TLS」カテゴリーアーカイブ

SPF・DKIM・DMARCの送信ドメイン認証対応のメールサーバー(Webメールやシングルサインオンにも対応)

GoogleやYahooなどでは、スパムメールへの対策としてメールの送信元ドメインが正当なものであるかどうかを検証する「送信ドメイン認証」と「TLS通信」に対応しています。受信先では送信ドメイン認証に失敗したメールやTLS通信ではないメールは、受信を拒否されたり、迷惑メールフォルダへ振り分けられたりします。

GoogleやYahooなどの受信先が「送信ドメイン認証」のチェックを行っている場合には、送信する全てのメールは、

  • 送信ドメイン認証(SPF、DKIM、DMARC)
  • TLS通信(暗号化通信)

に対応することが必要となります。

 

 

 

 

 

「送信ドメイン認証」の3つの技術

 

1.SPF(Sender Policy Framework)

SPFは、送信元メールサーバのIPアドレスを認証する技術です。送信元ドメインの管理者は、DNSにSPFレコードを登録することで、特定のIPアドレスからのみメールを送信できるように設定することができます。

SPFは、なりすましメールの送信元となるIPアドレスを制限することで、なりすましメールの送信を抑止することができます。

  • メールの受信時に、相手側のSMTP通信したメールサーバーのIP情報を確認

 

 

2.DKIM(DomainKeys Identified Mail)

DKIMは、メールの送信元を電子署名で認証する技術です。送信元ドメインの管理者は、DNSにDKIMレコードを登録することで、メールに電子署名を付与することができます。

受信側は、DKIMレコードとメールの電子署名を照合することで、送信元が正当なものかどうかを判断することができます。

DKIMは、なりすましメールの送信元を特定・ブロックすることで、なりすましメールの被害を抑止することができます。

  • 送信者側では、メールに電子署名を付与して送付
  • 受信者側では、公開鍵情報で受信メールをチェック

 

 

3.DMARC(Domain-based Message Authentication Reporting and Conformance)

DMARCは、SPFとDKIMの認証結果をもとに、メールの処理方法を指示する技術です。DMARCレコードをDNSに登録することで、受信側に、SPFとDKIMの認証結果に応じたメールの処理方法を指定することができます。

DMARCの認証結果は、以下の3つに分類されます。

  • none: 認証結果に関わらず、メールを通常通り受信
  • quarantine: 認証にFailしたメールを隔離
  • reject: 認証にFailしたメールを拒否

DMARCレコードに「p=reject」を指定することで、認証失敗したメールはすべて受信拒否されるようになります。

DMARCは、SPFとDKIMの認証結果を統合することで、なりすましメールの対策をさらに強化することができます。

SPF・DKIM・DMARCは、それぞれ単独で運用することも可能ですが、組み合わせることで、なりすましメール対策の効果を高めることができます。

  • 受信者側では、相手先が「なりすましドメイン」のメールでない事の確認が可能
  • 送信者側では、自ドメインへの「なりすまし」の防止が可能
  • ドメインの認証結果のレポートを受信可能

 

DMARC リジェクト設定の運用例

1 〇△銀行からのメールを受信時の動作

2 SPF/DKIMの結果 正規の「〇△銀行からのメール」 と判定

メールを受信

 

3 SPF/DKIMの結果 不正なサーバーからの「〇△銀行からのメール」 と判定

メールの受信拒否

 

 

TLS通信

TLSはメールサーバー間の通信をSMTPS(暗号化)で行う方法です。第3者からの盗聴を防止できます。

 

 

 

 

送信ドメイン認証対応のメールサーバー

  1. SPF
  2. DKIM
  3. DMARC
  4. TLS

に対応のメールサーバーとしては、Mail / Web / DNS機能やログサーバー機能を有するインターネットサーバー

 Powered BLUE アプライアンス

が対応しています。

 

 

 

送信ドメイン機能

SPF DKIM DMARC

 

DKIM / DMARC 設定

  • チェックを入れます

 

 

 

SPF / DKIM / DMARC レコード設定

 

 

 

 

 

インターネットサーバー機能

SMTP / POP / IMAP / TLS Mail-Box DNS Webサイト ログサーバー
option

 

 

SMTPセキュリティ機能

  • VRFYコマンド    有効・無効
  • HELOコマンド 不正なホスト / FQDNでないホスト接続 許可・拒否
  • HELOコマンド DNSで名前解決が出来ないホスト接続   許可・拒否

 

 

 

 

 

電話の場合

  • 電話番号を表示しない相手からの電話には 出る・出ない
  • 電話帳に掲載されていない電話番号からの電話には 出る・出ない
  • 社員の実在確認 返答の あり・なし

そのような社員は在籍しておりません

SMTPの場合

 

  • HELOコマンド 不正なホスト / FQDNでないホスト接続 許可・拒否
  • HELOコマンド DNSで名前解決が出来ないホスト接続   許可・拒否
  • VRFYコマンド    有効・無効

送信しようとしているメールアドレスが実際に存在するかを確認

user not found

 

 

SSL証明書機能

 

 

 

 

 

  • 自己署名のSSL証明書発行・登録
  • パブリックなSSL証明書の署名リクエスト・登録
SMTP ( TLS ) 用  *1 Webサイト用

*1 電子メールサーバー / SMTP専用のSSL証明書の登録機能(自己署名やパブリックな証明書)

 

 

シスログサーバー機能

 

 

 

 

シスログのサーバー機能(オプション)により、自サーバーや他のサーバーの

  1. ログの受信・任意期間保存&ダウンロード
  2. 受信ログのトラップ(指定キーワードによるメール通知)
  3. 受信ログを他のシスログサーバーへの転送(最大3か所)
  4. ログ送受信時のTLS認証(機器の認証&暗号化通信)

での運用に対応

ログの受信 ログの保存 ログの転送 ログのトラップ TLS認証

 

例 Mailサーバー / Webサーバー / Firewall / VMwareESXi  などのログ受信&保存

 

 

 

 

 

 

 

ログの長期保存(監査対応)

運用例   毎日ローテーション(365日x5年=1825回)を行い、保存期間は5年間

 

 

 

 

 

 

 

指定キーワードのトラップ(管理者へメール通知)

  • アラートには任意のキーワードでトラップを設定
  • トラップが連続した場合でも、送信メールの間隔を設定
    (例 xxx のキーワードを検知の場合、900秒間隔でのメール送信通知)

 

 

 

 

 

 

 

 

 

 

フリープラグイン

roundcube WordPress Let’s Encrypt

 

 

 

ネットワーク構成

① メールの中継用途で運用

  • 既存のメールサーバーの間に設置して、メールリレイで運用します

 

 

 

 

 

 

② メールサーバーで運用

  • ユーザーのメールボックスを運用します

 

 

 

 

 

 

* 相手先のメールサーバーによっては、逆引きが出来ないメールサーバーからのメールをスパム判定にする場合もあります (メールサーバーは逆引きに対応で運用する方がベターです)

 

Webmailの運用(②メールサーバー構成)

メールサーバーとして利用する場合には、Powered BLUE アプライアンスは、Webメールとしてroundcubeを利用できます。

 

 

roundcubeは、オープンソースのウェブメールクライアントで、電子メールの受信、送信、管理を行う機能を有しておりブラウザから利用できます。標準では ID / パスワード認証に対応しています。

 

 

 

【設定例】

適宜 SMTPやIMAPを有効化します

 

  • 例 SMTP / SMTPS / SMTP-Auth / IMAP / IMAPS / TLS を有効

 

 

 

 

 

 

 

 

 

 

 

  • Roundcube / ウェブメールの有効化にチェック

 

 

 

 

 

 

 

 

 

 

ユーザーアカウント毎にRoundcube / ウェブメールの使用可否を指定できます

 

  • 例 user1 へ ウェブメールの使用を許可

 

 

 

 

 

 

 

 

 

WebメールサイトのSSLサーバー証明書に Let’s Encrypt を利用

  • 例 Let’s Encryptを有効にする

 

 

 

 

 

 

 

 

 

【ロゴやスキン】

 

ロゴやスキンを設定できます

 

  • 自社のロゴへ変更

 

  • スキンの変更
デスクトップ用のスキン スマートフォン用のスキン

 

 

 

【 Roundcube でシングルサインオンの構成】

roundcubeをidPと連携のシングルサインオンで運用することが出来ます

  • idPとSAML認証やOIDC認証でSSO
  • 各種 idPと連携

 

 
対応のidP

SAML / OIDC認証をサポートの 一般的なidP との連携に対応しています

  • Microsoft Entra ID (旧名称 Azure AD)
  • keycloak
  • GMOトラストログイン

 

 

idPとroundcubeはSAML認証やOIDC認証で接続

 

 

【RoundcubeとidP / Keycloak 連携時のシングルサインオン 構成例】

 

 

  1. roundcubeへアクセス
  2. 初回のみ idP へアクセス(シングルサインオン)
  3. idP の認証後に roundcube へ自動ログイン

 

 

 

 

【メールクライアントとの併用運用】

シングルサインオンで運用時にも、ユーザーが利用の各種のメールクライアント・ソフト

  • Thunderbird
  • Becky!

との併用での運用に対応

 

 

【Powered BLUE アプライアンスの構成】

  • OS  RedHat  / AlmaLinux  / RockyLinux  対応
  • Web / DNS / SMTP / IMAP / POP / TLS
  • SPF / DKIM / DMARC (送信元ドメイン認証)

 

 

 

 

 

 

Powered BLUE アプライアンスの簡単運用】

管理者の負担軽減での運用に対応

  • サーバーの自己監視機能やサービスの自動再起動機能
  • パッチのスケジュールアップデート機能
  • 管理者への通知機能
  • GUIでのサーバーやアプリの設定

 

 

 

 

 

Powered BLUE アプライアンスの運用先】

オンプレミスやクラウド環境、仮想基盤など自社管理での運用に対応

  • VMware / Hyper-V
  • AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

 

仮想アプライアンスのイメージでの提供により

  • 仮想サーバーのイメージインポートやオンプレミスでの運用に対応

 

 

 

 

サーバーのセルフチェック機能により

  • 外部の監視サービスを利用しない運用に対応

 

 

 

 

お問合せ

 

 

 

ご質問やご相談など