DKIM 1024 bit 鍵廃止のタイムラインと 2048 移行プラン|2026 年版
目次
この記事でわかること
- 1024-bit 鍵が廃止される背景
- 各主要プロバイダの廃止タイムライン
- 1024 → 2048 移行手順(ダブル署名期間つき)
- 移行後の検証手順
1024-bit 鍵が廃止される背景
RFC 6376 では DKIM 鍵長として 2048-bit を SHOULD(強く推奨)、1024-bit は legacy 扱い。1024-bit は 2030 年頃に量子計算機の影響を受ける前段階で、現代のクラスタ計算でも理論上の解読が現実的になりつつあります。
NIST SP 800-131A 改訂版でも、RSA 1024-bit は 2014 年以降 disallowed(許可されない)状態。メール業界は遅れて対応中。
各プロバイダのタイムライン(2026 年時点で確認できる動向)
| プロバイダ | 状況 |
|---|---|
| Google Workspace | 新規作成は 2048-bit デフォルト、既存 1024 はそのまま使えるが管理画面で警告表示 |
| Microsoft 365 | 新規 DKIM は 2048-bit、旧 1024 は段階的に rotate 推奨案内 |
| Gmail(受信側) | 受信検証は 1024-bit も pass、ただし将来的に「weak key」フラグ予定 |
| Yahoo!(受信側) | 同上、Postmaster Tools で警告表示 |
| 送信代行 SaaS | SendGrid / Mailchimp / Brevo 等は 2024 年以降 2048-bit がデフォルト |
公式ドキュメントの最新情報は各プロバイダの管理画面・ヘルプを必ず確認してください。
1024 → 2048 移行の 5 ステップ
ステップ 1: 現状の鍵長を確認
dig +short TXT <selector>._domainkey.<domain>
返ってきた p= の長さで概算判定(1024 = base64 で約 220 文字、2048 = 約 380 文字)。
ステップ 2: 新セレクタで 2048 鍵を生成
Google Workspace: 管理コンソール → アプリ → Gmail → 認証 → DKIM → 「DKIM 認証を有効化」で 2048 を選択。新セレクタ(例: google2048)で再発行。
Microsoft 365: PowerShell Rotate-DkimSigningConfig -KeySize 2048 -Identity <domain>
ステップ 3: 新 DNS レコードを公開
新セレクタの公開鍵を DNS に追加。旧セレクタはまだ残す。
ステップ 4: ダブル署名期間(2〜4 週間)
旧 1024 と新 2048 の両方で DKIM 署名する期間を設けます。古いキャッシュを持つ受信側でも検証成功するように。
Google Workspace / Microsoft 365 では新セレクタを「アクティブ」にすれば自動的に新鍵で署名されますが、旧鍵を消す前に 2〜4 週間の観察期間を設けるのが安全。
ステップ 5: 旧鍵の DNS レコード削除
DMARC レポートで「旧セレクタでの署名が来ていない」を確認してから旧 DNS レコードを削除。
移行後の検証
# 新鍵で署名されているか
echo | openssl s_client -connect smtp.gmail.com:465 2>/dev/null \
| grep -i "DKIM-Signature"
または、自分宛にテスト送信して Authentication-Results: ... dkim=pass header.d=example.co.jp header.s=google2048 の selector 部分が新しい値になっているか確認。
無料ドメイン診断 でも DKIM の selector / 鍵長を可視化できます。
まずは現状を把握しましょう
無料ドメイン診断 で現在の DKIM 鍵長を 30 秒で確認できます。1024 のまま使い続けると 2026〜2027 年以降、配信影響が出る可能性があります。
設定支援が必要な場合は メール認証 初期診断+設定(8 万円〜)でご相談ください。
関連記事: DKIM 設定の確認方法 / DKIM 設定の費用 / DKIM 鍵 2048 アップグレード / DKIM 鍵ローテーション
SSL / Web セキュリティヘッダは 無料ツール一覧 もご利用ください。