Amazon Simple Email Service
開発者ガイド

Amazon SES の Easy DKIM

Easy DKIM は、検証済みの E メールアドレスまたはドメインから送信されるすべてのメッセージに対し、1024 ビットの DKIM キーを使った DKIM 署名を追加する Amazon SES の機能です。Amazon SES コンソールを使用して Easy DKIM の設定を行ったり、E メールメッセージの自動 DKIM 署名を有効/無効にしたりできます。Easy DKIM のセットアップを行うには、ドメインの DNS レコードを編集できることが必要です。DNS レコードを適切に設定することで、確認済みの E メールアドレスまたはドメインの Easy DKIM 署名を有効にすることができます。

以下のルールが適用されます。

  • 他の確認済みアイデンティティの設定と同様に、ルートドメインを共有するドメイン、サブドメイン、および E メールアドレスを検証する場合、Easy DKIM 設定は検証する最も細かいレベルで適用されます。つまり、次のようになります。

    • 検証済み E メールアドレス設定は、検証済みドメイン設定をオーバーライドします。

    • 検証済みサブドメイン設定は、検証済みドメイン設定をオーバーライドします。より低いレベルのサブドメイン設定は、より高いレベルのサブドメイン設定をオーバーライドします。

  • ルートドメインを検証し、特定のサブドメインを検証しない場合、そのサブドメインはルートドメインの Easy DKIM 設定を使用します。たとえば、ルートドメインが Easy DKIM を設定して有効にしている場合、サブドメインの電子メールも、自動的に DKIM 署名されます。

Easy DKIM のセットアップ後は、Amazon SES の呼び出しに SMTP インターフェイスを使用するか、API (SendEmail または SendRawEmail) を使用するかに関係なく、メッセージが自動的に DKIM で署名されます。Easy DKIM のセットアップが必要なのは、From アドレスに使用するドメインのみです。「Return-Path」アドレスや「Reply-To」アドレスのドメインに対しては必要ありません。

新しいドメインをこれから確認する場合は、その時点で Easy DKIM をセットアップできます。ドメインまたは E メールアドレスが確認済みである場合は、必要に応じていつでも Easy DKIM の機能を追加できます。

注記

Amazon SES のエンドポイントは複数の AWS リージョンに存在するため、Easy DKIM の設定は AWS リージョンごとに個別に適用されます。Easy DKIM を使用する各リージョンで、Easy DKIM のセットアップ手順を実行する必要があります。複数の AWS リージョンで Amazon SES を使用する方法については、「リージョンと Amazon SES」を参照してください。

このトピックは、以下のセクションで構成されます。

新しいドメインに対する Easy DKIM のセットアップ

AWS マネジメントコンソールを使用して新しいドメインを確認する際、Easy DKIM も同時にセットアップすることができます。

以下の手順は、新しいドメインに対してのみ有効です。既に確認済みの E メールアドレスまたはドメインに対して Easy DKIM をセットアップする場合は、「既存の確認済みアイデンティティに対する Easy DKIM のセットアップ」を参照してください。

新しいドメインに対して Easy DKIM をセットアップするには

  1. Amazon SES コンソールで検証済みのドメインリストに移動するか、次の手順に従ってこのリストに移動します。

    1. AWS マネジメントコンソールにサインインして、Amazon SES コンソール (https://console.aws.amazon.com/ses/) を開きます。

    2. ナビゲーションペインで、[Identities] の [Domains] をクリックします。

  2. [Verify a New Domain] をクリックします。

  3. [Verify a New Domain] ダイアログボックスにドメイン名を入力し、[Generate DKIM settings] チェックボックスをオンにして、[Verify This Domain] をクリックします。

     新しいドメインの確認と Easy DKIM のセットアップ

    その結果、ドメインの確認と Easy DKIM のセットアップに必要なすべての DNS レコードがダイアログボックスに表示されます。ダイアログボックスを閉じた後でも、この情報はドメイン名をクリックすることで表示できます。

     Easy DKIM の DNS レコード
  4. ドメインの確認を完了するには、[Verify a New Domain] ダイアログボックスの [Domain Verification Record ] から得られる TXT レコードの情報で、ドメインの DNS 設定を更新する必要があります。一部のドメイン名プロバイダーでは、Name ではなく、Host という用語が使用されます。DNS プロバイダーがレコード名でのアンダースコアの使用を許可していない場合は、ドメイン検証レコードの Name から _amazonses を削除できます。ドメインの DNS 設定内でこのレコードを識別しやすくするために、必要に応じて Value の前に amazonses: を付けることができます。

    個々のレコードをハイライトしてコピーするか、[Download Record Set as CSV] を選択して、すべてのレコードをダウンロードします。

    重要

    DNS プロバイダーは、DNS レコードの末尾にドメイン名を追加する場合があります。既にドメイン名が含まれているレコード (_amazonses.example.com など) を追加すると、ドメイン名の重複を招きます (_amazonses.example.com.example.com)。ドメイン名の重複を避けるには、DNS レコードのドメイン名の末尾にピリオドを追加します。こうすることで、DNS プロバイダーにレコード名が完全修飾されている (つまり、ドメイン名に対して相対的でなくなる) ことを示し、DNS プロバイダーによってドメイン名が追加されないようにします。

  5. DKIM をセットアップするには、ダイアログボックスの CNAME レコードの情報で、ドメインの DNS 設定を更新する必要があります。_domainkey から下線を省略することはできないので注意してください。下線は、RFC 4871 の要件として規定されています。

    個々の CNAME レコードをハイライトしてコピーするか、[Download Record Set as CSV] を選択して、すべてのレコードをダウンロードします。

    1. Route 53 に検証対象のドメインの DNS サービスがあり、Route 53 と同じ E メールアドレスとパスワードで Amazon SES コンソールにログインしている場合は、ドメイン検証の DNS 設定と DKIM の DNS 設定の両方を Amazon SES コンソール内から即座に更新できます。

    2. Route 53 を使用していない場合は、ご利用の DNS サービスプロバイダーで定められている手順に従って、DNS 設定を更新する必要があります。DNS サービスのプロバイダーが不明な場合は、システム管理者に問い合わせてください。最終的には、DNS レコードが更新されたことをAmazon Web Servicesが検出しますが、この検出プロセスには最大 72 時間かかる場合があります。

    検証が完了すると、Amazon SES コンソール内のドメインの [Status] が [pending verification] から [verified] に変り、Amazon SES Domain Verification SUCCESS という確認メールが Amazon Web Services から送信されます (AWS の E メールは、Amazon SES へのサインアップ時に使用した E メールアドレスに送信されます)。

    DNS レコードに対する変更が Amazon SES で正常に検出されると、Amazon SES コンソールに表示されるそのドメインの [DKIM Verification Status] が [in progress] から [success] に変わり、Amazon SES DKIM Setup Successful という確認メールがアマゾン ウェブ サービスから送信されます。

  6. これで、検証済みドメインの有効なアドレスから、Amazon SES を使用して DKIM 署名付きの E メールを送信できます。Amazon SES コンソールを使用してテスト E メールを送信するには、検証済みドメインの横にあるチェックボックスをオンにして、[Send a Test Email] をクリックします。受信した E メールのヘッダーを確認してください。この機能は通常 E メールプロバイダーから提供され、"オリジナルを表示" や "メッセージのソースを表示" などのオプションを通じて利用できます。"d" タグにお客様のドメインが設定された DKIM-Signature という名前のヘッダーを探します。DKIM が有効になっていると、メッセージには 2 つの DKIM-Signature ヘッダーが追加されます。1 つはお客様のドメインに関するヘッダー、もう 1 つは d=amazonses.com が含まれるヘッダーです(amazonses.com の署名は、DKIM が有効になっているかどうかにかかわらず、Amazon SES によって自動的に追加されます。この署名は無視できます)。たとえば、ses-example.com という名前のドメインであれば、探している DKIM 署名のヘッダーは次のようになっています。

    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=xtk53kxcy4p3t6ztbrffs6d54rsrrhh6; d=ses-example.com; t=1366720445; h=From:To:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:Date:Message-ID; bh=lcj/Sl5qKl6K6zwFUwb7Flgnngl892pW574kmS1hrS0=; b=nhVMQLmSh7/DM5PW7xPV4K/PN4iVY0a5OF4YYk2L7jgUq9hHQlckopxe82TaAr64 eVTcBhHHj9Bwtzkmuk88g4G5UUN8J+AAsd/JUNGoZOBS1OofSkuAQ6cGfRGanF68Ag7 nmmEjEi+JL5JQh//u+EKTH4TVb4zdEWlBuMlrdTg=

重要

DNS 設定の更新方法は、だれによって DNS サービスが提供されるかによって異なります。DNS サービスは、ドメイン名登録業者 (GoDaddy、Network Solutions など) によって提供されることもあれば、単独のサービス (Amazon Route 53 など) として提供されることもあります。

Easy DKIM でエラーが発生した場合どうなりますか

DNS 設定が正しく更新されなかった場合、まず Amazon SES DKIM FAILURE という E メールが Amazon Web Services から送信され、[DKIM] タブをクリックすると [Domains] 領域に [failed] というステータスが表示されます。

注記

その場合でも、Amazon SES によって E メールは送信されますが、DKIM 署名は実行されません

既存の確認済みアイデンティティに対する Easy DKIM のセットアップ

既にドメインまたは E メールアドレスの確認が済んでいる場合、そのアイデンティティに対し、AWS マネジメントコンソール を使用していつでも Easy DKIM をセットアップできます。

以下の手順は、既に確認済みのドメインに対して DKIM 署名を追加する方法を説明したものです。新しいドメインをこれから確認する場合は、その際に一緒に Easy DKIM をセットアップできます。「新しいドメインに対する Easy DKIM のセットアップ」を参照してください。

重要

Easy DKIM は、完全修飾ドメイン名 (FQDN) でのみ機能します。example.comnewyork.example.com の両方に対して Easy DKIM をセットアップする場合は、それらの FQDN に対して個別に Easy DKIM をセットアップする必要があります。

既存の確認済みドメインに対して Easy DKIM をセットアップするには

  1. Amazon SES コンソールで検証済みのドメインリストに移動するか、次の手順に従ってこのリストに移動します。

    1. AWS マネジメントコンソールにサインインして、Amazon SES コンソール (https://console.aws.amazon.com/ses/) を開きます。

    2. ナビゲーションペインで、[Identities] の [Domains] をクリックします。

  2. コンテンツペインで、Easy DKIM を設定する確認済みドメインをクリックします。

  3. ドメインの詳細ページで、[DKIM] を展開します。

     DKIM 設定の生成
  4. [Generate DKIM Settings] をクリックします。

    DKIM レコードが表示されます。

  5. DKIM をセットアップするには、表示された CNAME レコードの情報で、ドメインの DNS 設定を更新する必要があります。レコードをコピーするか、[Download Record Set as CSV] リンクをクリックしてください。

    1. Route 53 に検証対象のドメインの DNS サービスがあり、Route 53 と同じ E メールアドレスとパスワードで Amazon SES コンソールにログインしている場合、Easy DKIM の DNS 設定を Amazon SES で即座に更新できます。そのようにする場合は、[Use Route 53] ボタンをクリックしてください。

      次に、[Use Route 53] ダイアログボックスの [Create Record Sets] をクリックしてプロセスを完了します。

    2. Route 53 を使用していない場合は、ご利用の DNS サービスプロバイダーで定められている手順に従って、DNS 設定を更新する必要があります。DNS サービスのプロバイダーが不明な場合は、システム管理者に問い合わせてください。最終的には、DNS レコードが更新されたことをAmazon Web Servicesが検出しますが、この検出プロセスには最大 72 時間かかる場合があります。

  6. DNS レコードに対する変更が Amazon SES で正常に検出されると、Amazon SES コンソールに表示されるそのドメインの [DKIM Verification Status] が [in progress] から [success] に変わり、Amazon SES DKIM Setup Successful という確認メールがアマゾン ウェブ サービスから送信されます (Amazon Web Services の E メールは、Amazon SES へのサインアップ時に使用した E メールアドレスに送信されます)。

  7. (このステップは DKIM 設定を 2016 年 9 月 13 日 2:00 (PDT) 以前に開始する場合のみ必要となります)DKIM 署名を使用してメッセージに署名するには、次のようにして、適切に検証された送信アイデンティティの Easy DKIM を有効にする必要があります。

    1. Easy DKIM 署名をメールアドレス、あるいはドメインのどちらかに対して有効にするかに応じて、ナビゲーションペインの [Identities] で [Email Addresses] または [Domains] をクリックします。

    2. Easy DKIM 署名を有効にする E メールアドレスまたはドメインをクリックします。

    3. E メールアドレスまたはドメインの詳細ページで、[DKIM] を展開します。

    4. [DKIM:] フィールドの [enable] をクリックします。

  8. これで、検証済みドメインの有効なアドレスから、Amazon SES を使用して DKIM 署名付きの E メールを送信できます。Amazon SES コンソールを使用してテスト E メールを送信するには、検証済みドメインの横にあるチェックボックスをオンにして、[Send a Test Email] をクリックします。受信した E メールのヘッダーを確認してください。この機能は通常 E メールプロバイダーから提供され、"オリジナルを表示" や "メッセージのソースを表示" などのオプションを通じて利用できます。"d" タグにお客様のドメインが設定された DKIM-Signature という名前のヘッダーを探します。DKIM が有効になっていると、メッセージには 2 つの DKIM-Signature ヘッダーが追加されます。1 つはお客様のドメインに関するヘッダー、もう 1 つは d=amazonses.com が含まれるヘッダーです(amazonses.com の署名は、DKIM が有効になっているかどうかにかかわらず、Amazon SES によって自動的に追加されます。この署名は無視できます)。たとえば、ses-example.com という名前のドメインであれば、探している DKIM 署名のヘッダーは次のようになっています。

    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=xtk53kxcy4p3t6ztbrffs6d54rsrrhh6; d=ses-example.com; t=1366720445; h=From:To:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:Date:Message-ID; bh=lcj/Sl5qKl6K6zwFUwb7Flgnngl892pW574kmS1hrS0=; b=nhVMQLmSh7/DM5PW7xPV4K/PN4iVY0a5OF4YYk2L7jgUq9hHQlckopxe82TaAr64 eVTcBhHHj9Bwtzkmuk88g4G5UUN8J+AAsd/JUNGoZOBS1OofSkuAQ6cGfRGanF68Ag7 nmmEjEi+JL5JQh//u+EKTH4TVb4zdEWlBuMlrdTg=

重要

DNS 設定の更新方法は、だれによって DNS サービスが提供されるかによって異なります。DNS サービスは、ドメイン名登録業者 (GoDaddy、Network Solutions など) によって提供されることもあれば、単独のサービス (Route 53 など) として提供されることもあります。

Easy DKIM でエラーが発生した場合どうなりますか?

DNS 設定が正しく更新されなかった場合、まず Amazon SES DKIM FAILURE という E メールが Amazon Web Services から送信され、[DKIM] タブをクリックすると [Domains] 領域に [failed] というステータスが表示されます。

注記

その場合でも、Amazon SES によって E メールは送信されますが、DKIM 署名は実行されません