メール通信の暗号化出来ていますか? SPF設定出来ていますか? dkim ??rblチェツク?

機関の発表では『情報漏洩に繋がりかねない「メール通信の暗号化」の設定が40%以上もの企業で設定されていない。また、「送信元ドメイン認証」の設定では、SPFチェック・DKIMチェックと合わせて80%以上の企業で対策が不十分』と発表されています.

参考:spf dkim 導入率

参考 JPドメイン名における送信ドメイン認証技術の設定状況の調査 

参考 日本データ通信『送信ドメイン認証技術「DMARC」によるなりすましメール対策とDMARCレポートの活用』

SPFの設定が可能な法人向けホスティングサーバをピックアップ

SPFの設定が可能な法人向けホスティングサーバ

SPFとは、ドメインの所有者はDNSサーバのSPFレコードまたはTXTレコードにメールサーバのIPアドレスを登録しておく仕組みです。受け取った側のサーバでは、送信ドメインを、公開されたDNSに問い合わせし確認し、正当性を確認します。SPFはホスティングサーバ内に予め設定が必要です。(共有送信サーバIPアドレスの登録ができるサーバもあります)

注意したいのは、SPFが手動設定のサーバ

注意したいのは、SPFが手動設定のサーバ
SPF設定『送信ドメイン認証を設定し・・・』共有送信サーバのIPアドレス追加可

ただ、SPFを設定していても、さくらインターネット(s)、BIZメール&ウェブビジネス、Webarina(s)では、暗号化送信に共有SMTPサーバを利用するため、まれにRBLチェックでメールをブロックされてしまうことがあります。

RBLチェックとは、不正中継、ブラックリスト(RBL)チェックのこと。詳細は前回の記事 

暗号化で利用される送信サーバが共有IPであると、共有IP内にスパム送信者があると影響を受けます。

受信先にホワイトリストとしてドメインを追加いただくようお願いいただくか、暗号化なしの送信方法で、送信を試むという方法が必要になります。

※さくらインターネット(s)は、グローバルIPアドレス共有のサーバのため、受信先にホワイトリスト追加を依頼してください。

参考 さくらブラックリストに登録された場合の対処方法

さくらインターネット(s)プランでは、送信サーバのグローバルIPアドレスを複数のドメインで共有しているため、同一共有送信サーバ内にスパム発信者がいるとブラックIPアドレスから送信されたメールとみなされ受信拒否されることがあります。

※webarina(s)、BIZメール&ウェブビジネスは、暗号化なし(POPとSMTPを割り当て固定固有のグローバルIPアドレスに変更し、送信ポートを587にし暗号化なしに変更することで、受信先でSPFチエックされ、問題が解決されます。(スパム発信者でない条件)

ゾーンの編集 SPFレコード エンベローブFrom情報 DNSサーバにSPFレコード を問い合わせ RBLデータベース グローバルIPアドレスの ブロックリストで監視 送信者の共有SMTPサーバの IPアドレスでブロック  SPFレコードに 登録された メールサーバのIPアドレス を元に 受信したメールの正当性を 検査する 共有SMTPサーバ利用では迷惑メール扱いになることがあります
spf チェック ホスティングサーバ内に予め設定が必要 藤塚にて代行設定承っています

1.SPFレコードの設定(手動設定のサーバはサーバコントロールパネルなどであらかじめ設定が必要)

2.相手先サーバ エンベローブFrom情報 DNSサーバにSPFレコードを問い合わせる

3.SPFレコードに登録されたメールサーバのIPアドレスを元に受信したメールの正当性を検査する

4.RBLデータベース グローバルIPアドレスのブロックリストで監視 送信者の共有SMTPサーバのIPアドレスで対象が存在すればブロックする

5.送信者側 共有SMTPサーバを利用している場合 同じ共有SMTPサーバを使用する利用者のなかに、スパムメール発信者がいれば、相手先環境において迷惑メール扱いとされることがある。この場合、SPFに送信メールサーバの記述をしていても、意味がない。

メモ:spfとともにDKIM DKIMとは、メールを送信する際に送信元が電子署名を行い、 受信者がそれを検証することで、 送信者のなりすましやメールの改ざんを検知する仕組み。送信者が秘密鍵をメールサーバに登録しておきます。VPSサービスでは可能としていますが、紹介ホスティングサービスでは利用できません VPSでは、WAF、UTMなどの設置ができるそうです。VPSは、設定には専門的な知識が必要。設定方法はレンタルサーバ提供会社側のサポートなしとのことでした。

参考 JPドメイン名における送信ドメイン認証技術の設定状況の調査 

参考 日本データ通信 記事

メールの暗号化を固有固定IPアドレスで行いたい場合は、グローバルIPアドレスを固有で固定で割り当ててくれるメールホスティングというものもあります。exam 大塚商会、webarinaメールホスティング

 

◆TLSのバージョンについても、感心が高まっています。TLS1.0、TLS1.1を使用不可にしたさくらインターネットやTLS1.3対応のKDDI NEWサーバも注目(個人的には、SSL費用含み、おすすめしたいサーバです)

参考になるサイト 

◆ホームページのHTTPS化 こちらも未導入なら検討を 詳しくはこちら

 

JIPDECの調査結果から全国平均と長野県情報をピックアップしてみました。 データは2018年06月からのものです。

1年経過し、どう変化したかも気になります。統計データは調査する対象の分母の選択がどうなのかという部分も気になります。

長野県の地方自治体の常時SSL化 47都道府県中41位

 

自社サーバの会社とホスティング利用の会社では出来ることも違ってきます。

大小、首都圏、地方関わらず、猛威に変わりはない・・・とも考えられます。

最低でもこのくらいのことはやっておきたい、ということもあります。

そもそもITセキュリティ意識の低い日本と言われます。

統計結果の空を見上げて思うことは、

お客様が可能なことを、

私に出来る範囲で、今日を手前に引き寄せて、実現していく積み重ねなのかなぁと思いました。

SPF確認方法

dig -t TXT <ドメイン>

nslookup -q=txt <ドメイン>

確認できるサイトも便利

 

2021/04 追記

法人向け ホスティングサービスの選択で検討したいこと

 

 

 

メディアメソッドへの問い合わせ 守秘義務ご誓約書提出します メディアメソッド 藤塚 佳苗  長野市三輪9-5-13 TEL:026-219-2557 Fax:026-219-2558

mmblog

Posted by fujitsuka