最終回 古くて新しい、電子メール暗号化対応とその手法
藤澤 英治
株式会社CSK Winテクノロジ
2008/2/1
それは正規のサーバからのメールか――送信ドメイン認証
送信ドメイン認証の技術には、送信者のIPアドレスからドメイン認証を行う技術と送信ドメインを電子署名で識別する技術があります。前者には「SPF(Sender Policy Framework)」と「Sender ID」、後者には「DKIM(Domain Keys Identified Mail)」があります。それぞれを簡単に紹介しましょう。
●SPF(Sender Policy Framework)
SPFは、SMTP通信中に使用されるエンベロープ情報により送信ドメインを特定します。上記に挙げたSender IDはResent-Sender:、Resent-From:、Sender:、From:などのヘッダ情報とエンベロープ情報により送信ドメインを特定します。どちらもRFC(Sender ID:4406、SPF:4408)に承認されている技術ですが、手軽に導入できる、大手キャリアが採用しているなどによりSPFの方が普及しているようです。IPアドレスからの送信ドメイン認証ということで簡単にSPFを紹介しましょう。
SPFによるドメイン認証を行うための前提は、DNSサーバにSPFリソースレコードを登録します。このSPFリソースレコードに対応していないDNSのためにTXTリソースレコードによる記述も可能です。送信する側の準備は、DNSへの最低1レコードの記述のみで完了します。
動作は、電子メールを受信したメールサーバが、送信者側のDNSからSPFリソースレコードに記述されたIPアドレスを取得し、実際に送信してきたメールサーバのIPアドレスと比較することにより同一であれば正規のメールとして受信をする技術です。
 |
| 図4 SPFによるドメイン認証 |
| 【関連記事】 送信ドメイン認証技術解説 Sender ID:送信者側の設定作業 http://www.atmarkit.co.jp/fsecurity/special/82senderid/sender101.html Sender ID:受信者側の設定作業 http://www.atmarkit.co.jp/fsecurity/special/87senderid/sender201.html Sender IDはスパム対策の切り札となるか!? http://www.atmarkit.co.jp/fsecurity/rensai/trend01/trend01.html |
●DKIM(Domain Keys Identified Mail)
DKIMは、2007年5月にIETFによりRFC4871として承認された、電子署名を利用した送信ドメイン認証技術です。電子メールを送信するときに電子署名を行い、受信者がその電子署名を照合することで送信者の正当性を検証します。SPF同様にDNSを利用し、DKKリソースレコードを記述することが前提となります。
 |
| 図5 DKIMによるドメイン認証 |
| 【関連記事】 送信ドメイン認証技術解説 電子署名方式の最新技術「DKIM」とは http://www.atmarkit.co.jp/fsecurity/special/89dkim/dkim01.html |
これから普及していくと思われる送信ドメイン認証技術ですが、欠点もあります。SPFではメールが転送された場合、IPアドレスが変わってしまうため認証に失敗します。これに対してDKIMは、IPアドレスは比較要素ではないため転送では問題が発生しませんが、メーリングリストなどで電子メールに変更が加えられると正しく認証をすることができません。
変わりゆくトレンドを常に追い続けよう
現在の電子メールセキュリティにおけるキーポイント「スパム/ウイルス対策」「アーカイブ」「暗号化」を駆け足で解説してきました。電子メールセキュリティについての基礎はこれでカバーできたかと思います。しかしトレンドがめまぐるしく変化する分野ですので、今後も最新情報に注意し、新たな脅威に備えるようにしましょう。
 |
3/3 |
| Index | |
| 古くて新しい、電子メール暗号化対応とその手法 | |
| Page1 電子メールの暗号化方式――手間をかけない方法の模索 ゲートウェイでの電子メール本体の暗号化 ゲートウェイでの添付ファイルの暗号化 ゲートウェイで電子メールをプール |
|
| Page2 なぜ電子メールの暗号化が普及していないのか そのメールは信頼できるか――レピュテーションシステム |
|
 |
Page3 それは正規のサーバからのメールか――送信ドメイン認証 変わりゆくトレンドを常に追い続けよう |
| Profile |
| 藤澤 英治(ふじさわ えいじ) 株式会社CSK Winテクノロジ Windows NT立ち上げ時よりメールシステムに関する製品、サーバ構築などに携わる。 現在はオープン系システムで使われるメールシステム全般に関するコンサルティングなど行っている。 |
 |
電子メールセキュリティの基礎知識 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
