DKIM(DomainKeys Identified Mail)は、各メッセージがサーバーを離れるときに小さな暗号署名を追加します。受信者はその署名を DNS に保存された公開鍵と比較します。
一度設定すれば、処理は自動です。誰もあなたのトラフィックを読みません。私たちは、各メッセージが本当にあなたによって書かれ、転送中に手を加えられていないことをシステムが証明できるよう支援するだけです。
仕組み
DKIM は手紙の封蝋のようなものだと考えてください。ただし、その印は溶かした蝋ではなく数学です。
mail._domainkey のようなセレクターを作成し、公開鍵を DNS に公開します。制御できるのはあなただけです。
送信メールは対応する秘密鍵で署名されます。これはあなたのメールプラットフォーム内で行われ、転送や外部ゲートウェイはありません。
Google や Microsoft などのプロバイダーが公開鍵を取得し、署名を検証して、メッセージがそのまま維持されたことを確認します。
IT やプロバイダーと連携し、2048 ビットのキーを生成し、古いキーを削除する前にすべてのメールストリームが新しいセレクターを使用していることを確認します。
メールは配信されるかもしれませんが、受信者は内容が途中で変更されていないことを証明できません。
セレクターを追加し、脆弱な 1024 ビットのキーをローテーションし、プラットフォーム管理者が署名を有効にするのをガイドします。
DKIM は静かに動作します。DMARC レポートで署名を監視し、ローテーションの時期が来たらお知らせします。
プライバシーの約束
DKIM 署名は選択されたヘッダーのハッシュです。誰かがそれを傍受したとしても、メール本文を復元することはできません。DMARCFlow はキーの公開と検証の確認を支援するだけです。
IMAP、SMTP、メールボックスへのアクセスは決して必要ありません。
秘密鍵はあなたのサーバーまたはプロバイダーに残ります。私たちはそれを保存せず、公開鍵の半分だけを DNS に保持します。
すべての作業は DNS と送信プラットフォームの管理コンソールで行われます。
メールは引き続きあなたのインフラから受信者へ直接送られ、DMARCFlow を経由するものはありません。
セレクターと有効期限を文書化し、キーの交換が必要になる前にお知らせします。