DKIM署名鍵を更新する

  • 更新

DKIM作成者署名で利用しているDKIM署名鍵は、 暗号化方式の脆弱性や、万が一の秘密鍵の漏洩などに備えて、年次更新が推奨されています。
発行から365日以上が経過したDKIM署名鍵は、管理画面のDKIM署名鍵一覧に警告が表示されます。
警告(更新).png
また、発行から365日目の日にシステム管理者と特権ユーザのアカウント宛に
「【KREISEL】 登録から365日経過したDKIM署名鍵があります」
という件名で通知メールを送信しています。

DKIM署名鍵の更新はシステム管理者、または特権ユーザのアカウントにて操作可能です。
また、設定の途中でDNSサーバへTXTレコードを登録する必要があります。
必要に応じて情報システムのご担当者や管理会社へご相談ください。

DKIM作成者署名の更新までの基本的な手順を記載しています。

 新たにDKIM公開鍵を発行する ⇒ 

 新しいDKIMレコードをDNSサーバへ登録する ⇒ 

 新しいDKIMレコードを確認する ⇒ 

 新しいDKIM作成者署名の認証を有効にする ⇒ 

 古いDKIM作成者署名の認証を無効にする ⇒ 

 古いDKIMレコードをDNSサーバから削除する ⇒ 

新たにDKIM公開鍵を発行する

操作手順

1 [システム]>[DKIM署名鍵管理]>を選択します。
[DKIM署名鍵管理]画面が表示されます。

2 [新規作成]をクリックします。
[新規DKIM署名鍵登録]画面が表示されます。

新たにDKIM公開鍵を発行する;手順2.png

表示項目の説明

ドメイン 更新が必要なドメインを指定します。
※サブドメイン単位
セレクタ 公開鍵を識別するために必要なセレクタ値です。
「trcdkimランダム値」の形式でクライゼルが割り当てます。
特に指定がなければ初期値のままで問題ありません。
任意でセレクタを指定することも可能です。
任意で指定する場合、「a-z」「A-Z」「0-9」「-(半角のハイフン)」のみご利用になれます。
鍵生成

公開鍵の生成方法を指定します。
1024bitよりもセキュリティが高い2048bitでの生成をおすすめしております。

自動生成(1024bit) クライゼルが1024bitで公開鍵を生成します。
自動生成(2048bit) クライゼルが2048bitで公開鍵を生成します。
生成済みの鍵を利用 外部で発行した秘密鍵・公開鍵を使用できます。

3 [次へ]>[実行]をクリックしてください。

4 「DKIM署名鍵を登録しました。」とメッセージが表示されます。
[公開鍵をコピー]をクリックすると、公開鍵をクリップボードにコピーすることができます。
[DNS設定例をコピー]をクリックすると、発行した情報をレコード単位でコピーすることができます。
※DNS設定はご利用のサーバごとに設定方法が異なります。設定例をそのまま貼付してもご利用になれないことがありますので、 DNSサーバの仕様に合わせてレコード登録をお願いいたします。

新たにDKIM公開鍵を発行する:手順4.png

新しいDKIMレコードをDNSサーバへ登録する

操作手順

1 [システム]>[DKIM署名鍵管理]>を選択します。
[DKIM署名鍵管理]画面が表示されます。

2 新たに発行したDKIM署名鍵の[設定確認]をクリックします。
新しいDKIMレコードをDNSサーバへ登録する:手順2.png
[DKIM署名鍵確認]画面が表示されます。
設定情報をコピーしてDKIM作成者署名のTXTレコードを記述してDNSサーバへ登録します。
必要に応じて情報システムのご担当者や管理会社へご相談ください。
古いDKIM署名鍵のDNSレコードは、まだ削除せずに保持しておきます。
新しいDKIMレコードをDNSサーバへ登録する:手順2(署名).png

注意

  • 複数のドメインに対して鍵を発行した場合、それぞれの公開鍵・セレクタ値の取り違えがないようご注意ください。
  • DNS設定はご利用のサーバごとに設定方法が異なります。設定例をそのまま貼付してもご利用になれないことがありますので、 DNSサーバの仕様に合わせてレコード登録をお願いいたします。

新しいDKIMレコードを確認する

レコードを設定したDNSサーバに問い合わせて、レコード登録に問題がないか確認します。

操作手順

1 [システム]>[DKIM署名鍵管理]>を選択します。
[DKIM署名鍵管理]画面が表示されます。

2 新たに発行したDKIM署名鍵の[確認]をクリックします。
「DNSへの問い合わせを行います」とポップアップ画面が表示されます。
[OK]をクリックします。[確認OK]と表示されると確認完了です。

新しいDKIMレコードを確認する:手順2.png

レコードNGと表示された場合

こちらのトラブルシューティング集を確認の上、DNSの設定を再度ご確認ください。

新しいDKIM作成者署名の認証を有効にする

操作手順

1 [システム]>[DKIM署名鍵管理]>を選択します。
[DKIM署名鍵管理]画面が表示されます。

2 新たに発行したDKIM署名鍵の[状態更新]をクリックします。
[DKIM署名鍵状態更新]画面が表示されます。
状態を[有効]にします。

新しいDKIM作成者署名の認証を有効にする:手順2.png

3 [次へ]>[実行]をクリックしてください。

古いDKIM作成者署名の認証を無効にする

操作手順

1 [システム]>[DKIM署名鍵管理]>を選択します。
[DKIM署名鍵管理]画面が表示されます。

2 古いDKIM署名鍵の[状態更新]をクリックします。
[DKIM署名鍵状態更新]画面が表示されます。
状態を[無効]にします。
古い鍵を無効化した時点で、新しい鍵でDKIM作成者署名を行います。

古いDKIM作成者署名の認証を無効にする;手順2.png

3 [次へ]>[実行]をクリックしてください。

注意

  • 複数の環境をご契約のお客様で、同じDKIM署名鍵(同じセレクタ値・同じ秘密鍵)をご利用の場合、 1つの環境で既存のDKIM鍵を無効化した後も、別環境の設定は有効のままです。
  • 無効化したことにより、無効前に配信したメールに影響はございません。

古いDKIMレコードをDNSサーバから削除する

DNSサーバに登録している古いDKIM署名鍵のDNSレコードを削除します。
DNSから旧DKIM鍵を削除するのは、クライゼルの配信リトライ期間を考慮して無効化から8日後以降に実施いただくことをおすすめいたします。
無効化した古いDKIM署名鍵は、クライゼル管理画面から削除しても問題ございません。

注意

  • 複数の環境をご契約のお客様で、同じDKIM署名鍵(同じセレクタ値・同じ秘密鍵)をご利用の場合、 1つの環境で既存のDKIM鍵を無効化した後も、他環境の設定は有効のままです。
  • 無効化したDKIM署名鍵をまだ他環境で利用している場合は、DNSの既存レコードは削除しないようご注意ください。
  • 無効化した古いDKIM署名鍵を削除したことで、無効前に配信したメールに影響はございません。