GoogleやYahooなどでは、スパムメールへの対策としてメールの送信元ドメインが正当なものであるかどうかを検証する「送信ドメイン認証」と「TLS通信」に対応しています。受信先では送信ドメイン認証に失敗したメールやTLS通信ではないメールは、受信を拒否されたり、迷惑メールフォルダへ振り分けられたりします。
GoogleやYahooなどの受信先が「送信ドメイン認証」のチェックを行っている場合には、送信する全てのメールは、
- 送信ドメイン認証(SPF、DKIM、DMARC)
- TLS通信(暗号化通信)
に対応することが必要となります。
「送信ドメイン認証」の3つの技術
1.SPF(Sender Policy Framework)
SPFは、送信元メールサーバのIPアドレスを認証する技術です。送信元ドメインの管理者は、DNSにSPFレコードを登録することで、特定のIPアドレスからのみメールを送信できるように設定することができます。
SPFは、なりすましメールの送信元となるIPアドレスを制限することで、なりすましメールの送信を抑止することができます。
- メールの受信時に、相手側のSMTP通信したメールサーバーのIP情報を確認
2.DKIM(DomainKeys Identified Mail)
DKIMは、メールの送信元を電子署名で認証する技術です。送信元ドメインの管理者は、DNSにDKIMレコードを登録することで、メールに電子署名を付与することができます。
受信側は、DKIMレコードとメールの電子署名を照合することで、送信元が正当なものかどうかを判断することができます。
DKIMは、なりすましメールの送信元を特定・ブロックすることで、なりすましメールの被害を抑止することができます。
- 送信者側では、メールに電子署名を付与して送付
- 受信者側では、公開鍵情報で受信メールをチェック
3.DMARC(Domain-based Message Authentication Reporting and Conformance)
DMARCは、SPFとDKIMの認証結果をもとに、メールの処理方法を指示する技術です。DMARCレコードをDNSに登録することで、受信側に、SPFとDKIMの認証結果に応じたメールの処理方法を指定することができます。
DMARCの認証結果は、以下の3つに分類されます。
- none: 認証結果に関わらず、メールを通常通り受信
- quarantine: 認証にFailしたメールを隔離
- reject: 認証にFailしたメールを拒否
DMARCレコードに「p=reject」を指定することで、認証失敗したメールはすべて受信拒否されるようになります。
DMARCは、SPFとDKIMの認証結果を統合することで、なりすましメールの対策をさらに強化することができます。
SPF・DKIM・DMARCは、それぞれ単独で運用することも可能ですが、組み合わせることで、なりすましメール対策の効果を高めることができます。
- 受信者側では、相手先が「なりすましドメイン」のメールでない事の確認が可能
- 送信者側では、自ドメインへの「なりすまし」の防止が可能
- ドメインの認証結果のレポートを受信可能
DMARC リジェクト設定の運用例
1 〇△銀行からのメールを受信時の動作
2 SPF/DKIMの結果 正規の「〇△銀行からのメール」 と判定
メールを受信 |
3 SPF/DKIMの結果 不正なサーバーからの「〇△銀行からのメール」 と判定
メールの受信拒否 |
TLS通信
TLSはメールサーバー間の通信をSMTPS(暗号化)で行う方法です。第3者からの盗聴を防止できます。
送信ドメイン認証対応のメールサーバー
- SPF
- DKIM
- DMARC
- TLS
に対応のメールサーバーとしては、Mail / Web / DNS機能やログサーバー機能を有するインターネットサーバー
が対応しています。
送信ドメイン機能
SPF | DKIM | DMARC |
✅ | ✅ | ✅ |
DKIM / DMARC 設定
- チェックを入れます
SPF / DKIM / DMARC レコード設定
インターネットサーバー機能
SMTP / POP / IMAP / TLS | Mail-Box | DNS | Webサイト | ログサーバー |
✅ | ✅ | ✅ | ✅ | option |
SMTPセキュリティ機能
- VRFYコマンド 有効・無効
- HELOコマンド 不正なホスト / FQDNでないホスト接続 許可・拒否
- HELOコマンド DNSで名前解決が出来ないホスト接続 許可・拒否
電話の場合 |
そのような社員は在籍しておりません |
SMTPの場合 |
送信しようとしているメールアドレスが実際に存在するかを確認 user not found |
SSL証明書機能
- 自己署名のSSL証明書発行・登録
- パブリックなSSL証明書の署名リクエスト・登録
SMTP ( TLS ) 用 *1 | Webサイト用 |
✅ | ✅ |
*1 電子メールサーバー / SMTP専用のSSL証明書の登録機能(自己署名やパブリックな証明書)
シスログサーバー機能
シスログのサーバー機能(オプション)により、自サーバーや他のサーバーの
- ログの受信・任意期間保存&ダウンロード
- 受信ログのトラップ(指定キーワードによるメール通知)
- 受信ログを他のシスログサーバーへの転送(最大3か所)
- ログ送受信時のTLS認証(機器の認証&暗号化通信)
での運用に対応
ログの受信 | ログの保存 | ログの転送 | ログのトラップ | TLS認証 |
✅ | ✅ | ✅ | ✅ | ✅ |
例 Mailサーバー / Webサーバー / Firewall / VMwareESXi などのログ受信&保存
ログの長期保存(監査対応)
運用例 毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年間
指定キーワードのトラップ(管理者へメール通知)
- アラートには任意のキーワードでトラップを設定
- トラップが連続した場合でも、送信メールの間隔を設定
(例 xxx のキーワードを検知の場合、900秒間隔でのメール送信通知)
フリープラグイン
roundcube | WordPress | Let’s Encrypt |
✅ | ✅ | ✅ |
ネットワーク構成
① メールの中継用途で運用
- 既存のメールサーバーの間に設置して、メールリレイで運用します
② メールサーバーで運用
- ユーザーのメールボックスを運用します
* 相手先のメールサーバーによっては、逆引きが出来ないメールサーバーからのメールをスパム判定にする場合もあります (メールサーバーは逆引きに対応で運用する方がベターです)
Webmailの運用(②メールサーバー構成)
メールサーバーとして利用する場合には、Powered BLUE アプライアンスは、Webメールとしてroundcubeを利用できます。
roundcubeは、オープンソースのウェブメールクライアントで、電子メールの受信、送信、管理を行う機能を有しておりブラウザから利用できます。標準では ID / パスワード認証に対応しています。
【設定例】
適宜 SMTPやIMAPを有効化します
- 例 SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS / TLS を有効
- Roundcube / ウェブメールの有効化にチェック
ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます
- 例 user1 へ ウェブメールの使用を許可
WebメールサイトのSSLサーバー証明書に Let’s Encrypt を利用
- 例 Let’s Encryptを有効にする
【ロゴやスキン】
ロゴやスキンを設定できます
- 自社のロゴへ変更
- スキンの変更
デスクトップ用のスキン | スマートフォン用のスキン |
【 Roundcube でシングルサインオンの構成】
roundcubeをidPと連携のシングルサインオンで運用することが出来ます
- idPとSAML認証やOIDC認証でSSO
- 各種 idPと連携
対応のidP
SAML / OIDC認証をサポートの 一般的なidP との連携に対応しています
- Microsoft Entra ID (旧名称 Azure AD)
- keycloak
- GMOトラストログイン
- 他
idPとroundcubeはSAML認証やOIDC認証で接続
【RoundcubeとidP / Keycloak 連携時のシングルサインオン 構成例】
- roundcubeへアクセス
- 初回のみ idP へアクセス(シングルサインオン)
- idP の認証後に roundcube へ自動ログイン
【メールクライアントとの併用運用】
シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト
- Thunderbird
- Becky!
- 他
との併用での運用に対応
【Powered BLUE アプライアンスの構成】
- OS RedHat / AlmaLinux / RockyLinux 対応
- Web / DNS / SMTP / IMAP / POP / TLS
- SPF / DKIM / DMARC (送信元ドメイン認証)
【Powered BLUE アプライアンスの簡単運用】
管理者の負担軽減での運用に対応
- サーバーの自己監視機能やサービスの自動再起動機能
- パッチのスケジュールアップデート機能
- 管理者への通知機能
- GUIでのサーバーやアプリの設定
【Powered BLUE アプライアンスの運用先】
|
オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応
- VMware / Hyper-V
- AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど
仮想アプライアンスのイメージでの提供により
- 仮想サーバーのイメージインポートやオンプレミスでの運用に対応
サーバーのセルフチェック機能により
- 外部の監視サービスを利用しない運用に対応