Microsoft365でDKIM署名を有効化する

みなさんこんにちは。アイシーティーリンクの増田です。
今年は長い夏休みをいただきまして、今日が休み明けです。
まぁうだるような暑さにやられてあまり遠出はしていないのですが、それなりにリフレッシュできたので頑張ってます。

今日はメールのDKIM署名を有効化しましたので、それについて綴ります。

そもそもDKIM署名ってなんぞ？という話からなのですが、私もこの度知ったもので、きっかけは、社外にメールが届かないという話があったことでした。
受信側の担当者によると、DKIM署名の認証が取れないので宛先のユーザーには配送されていなかったとのことでした。
仕組みとしては、メールを送信するときにサーバが署名を付加しておき、受信側でそれを検証できるようにする。というもので、検証に必要となるキーをDNSに登録しておき、検証に通れば、そのメールの送信者は真っ当そうだということで、宛先アカウントのメールボックスに届けてくれます。
参考：インターネット用語1分解説～DKIMとは～ - JPNIC

有効化の手順は超簡単で、MSのドキュメントに事細かく書いてあります。

Exchange Online Powershellで以下のコマンドを実行し、DNSに登録するレコードの情報を払い出します。
(<domain>はメールを送信するドメインです。例えば example.com みたいなもの)

New-DkimSigningConfig -DomainName <domain> -Enabled $false Get-DkimSigningConfig -Identity <domain> | Format-List Selector1CNAME, Selector2CNAME

これをやると、以下のフォーマットでDNSの登録情報が取れます。

Host name: selector1._domainkey Points to address or value: selector1-<customDomainIdentifier>._domainkey.<initialDomain> TTL: 3600 Host name: selector2._domainkey Points to address or value: selector2-<customDomainIdentifier>._domainkey.<initialDomain> TTL: 3600

上記をDNSにCNAMEレコードとして登録した後、Exchange Online Powershell で以下のコマンドを実行すれば終わりです。

Set-DkimSigningConfig -Identity <domain> -Enabled $true

めっちゃ簡単ですね。

確認は、DKIM署名を付与しているドメインから受信したメールのヘッダに "DKIM-Signature:ほげほげ"というフィールドがあり、DKIM=pass や DKIM=OK みたいなものが記録されていれば署名の検証まで取れている状態となります。

送信者を騙ったメールを不用意に触ることによるリスクが無視できないこともあり、このような送信元の正当性を検証する仕組みを導入する組織も増えているようです。
ただ単にメールを送るだけではなく、自身の正当性を検証できるようにすることがある種マナーのようになる世界になりつつあるんですね。

それでは今日はこの辺で終わりたいと思います。