKeysとDKIMの違い DKIMの仕組み
	Page2 公開鍵の提供 送信側における電子署名の作成
	Page3 受信側での処理と認証結果の処理 Site Signing Policy（SSP）
	Page4 DKIMもメーリングリストが苦手 DKIM（dkim-milter）の実装

電子署名方式の最新技術「DKIM」とは

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード