電子署名を使うDomainKeysの設定方法：送信ドメイン認証技術解説（3/4 ページ）

» 2006年01月12日 10時00分公開

dk-milterを導入してみよう

　ここからは実際にDomainKeysを導入する方法について説明する。dk-milterは、sendmail MTAと同様のライセンスでオープンソースとして公開されており、送信側での電子署名、受信側の認証の両方に利用できる。

　dk-milterはsendmail MTAのプラグインとして動作するメールフィルタで、オープンソース版sendmail 8.13.0以降か商用版Sendmail 3.1.6以降で動作する。dk-milterのバージョンは原稿執筆時点（2005年12月14日）で0.3.2である。以下のURLからダウンロード可能である。同時にsendmail MTAの最新版もダウンロードしておこう。

dk-milter

http://sourceforge.net/projects/dk-milter/

sendmail MTA

http://www.sendmail.org

dk-milterのビルド

　sendmail MTAのソースとdk-milterのソースをダウンロードして適当なディレクトリに展開する。site.config.m4.sampleをコピーしてdevtools/Site/site.config.m4を作成し、

APPENDDEF(`confENVDEF', `-DMILTER')

を追加する。そのほか必要に応じてオプションを追加／削除したうえで、ソースのTOPディレクトリで「./Build」を実行してから、さらにroot権限で「./Build install」を実施する。これでmilterに対応したsendmail MTAがインストールできる。

　次にlibmilterをコンパイルおよびインストールする。まずlibmilterディレクトリに移動して「./Build」を実施し、コンパイルに成功したらroot権限で「./Build install」を実施する。

　そしてdk-milterのソースディレクトリのTOPにおいて「./Build」を実行してから、さらにroot権限で「./Build install」を実施する。以上でdk-filterが利用可能になる。

　なお、すでにOS付属のlibmilterなどが存在し、そのlibmilter.aを作成したコンパイラとdk-filterをコンパイルするgccのバージョンが異なるとコンパイルに失敗する場合がある。その場合はdk-filter/Makefile.m4を編集し、新たに作成したlibmilter.aファイルを直接指定すると回避できる。

DomainKeys用の鍵の作成と公開

　鍵の作成はOpenSSLのツールを利用する。dk-milterのソースに含まれるINSTALLに手順の簡単な説明があるので一読しておくことをお勧めする。一連の作業を実施する「gentxt.csh」というコマンドが「（dk-milterのソースのTOPディレクトリ）/dk-filter」以下にあり、これを用いて、秘密鍵、公開鍵、およびDNSに登録するTXTレコードのサンプルを簡単に作成できる。

　ここではセレクタを「k1」に、DomainKeysで認証可能にする送信ドメインを「sm-ex.co.jp」とする。

# cd dk-filter
# ./gentxt.csh k1 sm-ex.co.jp
 
k1._domainkey IN TXT "g=; k=rsa; t=y; p=MFwwDQYJKoZIhvc
NAQEBBQADSwAwSAJBANm1IZUEICVj7
N1KEQVxOgpGWDB2NkWxkvgVBEWZ9WYOB8VK9mntghacav
OILo8KkshxGmCh6SOyLlQqmrMCzpkCAwEAAQ==" ;
----- DomainKey test for sm-ex.co.jp

　実行すると、秘密鍵をk1.privateに、公開鍵をk1.publicにそれぞれ出力する。また、コマンドの結果としてDNSのzoneファイルにそのまま記述可能なTXTレコードのサンプルが出力されるので、これをDNS上に公開する。

　デフォルトでは鍵長512bitの鍵が作成される。必要に応じてgentxt.cshの32行あたりを編集し鍵長を調整するといいだろう。