Amazon SES における DKIM を使った E メールの認証 - Amazon Simple Email Service

Amazon SES における DKIM を使った E メールの認証

DomainKeys アイデンティファイドメール(DKIM) は、特定のドメインから来たと主張するEメールが、そのドメインの所有者によって実際に許可されていることを確認するために設計されたEメールセキュリティ標準です。公開鍵暗号を使用して、秘密鍵を使用してEメールに署名します。受信者サーバーは、ドメインの DNS に発行された公開キーを使用して、送信中にEメールの一部が変更されていないことを確認できます。

DKIM 署名はオプションです。DKIM署名を使ってEメールに署名することで、DKIMに対応する E メールプロバイダーによる配信性能を強化することができます。Amazon SES には、DKIM 署名を使用してメッセージに署名するための 3 つのオプションがあります。

  • Easy DKIM: Amazon SES によって公開鍵と秘密鍵ペアが生成され、自動的にすべての送信メッセージに DKIM 署名を追加する送信元のIDをセットアップするには、「Amazon SES のEasy DKIM」を参照してください。。

  • BYODKIM (Bring Your Own DKIM): SES によってすべての送信メッセージに DKIM 署名を追加する独自の公開鍵と秘密鍵ペアを提供するには、「Amazon SESで独自の DKIM 認証トークンを提供する」を参照してください。。

  • 手動でDKIM署名を追加する: SendRawEmailAPI を使って送信するEメールに独自の DKIM 署名を追加する場合は、「Amazon SES 内で手動での DKIM 署名」を参照してください。

DKIM 署名キーの長さ

現在、多くの DNS プロバイダーは DKIM 2048 ビット RSA 暗号化を完全にサポートしているため、Amazon SES は DKIM 2048 をサポートして E メールのより安全な認証を可能にし、API またはコンソールから Easy DKIM を設定するときにデフォルトのキー長として使用します。2048ビットキーは、Bring Your Own DKIM(BYODKIM)でもセットアップして使用できます。この場合、署名キーの長さは1024ビット以上2048ビット以下である必要があります。

Easy DKIMで構成されている場合、セキュリティと電子メールの配信可能性のために、まだ2048をサポートしていないDNSプロバイダーによって問題が発生した場合に備えて、1024ビットと2048ビットのいずれかのキー長と1024に戻す柔軟性を使用することを選択できます。新しい ID を作成すると、1024を指定しない限り、デフォルトで DKIM 2048 で作成されます。

転送中のEメールの配信性能を維持するために、DKIM キーの長さを変更できる頻度には制限があります。制限事項は次のとおりです。

  • 既に設定されているキーの長さと同じキーの長さに切り替えることができません。

  • 24時間の間に複数回異なるキーの長さに切り替えることはできません(その期間で1024への最初のダウングレードでない限り)。

Eメールが送信されると、DNS は公開鍵を使用してメールを認証します。したがって、キーを迅速または頻繁に変更すると、以前のキーがすでに無効になっている可能性があるため、DNS はメールを DKIM で認証できない可能性があります。したがって、これらの制限は保護されます。