定義
DKIM(DomainKeys Identified Mail)は、IETF RFC 6376で標準化されたメール認証プロトコルです。送信ドメインの所有者が暗号秘密鍵で送信メールに署名し、受信側がDNSに公開された対応する公開鍵を使って署名を検証することで、メールの送信元正当性とコンテンツ完全性を確認できます。
DKIMはSPF(Sender Policy Framework)と並ぶメール認証の主要要素であり、両方を組み合わせることでDMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーが完成します。これら3つはメールスプーフィング、フィッシング、スパムの防御において基礎的な仕組みです。
仕組み
送信側のメールサーバーがメッセージを送信する際、DKIM対応メールサーバーは送信ドメインの秘密鍵を使ってメッセージヘッダーと本文の特定部分にハッシュ署名を計算します。署名はDKIM-Signatureヘッダーとしてメッセージに追加されます。
受信側メールサーバーはDKIM-Signatureヘッダーから署名情報を読み取り、送信ドメインのDNS(<selector>._domainkey.<domain>形式のTXTレコード)から対応する公開鍵を取得します。公開鍵で署名を検証し、署名が一致すればメッセージが転送中に変更されていないこと、および送信ドメイン所有者が認可した送信元から発信されたことが確認されます。
検証失敗の場合、受信側はDMARCポリシーに従ってメッセージを処理します(受け入れ、迷惑フォルダ送り、拒否)。
遭遇する場面
すべての主要メールプロバイダー(Gmail、Outlook、Yahoo、ProtonMail、Apple Mail)はDKIM検証を実装しています。商用送信サービス(SendGrid、Mailgun、AWS SES、Postmark)もDKIM署名を標準サポートしています。
コンテストプラットフォームが投票確認メールを送信する際、DKIM署名がない、または検証失敗するメールは多くの受信側で迷惑フォルダ行きとなり、投票者が確認リンクをクリックできなくなります。これは投票配信の失敗に直結します。
関連概念
SPFレコードはDKIMと並列のメール認証メカニズムで、IPアドレスベースの認可を提供します。DMARCはSPFとDKIMの上に構築されたポリシー層です。メール確認投票では、コンテストプラットフォームの送信ドメインのDKIM構成が配信成功率に直接影響します。
