翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon SES における DKIM を使った E メールの認証
*DomainKeys アイデンティファイドメール*(*DKIM*) は、特定のドメインから来たと主張するEメールが、そのドメインの所有者によって実際に許可されていることを確認するために設計されたEメールセキュリティ標準です。パブリックキー暗号を使用して、プライベートキーで Eメールに署名します。受信者サーバーは、ドメインの DNS に発行されたパブリックキーを使用して、送信中にEメールの一部が変更されていないことを確認できます。
DKIM 署名はオプションです。DKIM署名を使ってEメールに署名することで、DKIMに対応する E メールプロバイダーによる配信性能を強化することができます。Amazon SES には、DKIM 署名を使用してメッセージに署名するための 3 つのオプションがあります。
+ **Easy DKIM**: SES によってパブリックキーとプライベートキーのペアが生成され、その ID から送信するすべてのメッセージに DKIM 署名が自動的に追加されます。「[Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)」を参照してください。
+ **Deterministic Easy DKIM (DEED)**: Easy DKIM を使用している親 ID として DKIM 署名属性を自動的に継承するレプリカ ID を作成 AWS リージョン することで、複数の にわたって一貫した DKIM 署名を維持できます。「」を参照してください[Amazon SES で Deterministic Easy DKIM (DEED) を使用する](send-email-authentication-dkim-deed.md)。
+ **BYODKIM (Bring Your Own DKIM)**: 独自のパブリックキーとプライベートキーのペアを提供すると、SES によって、その ID から送信するすべてのメッセージに DKIM 署名が追加されます。「[Amazon SES で独自の DKIM 認証トークン (BYODKIM) を提供する](send-email-authentication-dkim-bring-your-own.md)」を参照してください。
+ **手動で DKIM 署名を追加する**: `SendRawEmail` API を使用して送信する E メールに独自の DKIM 署名を追加します。「[Amazon SES 内で手動での DKIM 署名](send-email-authentication-dkim-manual.md)」を参照してください。
## DKIM 署名キーの長さ
現在、多くの DNS プロバイダーは DKIM 2048 ビット RSA 暗号化を完全にサポートしているため、Amazon SES は DKIM 2048 をサポートして E メールのより安全な認証を可能にし、API またはコンソールから Easy DKIM を設定するときにデフォルトのキー長として使用します。2048ビットキーは、Bring Your Own DKIM(BYODKIM)でもセットアップして使用できます。この場合、署名キーの長さは1024ビット以上2048ビット以下である必要があります。
Easy DKIMで構成されている場合、セキュリティと電子メールの配信可能性のために、まだ2048をサポートしていないDNSプロバイダーによって問題が発生した場合に備えて、1024ビットと2048ビットのいずれかのキー長と1024に戻す柔軟性を使用することを選択できます。*新しい ID を作成すると、1024 を指定しない限り、デフォルトで DKIM 2048 で作成されます。*
転送中のEメールの配信性能を維持するために、DKIM キーの長さを変更できる頻度には制限があります。制限事項は次のとおりです。
+ 既に設定されているキーの長さと同じ長さに切り替えることはできません。
+ 24時間の間に複数回異なるキーの長さに切り替えることはできません(その期間で1024への最初のダウングレードでない限り)。
Eメールが送信されると、DNS はパブリックキーを使用してメールを認証します。したがって、キーを迅速または頻繁に変更すると、以前のキーがすでに無効になっている可能性があるため、DNS はメールを DKIM で認証できない可能性があります。したがって、これらの制限は保護されます。
## DKIM に関する考慮事項
E メールの認証に DKIM を使用する場合、次のルールが適用されます。
+ 「送信元」アドレスで使用するドメインでのみ DKIM を設定する必要があります。「Return-Path」あるいは「Reply-to」アドレスで使用するドメインに DKIM をセットアップする必要はありません。
+ Amazon SES は複数の AWS リージョンで利用できます。複数の AWS リージョンを使用して E メールを送信する場合、リージョンごとに DKIM のセットアップを完了して、すべての E メールに DKIM 署名があることを確認する必要があります。
+ DKIM プロパティは親ドメインから継承されるため、DKIM 認証を使用してドメインを検証する場合は次のようになります。
+ DKIM 認証は、そのドメインのすべてのサブドメインにも適用されます。
+ サブドメインの DKIM 設定は、サブドメインで DKIM 認証を使用しない場合は継承を無効にし、後で再度有効にすることで、親ドメインの設定を上書きできます。
+ DKIM 認証は、そのアドレスで DKIM 検証済みドメインを参照する E メール ID から送信されるすべての E メールにも適用されます。
+ E メールアドレスの DKIM 設定を、サブドメインの設定 (適用される場合) と親ドメインの設定に上書きできます。DKIM 認証なしでメールを送信する場合は、継承を無効にし、後で再度有効にすることもできます。
## 継承された DKIM 署名プロパティについて理解する
まず、Easy DKIM または BYODKIM が使用されているかどうかにかかわらず、そのドメインが DKIM で設定されている場合、E メールアドレス ID が親ドメインから DKIM 署名プロパティを継承することを理解することが重要です。したがって、E メールアドレス ID で DKIM 署名を無効または有効にすると、次の重要な点に基づいてドメインの DKIM 署名プロパティが上書きされます。
+ E メールアドレスが属するドメインで既に DKIM をセットアップしている場合には、E メールアドレス ID にも同じく DKIM 署名を有効にする必要はありません。
+ ドメインで DKIM をセットアップする場合、Amazon SES が親ドメインから継承された DKIM プロパティを介して、このドメインのすべてのアドレスからのすべての E メールを自動的に認証します。
+ 特定の E メールアドレス ID の DKIM 設定により、そのアドレスが属する*親ドメインまたはサブドメイン (該当する場合) の設定が自動的に上書きされます*。
E メールアドレス ID の DKIM 署名プロパティが親ドメインから継承されるため、これらのプロパティを上書きする場合は、次の表で説明された上書きの階層ルールに注意する必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim.html)
通常、DKIM 署名の無効化はお勧めしません。送信者の評価を損うリスクがあるだけでなく、送信したメールが迷惑メールやスパムフォルダに移動されたり、ドメインが偽装されたりするリスクが高まるためです。
ただし、特定のユースケースや、DKIM 署名を永続的または一時的に無効にしたり、後で再有効化したりする必要があるような通常とは異なるビジネス上の意思決定がなされた場合に備えて、ドメインから継承された DKIM 署名プロパティを E メールアドレス ID に上書きするための機能があります。「[E メールアドレス ID に継承された DKIM 署名を上書きする](send-email-authentication-dkim-easy-managing.md#send-email-authentication-dkim-easy-setup-email)」を参照してください。
# Amazon SES のEasy DKIM
ドメイン ID で Easy DKIM をセットアップすると、Amazon SES はその ID から送信するすべての E メールに 2048 ビットの DKIM キーを自動的に追加します。Easy DKIM を設定するには、Amazon SES コンソールあるいは API を使用できます。
**注記**
Easy DKIM をセットアップするには、ドメインの DNS 設定を変更する必要があります。Route 53 を DNS プロバイダーとして使用している場合、Amazon SES は適切なレコードを自動的に作成します。別の DNS プロバイダーを使用する場合は、使用するプロバイダーのドキュメントを参照して、ドメインの DNS 設定を変更する詳細を確認します。
**警告**
現在 BYODKIM が有効になっていて、Easy DKIM に移行している場合、Easy DKIM のセットアップ中で、DKIM ステータスが保留中になっている間、Amazon SES は BYODKIM を使用してメールに署名しないことに注意してください。Easy DKIM を有効にする電話を (API またはコンソールを介して) かけたときと SES が DNS 設定を確認できるときまでの間に、SES によって DKIM 署名なしで E メールが送信されることがあります。したがって、中間ステップを使用して、一方の DKIM 署名方法からもう一方の DKIM 署名方法に移行する (例えば、BYODKIM を有効にしてドメインのサブドメインを使用し、Easy DKIM 検証に合格したら削除する) か、アプリケーションのダウンタイム中にこのアクティビティを実行することをお勧めします (存在する場合)。
## 検証済みドメイン ID に対する Easy DKIM のセットアップ
このセクションの手順は、すでに作成したドメイン ID に Easy DKIM を設定するために必要なステップだけに簡素化されています。ドメイン ID を作成していない場合や、デフォルトの設定セット、カスタムの MAIL FROM ドメイン、タグの使用など、ドメイン ID をカスタマイズするための利用可能なすべてのオプションを表示する場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
Easy DKIM ドメイン ID の作成には、DKIM ベースの検証の設定があります。この検証では、Amazon SES のデフォルトである 2048 ビットを受け入れるか、1024 ビットを選択してデフォルトを上書きするかを選択できます。「[DKIM 署名キーの長さ](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)」を参照して、DKIM 署名キーの長さとその変更方法のご参照ください。
**ドメインに Easy DKIM をセットアップするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの **[設定]** で、**[ID]** を選択します。
1. ID のリストで、**ID のタイプ**が*ドメイン*であるIDを選択します。
**注記**
ドメインを作成または検証する必要がある場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
1. **認証**タブの**DomainKeys アイデンティファイドメール (DKIM)**コンテナで、**編集**を選択します。
1. **DKIM の詳細設定**コンテナで、**ID のタイプ**フィールドの**Easy DKIM**ボタンを選択します。
1. **DKIM 署名キーの長さ**フィールドで、[**RSA\$12048\$1BIT**または**RSA\$11024\$1BIT**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)を選択します。
1. **DKIM 署名**フィールドで、[**Enabled**]ボックスをチェックします。
1. [**Save changes**] をクリックします。
1. Easy DKIM でドメイン ID を設定したので、DNS プロバイダーで検証プロセスを完了する必要があります。「[DNS プロバイダーでの DKIM ドメイン ID の検証](creating-identities.md#just-verify-domain-proc)」に進み、Easy DKIM の DNS 認証手順に従います。
## ID の Easy DKIM 署名キーの長さを変更する
このセクションの手順では、署名アルゴリズムに必要な Easy DKIM ビットを簡単に変更する方法について説明します。セキュリティを強化するには、常に 2048 ビットの署名長が優先されますが、DKIM 1024 のみをサポートする DNS プロバイダーを使用する必要があるなど、1024 ビットの長さを使用する必要がある場合があります。
転送中のEメールの配信性能を維持するために、DKIM キーの長さを変更または反転できる頻度には制限があります。
メールが送信されると、DNS はパブリックキーを使用してメールを認証します。したがって、キーを迅速または頻繁に変更すると、以前のキーがすでに無効になっている可能性があるため、DNS はメールをDKIMで認証できない可能性があります。したがって、次の制限によって保護されます。
+ 既に設定されているキーの長さと同じキーの長さに切り替えることはできません。
+ 24 時間の間に複数回異なるキーの長さに切り替えることはできません(ただし、その間の1024への最初のダウングレードでない限り)。
次の手順を使用してキーの長さを変更する際、これらの制限のいずれかを無視すると、コンソールでは、無効だった理由とともに「*the input you provided is invalid (指定した入力は無効です)*」と示すエラーバナーが返されます。
**DKIM 署名キーの長さビットを変更するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定** で、**ID の検証**を選択します。
1. ID のリストで、DKIM署名キーを変更したいID を選択します。
1. **認証**タブの**DomainKeys アイデンティファイドメール (DKIM)**コンテナで、**編集**を選択します。
1. **[DKIM の詳細設定]** コンテナで、**[DKIM 署名キーの長さ]** フィールドの [**[RSA\$12048\$1BIT]** または **[RSA\$11024\$1BIT]**](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) を選択します。
1. [**Save changes(変更を保存)**] をクリックします。
# Amazon SES で Deterministic Easy DKIM (DEED) を使用する
Deterministic Easy DKIM (DEED) は、複数の DKIM 設定を管理するためのソリューションを提供します AWS リージョン。DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は堅牢な E メール認証手法を維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。
## Deterministic Easy DKIM (DEED) とは
Deterministic Easy DKIM (DEED) は、Easy DKIM で設定された親ドメイン AWS リージョン に基づいて、すべての で一貫した DKIM トークンを生成する機能です。 [Amazon SES のEasy DKIM](send-email-authentication-dkim-easy.md)これにより、Easy DKIM で現在設定 AWS リージョン されている親 ID と同じ DKIM 署名設定を自動的に継承および維持する異なる に ID をレプリケートできます。DEED では、親 ID に対して DNS レコードを 1 回発行するだけで、レプリカ ID は同じ DNS レコードを使用してドメインの所有権を検証し、DKIM 署名を管理します。
DNS 管理を簡素化し、一貫した DKIM 署名を維持することで、DEED は、E メール認証のベストプラクティスを維持しながら、マルチリージョンの E メール送信オペレーションを効率化するために役立ちます。
DEED に関して使用される用語:
+ **親 ID** – レプリカ ID の DKIM 設定のソースとして機能する、Easy DKIM で設定された検証済み ID。
+ **レプリカ ID** – 同じ DNS 設定と DKIM 署名設定を共有する親 ID のコピー。
+ **親リージョン** – 親 ID が設定されている AWS リージョン 。
+ **レプリカリージョン** – レプリカ ID が設定されている AWS リージョン 。
+ **DEED ID** – 親 ID またはレプリカ ID として使用されるあらゆる ID (新しい ID が作成されると、最初は通常の (非 DEED) ID として扱われます。ただし、レプリカが作成されると、その ID は DEED ID と見なされます)。
DEED を使用する主な利点は次のとおりです。
+ **DNS 管理の簡素化** – 親 ID に対して DNS レコードを 1 回だけ発行します。
+ **より簡単なマルチリージョンオペレーション** – E メール送信オペレーションを新しいリージョンに拡張するプロセスを簡素化します。
+ **管理オーバーヘッドの削減** – DKIM 設定を親 ID から一元管理します。
## Deterministic Easy DKIM (DEED) の仕組み
レプリカ ID を作成すると、Amazon SES は親 ID からレプリカ ID に DKIM 署名キーを自動的にレプリケートします。親 ID に加えられた、それ以降の DKIM キーローテーションまたはキーの長さの変更は、すべてのレプリカ ID に自動的に伝播されます。
このプロセスには、以下のワークフローが含まれます。
1. Easy DKIM AWS リージョン を使用して に親 ID を作成します。
1. 親 ID に必要な DNS レコードを設定します。
1. 他の にレプリカ ID を作成し AWS リージョン、親 ID のドメイン名と DKIM 署名リージョンを指定します。
1. Amazon SES は、親の DKIM 設定をレプリカ ID に自動的にレプリケートします。
重要な考慮事項:
+ 既にレプリカである ID のレプリカを作成することはできません。
+ 親 ID では [Easy DKIM](send-email-authentication-dkim-easy.md) が有効になっている必要があります。BYODKIM のレプリカまたは手動で署名された ID のレプリカを作成することはできません。
+ 親 ID は、すべてのレプリカ ID が削除されるまで削除できません。
## DEED を使用したレプリカ ID の設定
このセクションでは、DEED を使用してレプリカ ID を作成および検証する方法と、必要なアクセス許可の例を示します。
**Topics**
+ [レプリカ ID の作成](#creating-replica-identity)
+ [レプリカ ID 設定の検証](#verifying-replica-identity)
+ [DEED を使用するために必要なアクセス許可](#required-permissions)
### レプリカ ID の作成
レプリカ ID を作成するには:
1. レプリカアイデンティティを作成する AWS リージョン で、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) で SES コンソールを開きます。
(SES コンソールでは、レプリカ ID は*グローバル ID *と呼ばれます)。
1. ナビゲーションペインで、**[ID]** を選択します。
1. [**ID の作成**] を選択します。
1. **[ID タイプ]** で **[ドメイン]** を選択し、Easy DKIM で設定された、レプリケートして親として機能する既存の ID のドメイン名を入力します。
1. **[DKIM の詳細設定]** を展開し、**[Deterministic Easy DKIM]** を選択します。
1. **[親リージョン]** ドロップダウンメニューから、グローバル (レプリカ) ID に入力したのと同じ名前の Easy DKIM で署名された ID が存在する親リージョンを選択します (デフォルトでは、レプリカリージョンは SES コンソールにサインインしたリージョンになります)。
1. **DKIM 署名**が有効になっていることを確認します。
1. (オプション) ドメイン ID に 1 つ以上の**タグ**を追加します。
1. 設定を確認して、**[ID の作成]** を選択します。
の使用 AWS CLI:
Easy DKIM で設定された親 ID に基づいてレプリカ ID を作成するには、次の例に示すように、親のドメイン名、レプリカ ID を作成するリージョン、および親の DKIM 署名リージョンを指定する必要があります。
```
aws sesv2 create-email-identity --email-identity example.com --region us-west-2 --dkim-signing-attributes '{"DomainSigningAttributesOrigin": "AWS_SES_US_EAST_1"}'
```
前の例では、以下のようになっています。
1. *example.com* を、レプリケートされる親ドメイン ID に置き換えます。
1. *us-west-2* を、レプリカドメイン ID が作成されるリージョンに置き換えます。
1. *AWS\$1SES\$1US\$1EAST\$11* を、レプリカ ID にレプリケートされる Easy DKIM 署名設定を表す親の DKIM 署名リージョンに置き換えます。
**注記**
`AWS_SES_` プレフィックスは、DKIM が Easy DKIM を使用して親 ID 用に設定されたことを示し、 `US_EAST_1`は作成された AWS リージョン です。
### レプリカ ID 設定の検証
レプリカ ID を作成したら、親 ID の DKIM 署名設定で正しく設定されていることを検証できます。
**レプリカ ID を検証するには:**
1. レプリカアイデンティティを AWS リージョン 作成した で、[https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/) で SES コンソールを開きます。
1. ナビゲーションペインで **[ID]** を選択し、**[ID]** 表から、検証する ID を選択します。
1. **[認証]** タブで、**[DKIM の設定]** フィールドにはステータスが表示され、**[親リージョン]** フィールドには DEED を利用した ID の DKIM 署名設定に使用されているリージョンが表示されます。
の使用 AWS CLI:
`get-email-identity` コマンドを使用して、レプリカのドメイン名とリージョンを指定します。
```
aws sesv2 get-email-identity --email-identity example.com --region us-west-2
```
レスポンスには、親 ID の DKIM 署名設定でレプリカ ID が正常に設定されたことを示す `SigningAttributesOrigin` パラメータの親リージョンの値が含まれます。
```
{
"DkimAttributes": {
"SigningAttributesOrigin": "AWS_SES_US_EAST_1"
}
}
```
### DEED を使用するために必要なアクセス許可
DEED を使用するには、以下が必要です。
1. レプリカリージョンで E メール ID を作成するための標準アクセス許可。
1. 親リージョンから DKIM 署名キーをレプリケートするアクセス許可。
#### DKIM レプリケーションの IAM ポリシーの例
次のポリシーでは、親 ID から指定されたレプリカリージョンへの DKIM 署名キーのレプリケーションを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDKIMReplication",
"Effect": "Allow",
"Action": "ses:ReplicateEmailIdentityDKIMSigningKey",
"Resource": "arn:aws:ses:us-east-1:123456789124:identity/example.com",
"Condition": {
"ForAllValues:StringEquals": {
"ses:ReplicaRegion": ["us-east-1", "us-east-1"]
}
}
}
]
}
```
------
## ベストプラクティス
次のベストプラクティスが推奨されます。
+ **親リージョンとレプリカリージョンを計画する** – 選択する親リージョンはレプリカリージョンで使用される DKIM 設定の信頼できるソースとなるため、検討が必要です。
+ **一貫した IAM ポリシーを使用する** – IAM ポリシーで、意図したすべてのリージョンで DKIM レプリケーションが許可されていることを確認します。
+ **親 ID をアクティブにしておく** – レプリカ ID は親 ID の DKIM 署名設定を継承することに注意してください。この依存関係により、すべてのレプリカ ID が削除されるまで親 ID を削除することはできません。
## トラブルシューティング
DEED で問題が発生した場合は、次の点を考慮してください。
+ **検証エラー** – DKIM レプリケーションに必要なアクセス許可があることを確認します。
+ **レプリケーションの遅延** – レプリケーションが完了するまでにしばらく時間がかかります (特に新しいレプリカ ID を作成する場合)。
+ **DNS の問題** – 親 ID の DNS レコードが正しく設定され、伝播されていることを確認します。
# Amazon SES で独自の DKIM 認証トークン (BYODKIM) を提供する
[Easy DKIM](send-email-authentication-dkim-easy.md) を使用する代わりに、独自のパブリックキーとプライベートキーのペアを使用して DKIM 認証を設定することもできます。このプロセスは、「*Bring Your Own DKIM*(*BYODKIM*)」として知られています。
BYODKIM では、単一の DNS レコードを使用してドメインの DKIM 認証を設定できます。一方 Easy DKIM では、3 つの個別の DNS レコードを発行する必要があります。さらに、BYODKIM を使用すると、ドメインの DKIM キーを必要な回数だけローテーションできます。
**Topics**
+ [ステップ 1: キーペアを作成する](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [ステップ 2: DNS プロバイダーのドメイン設定にセレクタおよびパブリックキーを追加する](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [ステップ 3: BYODKIM を使用するようにドメインを設定し、検証する](#send-email-authentication-dkim-bring-your-own-configure-identity)
**警告**
現在 Easy DKIM が有効になっていて、BYODKIM に移行している場合、BYODKIM のセットアップ中で、DKIM ステータスが保留中になっている間、Amazon SES は Easy DKIM を使用してメールに署名しないことに注意してください。BYODKIM を有効にする電話を (API またはコンソールを介して) かけたときと SES が DNS 設定を確認できるときまでの間に、SES によって DKIM 署名なしで E メールが送信されることがあります。したがって、中間ステップを使用して、一方の DKIM 署名方法からもう一方の DKIM 署名方法に移行する (例えば、Easy DKIM を有効にしてドメインのサブドメインを使用し、BYODKIM 検証に合格したら削除する) か、アプリケーションのダウンタイム中にこのアクティビティを実行することをお勧めします (存在する場合)。
## ステップ 1: キーペアを作成する
独自の DKIM 機能を使用するには、まず RSA キーペアを作成する必要があります。
生成するプライベートキーは、PKCS \$11 または PKCS \$18 形式で、少なくとも 1024 ビットの RSA 暗号化と最大 2048 ビットを使用し、base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) エンコードを使用してエンコードする必要があります。DKIM 署名キーの長さとその変更方法の詳細は、[DKIM 署名キーの長さ](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048)を参照してください。
**注記**
プライベートキーが最低 1024 ビットの RSA 暗号化、最大 2048 ビットで、base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) エンコーディングを使用して生成されている限り、サードパーティーのアプリケーションおよびツールを使用して RSA キーペアを生成できます。
次の手順では、ほとんどの Linux、macOS、または Unix オペレーティングシステムに組み込まれている `openssl genrsa` コマンドを使用してキーペアを作成するコード例では、自動的に base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail) エンコードが使用されます。
**Linux、macOS、またはUnix コマンドラインからキーペアを作成するには**
1. コマンドラインで、以下のコマンドを入力して、*nnnn*を少なくとも1024のビット長で、2048までのビット長のプライベートキーに置き換えます。
```
openssl genrsa -f4 -out private.key nnnn
```
1. コマンドラインで、以下のコマンドを入力してパブリックキーを生成します。
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## ステップ 2: DNS プロバイダーのドメイン設定にセレクタおよびパブリックキーを追加する
キーペアを作成したので、パブリックキーを TXT レコードとしてドメインの DNS 設定に追加する必要があります。
**ドメインの DNS 設定にパブリックキーを追加するには**
1. DNS またはホスティングプロバイダーの管理コンソールにサインインします。
1. ドメインの DNS 設定に新しいテキストレコードを追加します。レコードは、次の形式を使用する必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
上の例に、以下の変更を加えます。
+ *selector*は、キーを識別する一意の名前に置き換えます。
**注記**
いくつかの DNS プロバイダーでは、レコード名に下線 (\$1) を含めることが許可されていません。ただし、DKIM レコード名には下線が必要となります。DNS プロバイダーがレコード名に下線を含めることを許可しない場合、プロバイダーのカスタマーサポートにお問い合わせください。
+ *example.com*をドメインに置き換えます。
+ 上記の [*Value*] (値) 列に示すように、*yourPublicKey* を、以前に作成したパブリックキーに置き換え、プレフィックス `p=` を含めます。
**注記**
パブリックキーを DNS プロバイダーに公開 (追加) するときは、次のようにフォーマットする必要があります。
生成されたパブリックキーの最初と最後の行 (それぞれ `-----BEGIN PUBLIC KEY-----` と `-----END PUBLIC KEY-----`) を削除する必要があります。さらに、生成されたパブリックキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
上記の表の [*Value*] (値) 列に示すように、プレフィックス `p=` を含める必要があります。
プロバイダーによって、DNS レコードを更新する手順は異なります。次の表には、いくつかの広く使用されている DNS プロバイダーに関するドキュメントへのリンクが含まれています。このリストは網羅的なものではなく、推奨を意味するものでもありません。同様に、DNS プロバイダーがリストされていない場合、Amazon SES でドメインを使用できないことを意味するものでもありません。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## ステップ 3: BYODKIM を使用するようにドメインを設定し、検証する
BYODKIM は、新しいドメイン (現在 Amazon SES を経由した E メールの送信に使用していないドメイン) と既存のドメイン (コンソールまたは AWS CLIを使って、Amazon SES を介して設定済みのドメイン) の両方に対して設定できます。このセクション AWS CLI の手順を使用する前に、まず をインストールして設定する必要があります AWS CLI。詳細については、[AWS Command Line Interface 「 ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」を参照してください。
### オプション 1: BYODKIM を使用する新しいドメイン ID を作成する
このセクションでは、BYODKIM を使用する新しいドメイン ID を作成する手順について説明します。新しいドメイン ID とは、Amazon SES を使用して E メールを送信するように設定していないドメインです。
BYODKIM を使用するように既存のドメインを設定する場合は、代わりに「[オプション 2: 既存のドメイン ID を設定する](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain)」の手順を実行します。
**コンソールから BYODKIM を使用して ID を作成するには**
+ 「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」の手順に従い、ステップ 8 に到達したら、BYODKIM 固有の指示に従います。
**から BYODKIM を使用して ID を作成するには AWS CLI**
新しいドメインを設定するには、Amazon SES API で`CreateEmailIdentity` オペレーションを実行します。
1. テキストエディタで、次のコードを貼り付けます。
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
上の例に、以下の変更を加えます。
+ *example.com*を、作成するドメインに置き換えます。
+ *privateKey*をプライベートキーに置き換えます。
**注記**
生成されたプライベートキーの最初と最後の行 (それぞれ `-----BEGIN PRIVATE KEY-----` と `-----END PRIVATE KEY-----`) を削除する必要があります。さらに、生成されたプライベートキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
+ *selector*は、ドメインの DNS 設定で TXT レコードを作成したときに指定した一意のセレクタに置き換えます。
終了したら、`create-identity.json`としてファイルを保存します。
1. コマンドラインで以下のコマンドを入力します。
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
上記のコマンドで、*path/to/create-identity.json*を、前のステップで作成したファイルの完全なパスに置き換えます。
### オプション 2: 既存のドメイン ID を設定する
このセクションでは、BYODKIM を使用するために既存のドメイン ID を更新する手順について説明します。既存のドメイン ID は、Amazon SES を使用して E メールを送信するようにすでに設定されているドメインです。
**コンソールから BYODKIM を使用してドメイン ID を更新するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**ID の検証**を選択します。
1. ID のリストで、**ID のタイプ**が*ドメイン*であるIDを選択します。
**注記**
ドメインを作成または検証する必要がある場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
1. [**認証**] タブの [**DomainKeys Identified Mail (DKIM)**] ペインで、[**編集**] を選択します。
1. [**DKIM の詳細設定**] ペインで、[**ID のタイプ**] フィールドの [**DKIM 認証トークン (BYODKIM) の提供**] ボタンを選択します。
1. [**プライベートキー**] に、以前に生成したプライベートキーを貼り付けます。
**注記**
生成されたプライベートキーの最初と最後の行 (それぞれ `-----BEGIN PRIVATE KEY-----` と `-----END PRIVATE KEY-----`) を削除する必要があります。さらに、生成されたプライベートキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
1. **セレクタ名**については、ドメインの DNS 設定で指定したセレクタの名前を入力します。
1. **DKIM 署名**フィールドで、**[Enabled]**ボックスにチェックを入れます。
1. [**Save changes**] をクリックします。
**から BYODKIM を使用してドメイン ID を更新するには AWS CLI**
既存のドメインを設定するには、Amazon SES API での`PutEmailIdentityDkimSigningAttributes`オペレーションを使用します。
1. テキストエディタで、次のコードを貼り付けます。
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
上の例に、以下の変更を加えます。
+ *privateKey*をプライベートキーに置き換えます。
**注記**
生成されたプライベートキーの最初と最後の行 (それぞれ `-----BEGIN PRIVATE KEY-----` と `-----END PRIVATE KEY-----`) を削除する必要があります。さらに、生成されたプライベートキーの改行を削除する必要があります。結果の値は、スペースや改行を含まない文字列になります。
+ *selector*は、ドメインの DNS 設定で TXT レコードを作成したときに指定した一意のセレクタに置き換えます。
終了したら、`update-identity.json`としてファイルを保存します。
1. コマンドラインで以下のコマンドを入力します。
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
上のコマンドに、以下の変更を加えます。
+ *path/to/update-identity.json*を、前のステップで作成したファイルへの完全なパスに置き換えます。
+ *example.com*を、更新するドメインに置き換えます。
### BYODKIM を使用するドメインの DKIM ステータスを検証する
**コンソールからドメインの DKIM ステータスを検証するには**
BYODKIM を使用するようにドメインを設定したら、SES コンソールを使用して、DKIM が正しく設定されていることを検証できます。
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、検証する DKIM ステータスの ID を選択します。
1. DNS 設定への変更が反映されるまでに最大 72 時間かかる場合があります。Amazon SES がドメインの DNS 設定の中から必要な DKIM レコードをすべて検出するとすぐに、検証プロセスは完了します。すべてが正しく設定されていれば、**[DomainKeys Identified Mail (DKIM)]** ペインで、ドメインの **[DKIM の設定]** フィールドには **[成功]** と表示され、**[概要]** ペインで、**[ID ステータス]** フィールドには **[検証済み]** と表示されます。
**を使用してドメインの DKIM ステータスを確認するには AWS CLI**
BYODKIM を使用するようにドメインを設定したら、GetEmailIdentity オペレーションを実行して、DKIM が正しく設定されていることを検証できます。
+ コマンドラインで以下のコマンドを入力します。
```
aws sesv2 get-email-identity --email-identity example.com
```
上記のコマンドで、*example.com*をドメインに置き換えます。
このコマンドは、次の例のようなセクションを含む JSON オブジェクトを返します。
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
BYODKIMは、以下のすべてに該当する場合、ドメインに対して適切に設定されています。
+ `SigningAttributesOrigin`プロパティの値は`EXTERNAL`です。
+ `SigningEnabled`の値は`true`です。
+ `Status`の値は`SUCCESS`です。
# Easy DKIM と BYODKIM の管理
Easy DKIM または BYODKIM で認証された ID の DKIM 設定は、ウェブベースの Amazon SES コンソールを使用するか、Amazon SES API を使用して管理できます。これらのいずれかの方法を使用して ID の DKIM レコードを取得するか、または、ID に対して DKIM 署名を有効または無効にすることができます。
## ID の DKIM レコードを取得する
Amazon SES コンソールを使用して、ドメインあるいは E メールアドレスの DKIM レコードをいつでも取得できます。
**コンソールを使用して、ID の DKIM レコードを取得するには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、DKIM レコードを取得する ID を選択します。
1. ID詳細ページの**認証**タブで、**DNS レコードを表示する**を拡大します。
1. Easy DKIM を使用した場合は 3 つの CNAME レコードをコピーし、このセクションに表示されている BYODKIM を使用した場合は TXT レコードをコピーします。または、[**レコードセットを CSV としてダウンロード**] を選択してコンピューターにこのレコードのコピーを保存することもできます。
次の図で、**[View DNS records]** (DNS レコードの表示) セクションを拡大して、Easy DKIM に関連付けられた CNAME レコードの例を示します。
![\[\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/images/dkim_existing_dns.png)
Amazon SES API を使用して、ID の DKIM レコードを取得することもできます。API とやり取りする一般的な方法は、 AWS CLIを使用することです。
**を使用して ID の DKIM レコードを取得するには AWS CLI**
1. コマンドラインから、以下のコマンドを入力します。
```
aws ses get-identity-dkim-attributes --identities "example.com"
```
前述の例で、*example.com* を DKIM レコードを取得する ID で置き換えます。E メールアドレスまたはドメインを指定できます。
1. このコマンドの出力には、次の例に示すように、`DkimTokens`セクションが含まれています。
```
{
"DkimAttributes": {
"example.com": {
"DkimEnabled": true,
"DkimVerificationStatus": "Success",
"DkimTokens": [
"hirjd4exampled5477y22yd23ettobi",
"v3rnz522czcl46quexamplek3efo5o6x",
"y4examplexbhyhnsjcmtvzotfvqjmdqoj"
]
}
}
}
```
トークンを使用してドメインの DNS 設定に追加する CNAME レコードを作成します。CNAME レコードを作成するには、次のテンプレートを使用します。
```
token1._domainkey.example.com CNAME token1.dkim.amazonses.com
token2._domainkey.example.com CNAME token2.dkim.amazonses.com
token3._domainkey.example.com CNAME token3.dkim.amazonses.com
```
*token1* の各インスタンスを、`get-identity-dkim-attributes` コマンドを実行したときに受け取ったリストの最初のトークンに置き換え、*token2* のインスタンスすべてを、リストの 2 番目のトークンに置き換え、*token3* のインスタンスすべてを、リストの 3 番目のトークンに置き換えます。
例えば、前述の例に示されるトークンにこのテンプレートを適用すると、次のレコードが生成されます。
```
hirjd4exampled5477y22yd23ettobi._domainkey.example.com CNAME hirjd4exampled5477y22yd23ettobi.dkim.amazonses.com
v3rnz522czcl46quexamplek3efo5o6x._domainkey.example.com CNAME v3rnz522czcl46quexamplek3efo5o6x.dkim.amazonses.com
y4examplexbhyhnsjcmtvzotfvqjmdqoj._domainkey.example.com CNAME y4examplexbhyhnsjcmtvzotfvqjmdqoj.dkim.amazonses.com
```
**注記**
すべての がデフォルトの SES DKIM ドメイン AWS リージョン を使用するわけではありません`dkim.amazonses.com`。リージョンがリージョン固有の DKIM ドメインを使用しているかどうかを確認するには、 の [DKIM ドメインテーブル](https://docs.aws.amazon.com/general/latest/gr/ses.html#ses_dkim_domains)を確認してください*AWS 全般のリファレンス*。
## ID の Easy DKIM を無効にする
Amazon SES コンソールを使用して、ID の DKIM 認証を素早く無効にできます。
**ID で DKIM を無効にするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、DKIM を無効にする ID を選択します。
1. **DomainKeys アイデンティファイドメール (DKIM)**コンテナの[**認証**]タブで、**編集**を選択します。
1. **[Advanced DKIM settings]** (DKIM の詳細設定) で、**DKIM 署名**フィールドの **[Enabled]** (有効) ボックスをオフにします。
また、Amazon SES API を使用して、ID の DKIM を無効にすることもできます。API とやり取りする一般的な方法は、 AWS CLIを使用することです。
**を使用して ID の DKIM を無効にするには AWS CLI**
+ コマンドラインから、以下のコマンドを入力します。
```
aws ses set-identity-dkim-enabled --identity example.com --no-dkim-enabled
```
前述の例で、*example.com* を DKIM を無効にする ID で置き換えます。E メールアドレスまたはドメインを指定できます。
## ID の Easy DKIM を有効にする
前に ID で DKIM を無効化した場合、Amazon SES コンソールを使用して再度有効化できます。
**ID で DKIM を有効にするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、DKIM を有効にする ID を選択します。
1. **認証**タブの**DomainKeys アイデンティファイドメール (DKIM)**コンテナで、**編集**を選択します。
1. **DKIM の詳細設定**で、**DKIM 署名**フィールドの[**Enabled**]ボックスにチェックを入れます。
また、Amazon SES API を使用して、ID の DKIM を有効にすることもできます。API とやり取りする一般的な方法は、 AWS CLIを使用することです。
**を使用して ID の DKIM を有効にするには AWS CLI**
+ コマンドラインから、以下のコマンドを入力します。
```
aws ses set-identity-dkim-enabled --identity example.com --dkim-enabled
```
前述の例で、*example.com* を DKIM を有効にする ID で置き換えます。E メールアドレスまたはドメインを指定できます。
## E メールアドレス ID に継承された DKIM 署名を上書きする
このセクションでは、Amazon SES で検証済みの特定の E メールアドレス ID に、親ドメインから継承された DKIM 署名プロパティを上書き (無効化または有効化) する方法を説明します。DNS 設定はドメインレベルで構成されているため、既に所有するドメインに属する E メールアドレス ID に対してのみこれを行うことができます。
**重要**
E メールアドレス ID の DKIM 署名を無効化/有効化することはできません。
所有していないドメインの場合。例えば、*gmail.com* や *hotmail.com* アドレスの DKIM 署名を切り替えることはできません。
所有するドメインだが、Amazon SES でまだ検証されていない場合。
所有するドメインだが、そのドメインで DKIM 署名が有効になっていない場合。
このセクションは、以下のトピックで構成されます。
+ [継承された DKIM 署名プロパティについて理解する](#dkim-easy-setup-email-key-points-mng)
+ [E メールアドレス ID に DKIM 署名を上書きする (コンソール)](#override-dkim-email-console-mng)
+ [E メールアドレス ID に DKIM 署名を上書きする (AWS CLI)](#override-dkim-email-cli-mng)
### 継承された DKIM 署名プロパティについて理解する
まず、Easy DKIM または BYODKIM が使用されているかどうかにかかわらず、そのドメインが DKIM で設定されている場合、E メールアドレス ID が親ドメインから DKIM 署名プロパティを継承することを理解することが重要です。したがって、E メールアドレス ID で DKIM 署名を無効または有効にすると、次の重要な点に基づいてドメインの DKIM 署名プロパティが上書きされます。
+ E メールアドレスが属するドメインで既に DKIM をセットアップしている場合には、E メールアドレス ID にも同じく DKIM 署名を有効にする必要はありません。
+ ドメインで DKIM をセットアップする場合、Amazon SES が親ドメインから継承された DKIM プロパティを介して、このドメインのすべてのアドレスからのすべての E メールを自動的に認証します。
+ 特定の E メールアドレス ID の DKIM 設定により、そのアドレスが属する*親ドメインまたはサブドメイン (該当する場合) の設定が自動的に上書きされます*。
E メールアドレス ID の DKIM 署名プロパティが親ドメインから継承されるため、これらのプロパティを上書きする場合は、次の表で説明された上書きの階層ルールに注意する必要があります。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/ses/latest/dg/send-email-authentication-dkim-easy-managing.html)
通常、DKIM 署名の無効化はお勧めしません。送信者の評価を損うリスクがあるだけでなく、送信したメールが迷惑メールやスパムフォルダに移動されたり、ドメインが偽装されたりするリスクが高まるためです。
ただし、特定のユースケースや、DKIM 署名を永続的または一時的に無効にしたり、後で再有効化したりする必要があるような通常とは異なるビジネス上の意思決定がなされた場合に備えて、ドメインから継承された DKIM 署名プロパティを E メールアドレス ID に上書きするための機能があります。
### E メールアドレス ID に DKIM 署名を上書きする (コンソール)
以下の SES コンソールの手順では、Amazon SES で既に検証済みの特定の E メールアドレス ID に、親ドメインから継承された DKIM 署名プロパティを上書き (無効化または有効化) する方法を説明しています。
**コンソールを使用して E メールアドレス ID の DKIM 署名を無効/有効にするには**
1. AWS マネジメントコンソール にサインインし、Amazon SES コンソール ([https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/)) を開きます。
1. ナビゲーションペインの**設定**で、**検証済み ID** を選択します。
1. ID のリストで、**[Identity type]** (ID のタイプ) が *[Email address]* (E メールアドレス) であり、認証済みドメインのいずれかに属する ID を選択します。
1. **DomainKeys アイデンティファイドメール (DKIM)**コンテナの[**認証**]タブで、**編集**を選択します。
**注記**
**[Authentication]** (認証) タブは、選択した電子メールアドレス ID が SES によって既に検証済みのドメインに属している場合にのみ表示されます。ドメインをまだ検証していない場合は、「[ドメイン ID の作成](creating-identities.md#verify-domain-procedure)」を参照してください。
1. **[Advanced DKIM settings]** (DKIM の詳細設定) の **[DKIM signatures]** (DKIM 署名) フィールドで、**[Enabled]** (有効) チェックボックスをオフにして DKIM 署名を無効にします。DKIM 署名を再度有効にするにはオンにします (以前に上書きされていた場合)。
1. **[Save changes]** (変更の保存) をクリックします。
### E メールアドレス ID に DKIM 署名を上書きする (AWS CLI)
次の例では、SES AWS CLI で検証済みの特定の E メールアドレス ID の親ドメインから継承された DKIM 署名プロパティを上書き (無効化または有効化) する SES API コマンドとパラメータで を使用します。
**を使用して E メールアドレス ID の DKIM 署名を無効化/有効化するには AWS CLI**
+ 例えば、*example.com* ドメインを所有していて、そのドメインの E メールアドレスのいずれかに対して DKIM 署名を無効にする場合は、コマンドラインで次のコマンドを入力します。
```
aws sesv2 put-email-identity-dkim-attributes --email-identity marketing@example.com --no-signing-enabled
```
1. *marketing@example.com* を DKIM 署名を無効にする E メールアドレス ID に置き換えます。
1. `--no-signing-enabled` を使用すると、DKIM 署名が無効化されます。DKIM 署名を再度有効にするには、`--signing-enabled` を使用します。
# Amazon SES 内で手動での DKIM 署名
Easy DKIM を使用する代わりに、手動で DKIM 署名をメッセージに追加し、Amazon SES を使用してこのメッセージを送信することもできます。手動でメッセージを署名することを選択する場合、まず DKIM 署名を作成する必要があります。メッセージと DKIM 署名を作成したら、[SendRawEmail](https://docs.aws.amazon.com/ses/latest/APIReference/API_SendRawEmail.html) API を使用してメッセージを送信できます。
E メールを手動で署名する場合、次の要素を考慮してください。
+ Amazon SES を使用して送信するすべてのメッセージには、*amazonses.com*のドメインの署名を参照する DKIM ヘッダーが含まれています(つまり、`d=amazonses.com`という文字列が含まれています)。そのため、メッセージを手動で署名する場合、そのメッセージには、ドメインのヘッダーと *amazonses.com*のためにAmazon SESが自動で作成するヘッダーという、*2つ*のDKIM ヘッダーが含まれます。
+ Amazon SES は、メッセージに手動で追加した DKIM 署名を検証しません。メッセージの DKIM 署名にエラーがある場合、このメッセージはEメールプロバイダーによって拒否される可能性があります。
+ メッセージに署名する場合は、少なくとも 1024 ビットのビット長を使用する必要があります。
+ 次のフィールドには署名しないでください。メッセージ ID、日付、Return-Path、Bounces-To。
**注記**
Amazon SES SMTP インタフェースでの E メールの送信に E メールクライアントを使用する場合、クライアントはメッセージで自動的に DKIM 署名を実行することがあります。一部のクライアントは上述のフィールドのいずれかに署名することがあります。デフォルトで署名されたフィールドについての情報は、Eメールのクライアントのドキュメンテーションを参照してください。