DKIM
DomainKeys Identified Mail (DKIM DomainKeys 識別済みメール)
RFC 6541 DomainKeys Identified Mail (DKIM) Authorized Third-Party Signatures RFC 6377 DomainKeys Identified Mail (DKIM) とメーリングリスト (BCP)
RFC 6376 DomainKeys Identified Mail (DKIM) 署名
RFC 5863 DomainKeys Identified Mail (DKIM) Development, Deployment, and Operations
RFC 5672 廃止 → 6376 DomainKeys Identified Mail (DKIM) Signatures -- Update
RFC 5585 DomainKeys Identified Mail (DKIM) サービス概要
RFC 4871 DomainKeys Identified Mail (DKIM) 署名 廃止 → 6376
RFC 4686 DomainKeys Identified Mail (DKIM) の動機となる脅威の分析
読む順? RFC 4686, 5585, 5863 → 6376
RFC 8601 Message Header Field for Indicating Message Authentication Status
RFC 8463 A New Cryptographic Signature Method for DomainKeys Identified Mail (DKIM)
RFC 7601 廃止 → RFC 8601
RFC 7001 廃止 → RFC 7601 → RFC 8601
RFC 5451 廃止 → 7001 → ... RFC 8601
なりすましメールを防ぐ技術のひとつ
SMTP,POP3,IMAPなど転送プロトコルには依存しない
鍵 RSA (廃止まであと少し?)と RFC8463で EdDSA のEd25519 移行期間として併用することも可能 私有鍵と公開鍵のみ利用。 PKI証明書は不要
RSA
1024bit以上、検証は 512bit から 2048bit まで
e=65537 固定
ハッシュ方式
SHA1 (非推奨) または SHA256 のみ
語
識別子(Identifier ID)
SDID 署名ドメイン識別子 (Signing Domain Identifier)
AUID エージェントまたはユーザ識別子 (Agent or User Identifier)
DNSのTXTレコードで公開鍵と条件等を公開し、(ヘッダに書かれる)メール本文の署名と照合できる仕組み(RSAで) 複数鍵の設定も可能
<セレクタ>._domainkey.<ドメイン> の TXT レコードに記述する。セレクタは複数作成可能
1文字タグ=値 を ; 区切りで記述
v=DKIM1 バージョン1
k=rsa または ed25519 署名方式 (省略可)
a=rsa-sha256 rsa-sha1 ed25519-sha256 kと対応するもの (省略可)
p=公開鍵 RSAまたはEd25519の公開鍵 DERのBASE64 (PEMの中身から改行を取り除いたもの)
認証局不要
DNSに公開鍵を登録する形で紐付けされる
転送方式(SMTP、IPアドレス等)には依存しない
DNS以外に依存する本人認証的なものは不可
メールヘッダに署名が書き込まれるためサーバで署名も容易
メーリングリストなどに強い?
暗号化、アーカイブは対象外
DNSに登録するのはRSA公開鍵(PEM形式からヘッダ・フッタと改行を除いたもの)
SPFとどちらかで認証できれば正規のメールとみなすのがいいらしい。