DKIM鍵をサブドメインで分ける設計
目次
この記事でわかること
- 本体ドメインと送信用サブドメイン(例: marketing.example.com)で DKIM の鍵とセレクタを分ける理由
- サービスごと・用途ごとにセレクタを分けると、ローテーションや鍵漏洩時の運用影響を局所化できる仕組み
- 「誰がどの鍵を管理するか」というガバナンスの整理の仕方と、中小企業が過剰設計を避けるための分割の目安
なぜ本体ドメインと送信用サブドメインで鍵を分けるのか
社内のメールは本体ドメイン(例: example.com)で送り、配信ツールやニュースレターは marketing.example.com のような送信用サブドメインから送る。こうした運用は珍しくありません。このとき DKIM(ディーキム: メールに電子署名を付けて改ざんやなりすましを検知する仕組み)の鍵をどう持たせるかが設計のポイントになります。
DKIM の検証側は、メールの署名ヘッダーにある d=(署名したドメイン)と s=(セレクタ)の 2 つを組み合わせて、DNS から公開鍵を引きます。問い合わせ先は セレクタ._domainkey.ドメイン という決まった形です(RFC 6376)。たとえば d=marketing.example.com、s=svc1 の署名なら、svc1._domainkey.marketing.example.com を引きにいきます。
つまり、署名する d= をサブドメインにすれば、鍵の置き場所もそのサブドメイン配下に分かれます。本体ドメインの鍵とサブドメインの鍵は別の DNS レコードとして独立して管理でき、片方を変えてももう片方には影響しません。送信用サブドメインそのものの考え方は送信用サブドメインの基礎で解説しています。
なお、鍵を分けても「なりすまし対策として被害範囲が狭まる」とは限りません。DMARC の DKIM アライメントは既定で緩和(relaxed)のため、marketing.example.com の鍵で署名されたメールでも、差出人が @example.com であれば認証が通り得ます。スプーフィング(なりすまし送信)の封じ込めを厳密にしたい場合は adkim=s(厳格アライメント)という別の設定が必要で、これはサブドメインの DMARC 設計の話になります。詳しくはサブドメインの DMARC ポリシー設計をご覧ください。鍵分離が確実に効くのは、後述するとおり「運用」の局所化です。
用途・サービスごとにセレクタを分ける設計
サブドメインを分けるかどうかとは別に、同じドメインの中でもサービスごとにセレクタを分ける設計があります。セレクタ(DKIM の鍵を識別する名前)は 1 ドメインに複数置けるため(RFC 6376)、用途別に名前を振り分けられます。
たとえば送信用サブドメイン marketing.example.com の中で、次のように分けるイメージです。
- 配信ツール A 用:
a-svc._domainkey.marketing.example.com - 配信ツール B 用:
b-svc._domainkey.marketing.example.com - 自社システムの通知メール用:
notify._domainkey.marketing.example.com
こうしておくと、「どの署名がどのサービス由来か」がセレクタ名から一目で分かります。複数の配信業者を併用する場合でも鍵がぶつからず、業者が指定する CNAME(外部サービスが管理する鍵を参照するためのレコード)をそのまま並べて置けます。セレクタそのものの読み方や見つけ方はDKIM セレクタとは何かをやさしく解説にまとめています。
ポイントは、セレクタ名を人間が運用判断に使える命名にしておくことです。s1 s2 のような連番だけだと、後から「これは何のサービスだったか」が追えなくなります。サービス名や用途が分かる名前を付けておくと、棚卸しや障害対応がぐっと楽になります。
鍵を分けると漏洩・ローテーション時の運用影響が局所化する
用途別に鍵を分ける最大の実務メリットは、何かあったときに影響範囲を 1 つに絞れることです。
すべてのメールを 1 つの鍵で署名していると、その鍵を差し替えるときに全サービスの署名が一斉に切り替わります。鍵が漏れた疑いがあるときも、止められるのは「その 1 つの鍵で署名しているすべて」です。つまり、無関係なサービスまで巻き込みます。
一方、サービスごとにセレクタと鍵を分けておけば、問題が起きたセレクタだけを失効・差し替えでき、ほかのサービスは何事もなく署名を続けられます。これが「運用影響の局所化」です。漏洩対策としての完全な封じ込めではなく、直すときに触る範囲を最小化できるという運用上の効きが本質です。
鍵の差し替え(ローテーション)の具体的な手順は、それ自体で 1 つのテーマになります。新旧セレクタを一定期間並行させるなどの手順はDKIM 鍵のローテーション手順で詳しく扱っているので、そちらを参照してください。本記事では「分けておくとローテーションの単位が小さくなる」点だけ押さえれば十分です。
ガバナンス: 誰がどの鍵を管理するか
鍵を分ける設計を入れると、次に問題になるのが「それぞれの鍵を誰が持ち、誰が差し替えられるか」です。技術的に分かれていても、管理責任があいまいだと、いざというときに動けません。
DKIM の鍵の持ち方は大きく 2 通りあります。
配信業者が鍵を持つ(CNAME 委任型)
多くのメール配信サービスは、利用者の DNS に CNAME を 1 行置くだけで使えるようにしています(例: resend._domainkey のような形)。このとき秘密鍵は業者側が保持・更新します。利用者は鍵そのものを触らず、ローテーションも業者任せにできて手間が少ない反面、鍵の管理を外部に預けている状態だと理解しておく必要があります。CNAME 委任の仕組みはDKIM の CNAME 委譲とはで詳しく扱っています。
自社で鍵を生成・保持する
自社のメールサーバーや自前システムでは、鍵ペアを自分で作って公開鍵を DNS に置きます。このときは秘密鍵の保管とローテーションの責任が自社にあります。誰がその秘密鍵にアクセスできるか、差し替えの判断を誰がするかを決めておかないと、担当者の異動で「触れる人がいない鍵」が残りがちです。
実務では、セレクタ単位で「このセレクタは A 社が管理」「これは情シスが管理」という対応表を 1 枚作っておくと、棚卸しと障害対応の両方で効きます。サブドメインで分けてあれば、marketing.example.com 配下は広報チーム、本体ドメインは情シス、といった運用主体ごとの線引きもそのまま設計に反映できます。
中小企業はどこまで分けるべきか
ここまで分離の利点を挙げてきましたが、分ければ分けるほど良いわけではありません。鍵やセレクタが増えるほど、DNS レコードの管理対象も棚卸しの手間も増えます。中小企業では、次のくらいを目安に「ほどほど」に留めるのが現実的です。
- メールの送信元が本体ドメインの社内メールだけなら、サブドメイン分離は不要。本体ドメインに配信業者ぶんのセレクタを置けば十分なことが多いです
- 配信ツールやニュースレターを別系統で送るなら、その送信用サブドメインを 1 つ用意して分ける。社内メールと配信メールの 2 系統に分けるだけでも、運用と棚卸しはかなり整理されます
- セレクタは「実際に使っている配信サービスの数」ぶんだけ作る。将来使うかもしれないぶんを先回りで増やさない。使わない鍵は管理対象になるだけで利点がありません
過剰な分割は、レコードの放置や棚卸し漏れという別のリスクを生みます。「いま送っているメールの系統」を素直に写し取るくらいが、中小企業にとってちょうどよい粒度です。DKIM・SPF・DMARC をまとめて設定する全体像はDMARC 設定方法を徹底解説も参考になります。
よくある質問
サブドメインから送るとき、本体ドメインの DMARC は効きますか
サブドメインが自前の DMARC レコードを持っていなければ、本体ドメイン(組織ドメイン)の sp= タグの方針が適用されます。sp= を書かなければ本体の p= をそのまま継承します(RFC 7489)。詳しくはサブドメインの DMARC ポリシー設計をご覧ください。
セレクタはいくつまで作れますか
仕様上の明確な上限はなく、1 ドメインに複数のセレクタを持てます(RFC 6376)。ただし数を増やすほど管理が大変になるため、実際に使うサービスのぶんだけに留めるのが実務的です。
古い配信ツールをやめたら鍵はどうすればいいですか
使わなくなったセレクタの DNS レコードは、署名済みメールがすべて配信され終わったのを見込んだ上で削除します。用途別に分けてあれば、その 1 件だけを安全に外せます。
まとめ
- DKIM は署名の
d=とs=で公開鍵を引くため、署名するドメインをサブドメインにすれば鍵の管理も分かれる(RFC 6376) - 用途・サービスごとにセレクタを分けると、漏洩疑いやローテーション時に触る範囲を 1 つに絞れる(運用影響の局所化)。なりすましの封じ込めはアライメント設定の別テーマ
- 鍵は「業者が持つ」「自社で持つ」で管理責任が変わる。セレクタ単位で管理者の対応表を作っておく
- 中小企業は送信系統の数ぶんだけ分ければ十分。使わない鍵を先回りで増やさない
自社の DKIM 設定を確認しませんか
本体ドメインや送信用サブドメインに DKIM が正しく設定されているか、セレクタがどう引かれているかは、ドメイン番人の無料診断で確認できます。複数の配信サービスを併用していて鍵の分け方に迷う場合は、お問い合わせフォームから送信構成をお知らせください。専門家が一緒に整理いたします。