ESA：既存のDKIMキーをダウンタイムなしで置き換える

はじめに

このドキュメントでは、ダウンタイムなしでDNSのESAとDKIM公開キーの既存のDKIM署名キーを置き換える方法について説明します。

要件

1. Eメールセキュリティアプライアンス(ESA)へのアクセス。
2. DNSにアクセスしてTXTレコードを追加または削除します。
3. ESAは、DKIMプロファイルを使用してメッセージにすでに署名している必要があります。

新しいDKIM署名キーを作成します

最初に、ESAで新しいDKIM署名キーを作成する必要があります。

1. Mail Policies > Signing Keysの順に移動し、Add Key...を選択します。
2. DKIMキーに名前を付け、新しい秘密キーを生成するか、既存の秘密キーに貼り付けます。

   注:ほとんどの場合、2048ビットの秘密キーのサイズを選択することをお勧めします。

3. 変更を保存します。
   

   注：この変更は、DKIM署名またはメールフローには影響しません。DKIM署名キーを追加したばかりで、まだDKIM署名プロファイルに適用していません。

新しいDKIM署名プロファイルを生成し、DNSレコードをDNSに発行します

次に、新しいDKIM署名プロファイルを作成し、そのDKIM署名プロファイルからDKIM DNSレコードを生成し、そのレコードをDNSに発行する必要があります。

1. Mail Policies > Signing Profilesの順に選択し、Add Profile...をクリックします。
   1. 「Profile Name」フィールドに、プロファイルにわかりやすい名前を指定します。
   2. 「ドメイン名」フィールドにドメインを入力します。
   3. 「Selector」フィールドに新しいセレクタ文字列を入力します。
      

      注： セレクタは、特定のドメインに対して複数のDKIM DNSレコードを許可するために使用される任意の文字列です。セレクタを使用して、ドメインのDNSで複数のDKIM DNSレコードを許可します。既存のDKIM署名プロファイルとは異なる新しいセレクタを使用することが重要です。
      

   4. 「Signing Key」フィールドで、前のセクションで作成したDKIM署名キーを選択します。
   5. 署名プロファイルの最下部に、新しい「ユーザ」を追加します。 このユーザは、使用されていないプレースホルダの電子メールアドレスである必要があります。

      注意:この署名プロファイルのユーザとして、未使用の電子メールアドレスを追加することが重要です。そうしないと、DKIM TXTレコードが公開される前にこのプロファイルが発信メッセージに署名し、DKIM検証が失敗する可能性があります。未使用の電子メールアドレスをユーザとして追加すると、この署名プロファイルは送信メッセージに署名しなくなります。

   6. [Submit] をクリックします。
2. ここから、作成した署名プロファイルの「DNSテキストレコード」列の「生成」をクリックし、生成されたDNSレコードをコピーします。これは次のようになります。
   

   selector2._domainkey.example.com. IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwMaX6wMAk4iQoLNWiEkj0BrIRMDHXQ7743OQUOYZQqEXSs+jMGomOknAZJpjR8TwmYHVPbD+30QRw0qEiRY3hYcmKOCWZ/hTo+NQ8qj1CSc1LTMdV0HWAi2AGsVOT8BdFHkyxg40oyGWgktzc1q7zIgWM8usHfKVWFzYgnattNzyEqHsfI7lGilz5gdHBOvmF8LrDSfN" "KtGrTtvIxJM8pWeJm6pg6TM/cy0FypS2azkrl9riJcWWDvu38JXFL/eeYjGnB1zQeR5Pnbc3sVJd3cGaWx1bWjepyNQZ1PrS6Zwr7ZxSRa316Oxc36uCid5JAq0z+IcH4KkHqUueSGuGhwIDAQAB;"

3. 変更を保存します。
4. ステップ2のDKIM DNS TXTレコードをDNSに送信します。
5. DKIM DNS TXTレコードが完全に伝播されるまで待ちます。

古い署名プロファイルを削除し、新しい署名プロファイルからプレースホルダユーザーを削除します

DKIM TXTレコードがDNSに送信され、伝播されたことを確認したら、次のステップとして、古い署名プロファイルを削除し、新しい署名プロファイルからプレースホルダユーザを削除します。

注： 次の手順に進む前に、ESA設定ファイルをバックアップすることを強く推奨します。これは、古いDKIM署名プロファイルを削除し、以前の設定に戻す必要がある場合、バックアップされたコンフィギュレーションファイルを簡単にロードできるためです。

1. Mail Policies > Signing Profilesの順に移動し、古いDKIM署名プロファイルを選択してDeleteをクリックします。
2. 新しいDKIM署名プロファイルに移動し、現在のプレースホルダユーザーを選択して、[削除]をクリックします。
3. 「送信」をクリックします。
4. 「Test Profile」列で、新しいDKIM署名プロファイルの「Test」をクリックします。テストが成功したら、次の手順に進みます。そうでない場合は、DKIM DNS TXTレコードが完全に伝播されていることを確認します。
5. 行った変更を確定します。

メールフローをテストしてDKIMに合格したことを確認する

この時点で、DKIMの設定は完了です。ただし、DKIM署名をテストして、送信メッセージに正常に署名し、DKIM検証に合格していることを確認する必要があります。

1. ESAを介してメッセージを送信し、ESAによって署名されたDKIMと別のホストによって検証されたDKIMを受け取ることを確認します。
2. メッセージをもう一方の端で受信したら、メッセージのヘッダーで「Authentication-Results」というヘッダーを確認します。 ヘッダーのDKIMセクションを探して、DKIM検証に合格したかどうかを確認します。ヘッダーは次のようになります。

   Authentication-Results: mx1.example.net; spf=SoftFail smtp.mailfrom=user1@example.net;
   dkim=pass header.i=none; dmarc=fail (p=none dis=none) d=example.net

3. ヘッダー「DKIM-Signature」を探し、正しいセレクタとドメインが使用されていることを確認します。
   

   DKIM-Signature: a=rsa-sha256; d=example.net; s=selector2;
      c=simple; q=dns/txt; i=@example.net;
      t=1117574938; x=1118006938;
      h=from:to:subject:date;
      bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
      b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
               VoG4ZHRNiYzR

4. DKIMが意図したとおりに動作していることを確認したら、少なくとも1週間待ってから、古いDKIM TXTレコードを削除します。これにより、古いDKIMキーによって署名されたすべてのメッセージが確実に処理されます。