はじめに
AsyncOS 15.5.1のリリースに伴って、DomainKeys Identified Mail (DKIM) 署名の検証において、サポートするキーサイズに変更があります。具体的次のように変更されました。
3072ビット
4096ビット
512ビット
768ビット
なお、AsyncOS 15.5.1へアップグレードする前に、既に512ビットか768ビットで作成されたDKIM検証プロファイルはアップグレード後でも引き続き利用が可能です。
AsyncOS 15.5.1 DKIM検証プロファイルの設定画面:
動作変更における検証
1.AsyncOS 15.5.1にて既存512ビットのDKIM検証プロファイルを使って、512ビットDKIM署名の動作検証
前段SEGにて512ビットのDKIM署名メールに対して、後段SEG(AsyncOS 15.5.1)の既存512ビットプロファイルにて、DKIM検証テストの結果が「パス」と判定されます。既存の512キーサイズのプロファイルが利用できることがわかります。
メールログは以下の通りです。
-前段SEG キーサイズ512ビット
Thu May 30 17:29:15 2024 Info: MID 2716 DKIM: signing with DKIMTest - matches test@example.com
-後段SEG 許容最小キーサイズ512ビット
Thu May 30 17:29:21 2024 Info: MID 2716 DKIM: pass signature verified (d=example.com s= selectorsample i=@example.com)
*省略*
Thu May 30 17:29:22 2024 Info: MID 2716 queued for delivery
2.新規導入のAsyncOS 15.5.1にて、許容最小キーサイズよりも小さいDKIM署名の動作検証
前述のように今回の動作変更によって、512ビットと768ビットキーサイズが利用できなくなりました。SEGの許容最小キーサイズが1024ビットであるため、前段サーバが512ビットか768ビットのDKIM署名キーサイズを利用すると、キーが小さすぎることからDKIM検証の結果が「permfail」となります。その際には「永続的なエラーのSMTPアクション」の設定に従って、アクションを取ります。
・永続的なエラーのSMTPアクションが「承諾」の場合、メールの処理が続行されます。
メールログは以下の通りです。
-前段SEG キーサイズ512ビット
Thu May 30 14:47:21 2024 Info: MID 2717 DKIM: signing with DKIMTest- matches test@example.com
-後段SEG 許容最小キーサイズ1024ビット
Thu May 30 14:47:22 2024 Info: MID 2717 DKIM: permfail key too small (d=example.com s=selectorsample i=@example.com)
*省略*
Thu May 30 14:47:23 2024 Info: MID 2717 queued for delivery
・永続的なエラーのSMTPアクションが「拒否」の場合、メールが拒否されます。
メールログの内容は以下の通りです。
Thu May 30 15:14:59 2024 Info: MID 2718 DKIM: permfail key too small (d=example.com s=selectorsample i=@example.com)
Thu May 30 15:14:59 2024 Info: MID 2718 rejected by DKIM policy
Thu May 30 15:14:59 2024 Info: Message aborted MID 2718 Receiving aborted
Thu May 30 15:14:59 2024 Info: Message finished MID 2718 aborted
参考情報
https://www.cisco.com/c/en/us/td/docs/security/esa/esa15-5-1/user_guide/b_ESA_Admin_Guide_15-5-1/b_ESA_Admin_Guide_12_1_chapter_010110.html#dkim-verification
https://www.cisco.com/c/dam/global/ja_jp/td/docs/security/esa/esa15-5-1/release_notes/Secure_Email_15-5_Release_Notes.pdf