DKIM

DKIM（DomainKeys Identified Mail）は RFC 6376 で定義されたメール認証標準です。送信側のメールシステムは各送信メッセージに秘密鍵で署名し、DKIM-Signature という名のヘッダが署名・アルゴリズム・公開鍵へのポインタを保持します。受信側サーバーは DNS から公開鍵を取得し、署名がメッセージ本文と列挙されたヘッダと一致することを検証します — これにより、メッセージが秘密鍵を保有するサーバーから発信されたこと、および署名対象部分が転送中に改ざんされていないことの両方が証明されます。

公開鍵は {selector}._domainkey.{domain} に TXT レコードとして配置されます。selector は任意の識別子で、典型的には s1、s2、mail、または amazonses のようなベンダー固有の名前が使われます。selector があることで鍵ローテーションが可能になります: 新しい selector で新しい鍵を公開 → 署名側を新 selector に切り替え → 転送中の署名済みメッセージが流れきるまで古い鍵を DNS に残す → 古い TXT レコードを削除、という流れです。ローテーションは基本的な衛生管理で、多くの ESP は少なくとも年 1 回、または侵害が疑われた場合に必ずローテーションを実施します。

ベンダー経由の送信（Amazon SES、Mailgun、SendGrid、SparkPost — いずれも app/SendingServers/Drivers/Vendors/ 配下の組み込みドライバ）では、DKIM はベンダー側で署名されます。運用者の仕事は、ベンダーから提示された CNAME または TXT レコードを自分の送信ドメインに公開することです。汎用 SMTP ドライバの場合、DKIM 署名は上流の MTA（Postfix の opendkim milter、Postal の組み込み signer など）が行います — AcelleMail 自体は DKIM 署名を行いません。

主要ベンダーごとのレコード例や署名検証方法を含む完全なセットアップウォークスルーは 到達率 pillar ガイドにあります。

SPF は IP アドレスを認証し、DKIM はメッセージそのものを認証します。転送されたメール（転送者の IP から発信されるため SPF は破れる）でも、DKIM は通常パスします（署名はパスではなく本文をカバーするため）。DMARC は次に、片方または両方のシグナルを可視の From: ヘッダに対して整合させます。3 層は組み合わさって機能し、現代の到達率では 3 つすべての公開が前提となります。