DKIM（DomainKeys Identified Mail）

DKIM（DomainKeys Identified Mail）は、送信メールサーバーが送信メッセージに暗号デジタル署名を付与できるメール認証標準です。受信サーバーは送信者のDNSレコードから対応する公開鍵を取得し、署名を検証します。署名が有効であれば、受信者はメールが確かに宣言されたドメインから送信され、転送中に改ざんされていないことを確認できます。DKIMは[SPF](/glossary/spf)（Sender Policy Framework）および[DMARC](/glossary/dmarc)（Domain-based Message Authentication, Reporting & Conformance）と連携して、送信者と受信者の両方を保護する完全なメール認証フレームワークを形成します。

メールは、デジタルパブリケーションの共有、リードキャプチャ通知の送信、トランザクションメッセージの配信における主要チャネルです。DKIMがなければ、メールはスパムとしてフラグ付けされたり、受信者のメールサーバーによって完全に拒否される可能性が高まります。Gmail、Outlook、Yahooなどの主要プロバイダーは現在、大量送信者にDKIMを要求しており、有効な署名のないメッセージはますます厳しいフィルタリングに直面します。適切なDKIM設定はメールの配信率を向上させ、スプーフィング（攻撃者があなたのドメインを装ってメールを送信すること）からブランドを保護し、メールプロバイダーとの信頼を構築します。フリップブックの配布やリード収集にメールを頼るパブリッシャーにとって、DKIMはオーディエンスが実際にメッセージを見るかどうかに直接影響します。

FlipLinkはリードキャプチャ通知、共有パブリケーションリンク、[メールテンプレート](/features/email-templates)のためにメールを代理送信します。これらのメールはDKIMが設定されたインフラストラクチャを通じて送信されるため、すべての送信メッセージには有効な暗号署名が付与されます。[カスタムドメイン](/features/custom-domains)をパブリケーションに使用し、そのドメインから共有メールを送信したい場合は、DKIM DNSレコードを設定してFlipLinkのメールサーバーに代理送信を許可します。これにより、受信者はあなたのドメインを検証済み送信者として認識し、受信トレイへの配置を最大化してブランドの信頼性を維持します。

DKIMの設定には、DNS設定とメールサーバーの調整が含まれます。一般的なプロセスは次のとおりです： 1. **鍵ペアを生成する。** メールサービスまたはプラットフォーム（FlipLinkなど）が秘密鍵（送信サーバーに保管）と公開鍵（DNSに公開）を生成します。 2. **DNS TXTレコードを追加する。** `selector._domainkey.yourdomain.com`に公開鍵を含むTXTレコードを作成します。セレクタは使用する鍵を識別するラベル（`fl1`や`mail`など）です。 3. **レコードの伝播を確認する。** DNSの変更は最大48時間かかることがありますが、ほとんどは1時間以内に伝播します。DKIMルックアップツールを使用してレコードが表示されることを確認します。 4. **テストメールを送信する。** 設定したドメインからメールを送信し、Authentication-Resultsヘッダーで`dkim=pass`を確認します。 5. **継続的に監視する。** [DMARC](/glossary/dmarc)レポートを設定して、DKIM検証が失敗し始めた場合にアラートを受け取ります。これはDNSの設定ミスや不正な送信者を示している可能性があります。

DKIMは2つの特定の脅威から保護します：**メールスプーフィング**（誰かがあなたのドメインから送信されたように見えるメールを送ること）と**メッセージの改ざん**（誰かがメールがサーバーを離れた後にメール内容を変更すること）。ただし、DKIM単独では完全なセキュリティソリューションではありません。 **DKIMが保護するもの：** - メールがそのドメインの認可されたサーバーから送信されたことを検証する - 署名されたヘッダーと本文が転送中に変更されていないことを確認する - DMARCポリシーの適用のための基盤を提供する **DKIMが保護しないもの：** - メールの内容は暗号化しない（それにはTLSを使用） - 個々の送信者のアイデンティティは検証しない、ドメインのみ - ドメインがスパムを受信することは防げない — 送信メールが信頼されることのみを支援 **鍵のローテーション**は重要だがしばしば見落とされる慣行です。DKIM秘密鍵が漏洩した場合、攻撃者はあなたのドメインとしてメールに署名できます。DKIM鍵を定期的に（6〜12か月ごとに）ローテーションし、古い鍵を廃止する前にDNSレコードを新しい公開鍵で更新してください。

DKIM署名は`DKIM-Signature`ヘッダーとして各送信メールに追加されます。このヘッダーにはいくつかのフィールドが含まれます： - **v** — バージョン（常に`1`） - **a** — 署名アルゴリズム（通常`rsa-sha256`） - **d** — 署名ドメイン - **s** — DNSで公開鍵を検索するためのセレクタ - **h** — 署名に含まれるヘッダーのリスト（例：`from:to:subject:date`） - **bh** — メール本文のハッシュ - **b** — 実際の暗号署名 受信サーバーは`d`と`s`の値を抽出し、`s._domainkey.d`のDNSを照会し、公開鍵を取得して、署名されたヘッダーと本文ハッシュに対して署名を検証します。すべてが一致すれば、DKIMチェックに合格します。 DKIMは1024ビットと2048ビットの鍵長をサポートしています。1024ビットの鍵はまだ一般的ですが、より強力なセキュリティには2048ビットの鍵が推奨されます。一部のDNSプロバイダーはTXTレコードに255文字の制限があるため、長い2048ビットの鍵を単一のTXTレコード内で複数の文字列に分割する必要があります。