DKIM署名ページのオプションを使用して、ドメインの送信メッセージにDKIM(DomainKeys Identified Mail)を使用して暗号署名するかどうかを制御します。また、このページを使用して、ドメインのメッセージの署名に使用するセレクタとキーを作成し、使用するセレクタを指定することもできます。すべての鍵は一意であり、指定されたセレクタに関係なく、ドメイン間で同じになることはありません。
DKIMの詳細について、以下を参照: www.dkim.org.
DKIM署名
DomainKeys Identified Mail (DKIM)を使用して送信メッセージに署名する
暗号によってドメインの送信メッセージに署名するDomainKeys Identified Mailを使用する場合、このオプションをクリックします。メールへ署名を行うには、SecurityGatewayがSMTP AUTHで認証されたセッションか、ドメインメールサーバー から受け取ったメールである必要があります。これは、署名するメッセージが正規のものである事を確認するためです。
ARCサイン会
ARCは、SecurityGatewayがメッセージの中間サーバーとして動作するときに、受信メッセージの認証結果にデジタル署名することを可能にする電子メール認証プロトコルです。これは、たとえば、SecurityGatewayがメッセージをリダイレクトするときや、メッセージのDKIM署名に含まれていたヘッダを修正する必要があるメーリングリスト・メッセージを扱うときに便利です。受信サーバーがARC検証を使用し、信頼できるARCシーラーとしてSecurityGatewayドメインを指定している場合、サーバーはあなたのARC署名を検証し、メッセージを本物として受け入れることができます。
ARCを使用して対象メッセージに署名する
ARCを使用して対象メッセージに署名する場合は、このボックスにチェックを入れます。ローカルドメインからのメッセージはDKIM署名が可能なため、ARC署名は必要ありません。したがって、ローカルドメインからではないすべての送信メッセージは、ARC署名の対象となります。ARC署名は、SecurityGatewayがメッセージまたはDKIM署名に含まれるメッセージヘッダを変更する場合に必要です。このような変更には、Fromヘッダーのスクリーニング、免責事項の追加、または同様の変更が含まれる。ARC署名が有効な場合、変更されたものだけでなく、ローカルドメインから発信されていないすべての発信メッセージが署名されることに注意してください。ARC署名はデフォルトで無効になっている。
ARCプロトコルの詳細については、以下を参照のこと:RFC 8617: The Authenticated Received Chain (ARC) ProtocolAuthenticated参照のこと。
セレクタ
このセレクタを使用してメッセージに署名する:
ドロップダウンリストから、ドメインの署名用に使用するパブリック/プライベートキーのペアを持つセレクタを選択します。新規のセレクタを作成する場合、新規ボタンをクリックし、入力ボックスへセレクタ名を入力して、保存して閉じるをクリックします。
新規
ドメインのメッセージに署名するために使用する新規のセレクタを作成するために、このボタンをクリックします。入力ボックスへセレクタを入力し保存をクリックして、閉じます。
読み込み
RSA公開鍵/秘密鍵ペアを読み込み、新しいセレクタを作成する場合は、「読み込み」をクリックします。.zipファイルで、PEM形式のrsa.privateおよびrsa.publicテキストファイルが含まれている必要があります。セレクタの名前と関連付けるドメインを選択する必要があります(またはグローバルセレクタとして設定します)。
書き出し
セレクタを選択し、書き出しをクリックすると、そのセレクタのRSA公開鍵/秘密鍵ペアが.zipファイルにダウンロードされます。
削除
削除するセレクタをドロップダウンリストボックスから選択して、削除をクリックします。
このセレクタのDNS設定(パブリックキー)を表示
セレクタを上記のドロップダウンリストボックスから選択し、セレクタのDNS構成を閲覧するために、このリンクをクリックします。これは、ドメインのDNSレコードに置かれる必要があるDKIM情報です。DNSレコードに、この情報なしに、メッセージで署名を検査することはできません。DNS構成ページは、次の情報を記載します:
DNSのDKIMセレクタレコード:
これは、他のサーバがドメインのDKIM署名メッセージを検査するために必要とする情報です。セレクタ、ドメイン、パブリックキーおよび他の必要な情報を含みます。
|
送信メッセージに署名する場合、ドメインのDNSレコード内でこの情報を置くことは必要にされます。これがない時には、受信サーバは、署名を検査するいかなる方法も持ちません。DNSレコードに含まれる詳細な情報および他のパラメータについては、www.dkim.org、およびdomainkeys.sourceforge.netのDomainKeys Distribution Optionsページを参照してください。 |
複数のSecurityGatewayドメインに同じセレクタを使用する場合は、2つの方法があります:
ドメインごとに別々のDKIMセレクタレコードをDNSに公開するが、同じ公開鍵を使用する。
1.ドメイン:オプションで「--グローバル--」を選ぶ。
2.セレクタを選択するか、新しいセレクタを作成し、このセレクタのDNS設定(パブリックキー)を表示をクリックします。
3.DNSのDKIMセレクタレコードの下にあるテキストをコピーします。
4.DNSでDKIMセレクタを作成する際に、セレクタを共有するドメインの1つにそのテキストを貼り付けますが、%DOMAIN%はドメイン名に置き換えます。たとえば、"selector01._domainkey.%DOMAIN%."を"selector01._domainkey.example.com."に置き換える。
5.セレクタを共有する各ドメインについて繰り返します。
6.署名に共有セレクタを使用するために、関連するすべてのドメインでDKIM署名オプションが適切に設定されていることを確認します。
1つのドメインのDKIMセレクタレコードをDNSに公開し、CNAMEを使用して追加ドメインをそのドメインに向ける
1.セレクタを選択し、このセレクタのDNS設定(パブリックキー)を表示でテキストを使用して、ドメインのDNSのDKIMレコードを公開します。例えば
selector01._domainkey.example.com IN TXT "v=DKIM1; p=MIGfMA0GCSq..."
2.セレクタを共有する各ドメインに対して、"selector01._domainkey"サブドメインのCNAMEレコードを設定し、元のドメインを指すようにします。たとえば
example01.com -selector01._domainkey.example01.com IN CNAME selector01._domainkey.example.com
example02.com -selector01._domainkey.example02.com IN CNAME selector01._domainkey.example.com
3.署名に共有セレクタを使用するために、関連するすべてのドメインでDKIM署名オプションが適切に設定されていることを確認してください。
DKIM署名オプション(全ドメイン)
署名を指定日数誤に無効にする [xx]日 ("t=" tag, デフォルト 7日)
DKIM署名が有効であるとみなされる日数を制限するために、このオプションを使用します。期限切れの署名によるメッセージは、検証で常に失敗します。このオプションは、"x="がタグ署名に対応します。デフォルトで有効日数は7日に設定されます。
署名にクエリを含む ("q=" tagを含む)
このオプションは、DKIM署名(q=dns)でクエリメソッドタグを含むために使用されます。デフォルトで含まれます。
署名にbody length count ("l=" tag)含む
このオプションは、body length count("l=" tag)がDKIM署名で含まれるかどうかことコントロールします。このオプションは、デフォルトで有効です。
署名にオリジナルヘッダを含む("z=" tag)
DKIM署名でz=タグを含む場合、このオプションをクリックします。このタグはメッセージの本来のヘッダのコピーを含んで、その結果、非常に重要な署名を潜在的に作成することができます。このオプションは、デフォルトで無効です。
正規化
正規化は、DKIM署名が作成される前に、メッセージのヘッダと本文が正規の規格に変換され[正規化される]プロセスです。いくつかのメールサーバと転送システムは、メッセージの通常処理の間に、様々な小さな変更を行います。そのため、この機能が無ければ、各メッセージの署名が壊されてしまいます。現在、DKIMの署名と検証に使用される正規化メソッドには、[普通]と[緩和]という2つがあります。[普通]は最も厳しいメソッドで、変更を全く認めません。[緩和]は普通よりも緩い基準を持ち、多少の変化を許容します。
ヘッダの正規化: 普通,緩和
これはメッセージに署名する際に、メッセージヘッダに使用される正規化メソッドです。[普通]はヘッダの変更を一切認めず、[緩和]はヘッダ名(ヘッダ値ではありません)を小文字に変換、複数の連続したスペースをひとつに変換、その他当たり障りのない変換を行います。デフォルトの設定は[普通]です。
本文の正規化: 普通,緩和
これはメッセージに署名する際に、メッセージ本体に使用されるcanonicalizationメソッドです。[普通]はメッセージの最後の空白行を無視し、その他の変更を一切認めません。[緩和]は、メッセージの最後の空白行を許可をして、行の最後の空白を無視することで一行内の連続した空白をひとつにまとめ、その他の少ない変換を行います。デフォルトの設定は[普通]です。
