DKIM署名の画面では、MDaemonが送信メールへDKIMで署名を付与する設定を行ったり、どのメッセージに署名するかを選択したりできます。またセレクタを指定し、DKIMの仕様に沿った公開鍵および秘密鍵を生成することができます。デフォルトのセレクタ(MDaemon)とデフォルトの公開鍵や秘密鍵はスタートアップ時に自動的に作成されます。すべてのキーは一意であり、セレクタの指定に関係なく、決して同じものが生成されることはありません。またデフォルトではキーは安全な2048ビットで生成されます。
DKIM署名
送信メールへDKIMで署名する
送信メッセージにDomainKey Identified Mailを使用した暗号署名を行いたい場合は、このオプションを有効にしてください。
メッセージに署名するためには、どのメッセージが署名できるか定義するボタンで指定された判定基準を満たさなければならず、認証されたセッションで配信されMDaemonによって受信されなければなりません。またコンテンツフィルタの"Sign with DKIM selector..."という機能で署名することもできます。
...メーリングリストのメールに対しても署名を行う
送信されるすべてのメーリングリストメッセージに暗号署名を行いたい場合は、このチェックボックスを選択してください。MDaemonではリストのすべてのメールに署名されるので、暗号署名に関してどのメッセージが署名できるか定義するオプションを使用する必要はありません。
デフォルトセレクタ
ドロップダウンリストから、MDaemonがメッセージに署名する際に使用するパブリックとプライベートのキーの組み合わせに対応するセレクタを選択してください。異なるセレクタで新しいキーの組み合わせを使用する場合は、ここに必要なセレクタ名を入力し、下記の新規パブリックもしくは秘密鍵を作成するをクリックします。代替セレクタを使用してメッセージに署名する場合は、どのメッセージが署名できるか定義するでセレクタを指定するか、コンテンツフィルタの"Sign with DKIM selector..." を使用してルールを作成してください。
このセレクタを削除
セレクタを削除する場合、このボタンをクリックしてください。画面表示にしたがってください。
新規パブリックとプライベートキーを作成する
上記のセレクタについてパブリック/プライベート・キーペアを生成するために、このボタンを選択します。パブリック/プライベート・キーペアはセレクタについて生成され、ファイルdns_readme.txtが生成され自動的に開きます。このファイルには、ドメインのDNSレコードを発行するために必要なDKIMデータと、指定されたセレクタに対する公開鍵のサンプルデータが含まれています。このファイルにはテストおよび未テスト状態のサンプル、ドメインからのすべてのメッセージあるいはいくつかのメッセージだけに署名する場合などのサンプルなどが記載されています。現在、DKIMまたはこのセレクタをテストしている場合、テストの対象に応じて、ポリシーかセレクタのテスト内容を含む情報を使う必要があります。テストしている状態でなければ、未テストエントリが必要です。
すべてのキーはPEM形式で保存され、すべてのセレクタとキーの情報は\MDaemon\Pem以下のフォルダに保存されます。
\MDaemon\Pem\<Selector>\rsa.public - public key for this selector
\MDaemon\Pem\<Selector>\rsa.private - private key for this selector
|
これらのフォルダに含まれているファイルは、暗号化された状態や非表示になっていませんが、許可されていない第3者がアクセスするべきでないRSAプライベートキーが含まれています。OSの機能を利用してこのフォルダやサブフォルダにセキュリティをかけることをお勧めします。 |
どのメッセージが署名できるか定義する
上記の[送信メールに署名する]オプションの一部あるいは両方を有効にした場合、このボタンをクリックするとDKSign.datファイルを編集することができます。DKSign.datファイルにはMDaemonがメッセージに署名すべきかどうかを判断をするドメインとアドレスのリストが含まれています。署名を行うにはToやFromにこのアドレスが必要かどうかを指定し、[Reply-To]や[Sender]ヘッダを追加するといった指定も行えます。マッチした各エントリに対して任意のセレクタを指定し、署名を追加する事もできます。最後に、署名ヘッダ内の[d=]タグで署名に使用するドメインを指定することができます。この機能は複数のサブドメインによる署名メッセージがある場合などに便利です。このような場合、[d=]を使用することによりシングルドメインのDNSレコードでDKIMキーを探すように受信サーバに命令することができます。これにより、個々のサブドメインの個々のレコードを管理するのではなく、1つのレコードですべてのキーを管理することが可能となります。ドメインとアドレスの両方でワイルドカードが使用できます。
ローカルドメインからのすべてのメッセージに対して署名ができる
ローカルドメインからのメール全てを署名対象とする場合はこのオプションを使用してください。このオプションを使用すると、特定のセレクタあるいは"d="タグを指定する場合を除き(DKSign.datファイルで)ローカルドメインの追加を行う必要はありません。このオプションは、デフォルトで有効です。
参照:
