Microsoft Office 365 Exchange OnlineのDKIMの鍵を1024bitから2048bitにアップグレードする方法

DKIMの鍵のbit数を増やしてセキュリティを強化

2021年12月21日
著者: Syuzanna Papazyan
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 How to upgrade your DKIM keys (from 1024-bit to 2048-bit) for Microsoft Office 365 Exchange Online?の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

ネット上に潜む脅威のため、企業は強力な認証方法を採用することで、自社の正当性を証明する必要があります。
一般的な方法としては、DKIM（DomainKeys Identified Mail）があります。
これは、暗号鍵を使用して送信者のドメインを確認するメール認証技術で、DKIMを使用すると、送信者のドメインが確認されます。

DKIMは、SPFやDMARCとともに、世界中の組織のメールセキュリティ体制を劇的に向上させました。
DKIMとは何か、詳しくはこちらをご覧ください。

メールにDKIMを設定する際、最も重要な決定のひとつは、DKIMキーの長さを決めることです。
この記事では、より良い保護のために推奨されるキーの長さと、Exchange Online Powershellでキーをアップグレードする方法について説明します。

DKIMの鍵の長さをアップグレードする重要性

1024ビットか2048ビットかを選択することは、DKIMキーを選択する際に行わなければならない重要な決定です。
長年にわたり、PKI（公開鍵基盤）は、そのセキュリティのために1024ビットのDKIMキーを使用してきました。
しかし、技術がより複雑になるにつれて、ハッカーはセキュリティを麻痺させる新しい方法を見つけるのに懸命になっています。

このため、鍵の長さがますます重要になってきています。

ハッカーはDKIMキーを破るより良い方法を考案し続けています。
鍵の長さは、認証を破るのがどれだけ難しいかに直結しています。
2048ビットのキーを使用すると、現在および将来の攻撃に対する強化された保護を提供し、セキュリティが向上し、ビット数をアップグレードすることの重要性が強調されます。

Exchange Online Powershellで手動でDKIMの鍵をアップグレードする

• まず、Microsoft Office 365 PowerShellに管理者として接続します（Powershellアカウントが署名されたPowershellスクリプトを実行するように設定されていることを確認してください）。
• DKIMが設定されている場合、鍵を2048ビットにアップグレードするために、Powershellで以下のコマンドを実行します。

  
  Rotate-DkimSigningConfig -KeySize 2048 -Identity <署名された既存の設定のguid>
  

• DKIMを導入していない場合は、Powershellで以下のコマンドを実行してください。

  
  New-DkimSigningConfig -DomainName <設定を生成する対象ドメイン> -KeySize 2048 -Enabled $true
  

• 最後に、ビット数が2048ビットにアップグレードされたDKIMが正常に設定されたことを確認するために、以下のコマンドを実行します。

  
  Get-DkimSigningConfig -Identity <設定されたドメイン> | Format-List
  

重要: 手順が完了するまでの間、Powershellに接続されていることを確認してください。
変更が反映されるまで、最大で72時間かかることがあります。

なりすましやBEC(Business Email Compromise: ビジネスメール詐欺)からドメインを守るには、DKIMだけでは不十分です。
Office 365用にDMARCを設定することで、ドメインのメールセキュリティをアップグレードしましょう。