ESA：既存のDKIMキーをダウンタイムなしで交換

はじめに

このドキュメントでは、ESAの既存のDKIM署名キーとDNSのDKIM公開キーをダウンタイムなしで置き換える方法について説明します。

要件

1. Eメールセキュリティアプライアンス(ESA)へのアクセス。
2. TXTレコードを追加/削除するためのDNSへのアクセス。
3. ESAは、DKIMプロファイルを使用してメッセージにすでに署名している必要があります。

新しいDKIM署名キーの作成

最初に、ESAで新しいDKIM署名キーを作成する必要があります。

1. Mail Policies > Signing Keysの順に選択し、Add Key...を選択します。
2. DKIMキーに名前を付け、新しい秘密キーを生成するか、既存の秘密キーに貼り付けます。

   注:ほとんどの場合、2048ビットの秘密キーのサイズを選択することをお勧めします。

3. 変更を保存します。
   

   注：この変更は、DKIM署名またはメールフローには影響しません。DKIM署名キーを追加したばかりで、まだDKIM署名プロファイルに適用していません。

新しいDKIM署名プロファイルを生成し、DNSレコードをDNSに公開します

次に、新しいDKIM署名プロファイルを作成し、そのDKIM署名プロファイルからDKIM DNSレコードを生成し、そのレコードをDNSに公開する必要があります。

1. Mail Policies > Signing Profilesの順に選択し、Add Profile...をクリックします。
   1. 「プロファイル名」フィールドに、プロファイルにわかりやすい名前を入力します。
   2. 「ドメイン名」フィールドにドメインを入力します。
   3. 新しいセレクタ文字列を「セレクタ」フィールドに入力します。
      

      注： セレクタは、特定のドメインに対して複数のDKIM DNSレコードを許可するために使用される任意の文字列です。セレクタを使用して、ドメインのDNSで複数のDKIM DNSレコードを許可します。既存のDKIM署名プロファイルとは異なる新しいセレクタを使用することが重要です。
      

   4. 「Signing Key」フィールドで、前のセクションで作成したDKIM署名キーを選択します。
   5. 署名プロファイルの最下部に、新しい「ユーザ」を追加します。 このユーザは、未使用のプレースホルダ電子メールアドレスである必要があります。

      注意:この署名プロファイルのユーザとして、使用していない電子メールアドレスを追加することが重要です。それ以外の場合、このプロファイルはDKIM TXTレコードが公開される前に送信メッセージに署名し、DKIM検証が失敗する可能性があります。未使用の電子メールアドレスをユーザーとして追加すると、この署名プロファイルは送信メッセージに署名しなくなります。

   6. [Submit] をクリックします。
2. ここから、作成した署名プロファイルの「DNSテキストレコード」列の「生成」をクリックし、生成されたDNSレコードをコピーします。これは次のように表示されます。
   

   selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"

3. 変更を保存します。
4. ステップ2のDKIM DNS TXTレコードをDNSに送信します。
5. DKIM DNS TXTレコードが完全に伝播されるまで待ちます。

古い署名プロファイルを削除し、新しい署名プロファイルからプレースホルダユーザーを削除します

DKIM TXTレコードがDNSに送信され、伝達されたことを確認したら、次の手順として、古い署名プロファイルを削除し、新しい署名プロファイルからプレースホルダユーザを削除します。

注： 次の手順に進む前に、ESA設定ファイルをバックアップすることを強く推奨します。これは、古いDKIM署名プロファイルを削除し、以前の設定に戻す必要がある場合、バックアップされたコンフィギュレーションファイルを簡単にロードできるためです。

1. Mail Policies > Signing Profilesの順に移動し、古いDKIM署名プロファイルを選択して、Deleteをクリックします。
2. 新しいDKIM署名プロファイルに移動し、現在のプレースホルダユーザーを選択して[削除]をクリックします。
3. 「送信」をクリックします。
4. 「Test Profile」列で、新しいDKIM署名プロファイルの「Test」をクリックします。テストが成功したら、次の手順に進みます。そうでない場合は、DKIM DNS TXTレコードが完全に伝播されていることを確認します。
5. 行った変更を確定します。

メールフローをテストして、DKIMに合格したことを確認します。

この時点で、DKIMの設定は完了です。ただし、DKIM署名をテストして、送信メッセージが期待どおりに署名され、DKIM検証に合格していることを確認する必要があります。

1. ESAを介してメッセージを送信し、ESAによって署名されたDKIMと、別のホストによって検証されたDKIMを受け取ることを確認します。
2. もう一方の端でメッセージを受信したら、メッセージのヘッダーでヘッダー「Authentication-Results」を確認します。 ヘッダーのDKIMセクションを探して、DKIM検証に合格したかどうかを確認します。ヘッダーは次のようになります。

   Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
   dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net

3. ヘッダー「DKIM-Signature」を探し、正しいセレクタとドメインが使用されていることを確認します。
   

   DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
      c=simple; q=dns/txt; i=@example.net;
      t=1117574938; x=1118006938;
      h=from:to:subject:date;
      bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
      b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
               VoG4ZHRNiYzR

4. DKIMが意図したとおりに動作していることを確認したら、少なくとも1週間待ってから、古いDKIM TXTレコードを削除します。これにより、古いDKIMキーによって署名されたすべてのメッセージが確実に処理されます。