Embedded Files
ここでは、メール配信サービスにおいて、送信者の電子証明書を付与する(S/MIME対応可能とする)ことの重要性についてまとめたい。
企業から、メールマガジンなどの形でメールを一斉配信する方法として、メール配信サービスを利用するケースが多い。商品紹介、新着情報のPR、顧客とのコミュニケーションツールとして、企業のマーケティング活動としては欠かせないものとなっている。メール配信サービスのセキュリティ対策としては、SPF/DKIM/DMARCという送信ドメイン認証を使っているケースが多い。このSPF/DKIM/DMARCをサポートしていることは、サービスとして提供している以上非常に重要であり、最低限対応すべきメールのセキュリティ対策と言える。半面、送信者が電子証明書を付与する(S/MIME対応する)ことを可能にしているメール配信サービスは、極めて限られている状況である。つまり、利用者がS/MIMEのクライアント認証(エンドツーエンドでの電子証明書)を行い、送信メールの真正性を示したいと思っても、メール配信サービスの制限で実現できないケースが非常に多い。
以上の点を踏まえて、ここでは、メール配信サービスにおけるS/MIME対応の重要性について検討する。
1. メール配信サービスにおけるSPF/DKIM/DMARC送信ドメイン認証の有効性
SPF/DKIM/DMARCの説明はここでは省くが、送信元メールアドレスの詐称を防止する手法である「送信ドメイン認証」である。これにより、受信者側では送信元メールアドレスが「なりすまされていない」ことを検証できる。Emotetをはじめとして、様々な攻撃の起点になる「なりすましメール」を排除するのに有効である。したがって、メール配信サービスがSPF/DKIM/DMARC送信ドメイン認証を行うことは、必須である。
しかしながら、SPF/DKIM/DMARCではなりすましメールの対策として不十分な点は以下のとおりである:
SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールと、その他の同じ企業から送信されたメールとの区別ができない。もし、SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールであることが受信者に明確になる方法があれば、そのメールはなりすまされていないということができるのであるが、これはできない。企業から送信されるメールは様々であり、なりすましでないメールとなりすましメールを区別することは、受信したメールを注意深く確認するしかない。
上記のポイントと重なるが、なりすましメールは迷惑メールフォルダーに移されるので、そこで区別ができるのではないかということが考えられる。SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールは、なりすましメールではないということで迷惑メールフォルダーに移動しないかもしれない。しかしながら、迷惑メールかどうかの判断は、スパム判定等を含めて様々な要因でフィルタリングされるため、SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールであっても迷惑メールフォルダーに移動されてしまう場合もある。したがって、迷惑メールフォルダーに移動させられたメールにも正しいメールが含まれるので、定期的に確認する必要がある。また、迷惑メールフォルダーに移動されないメールでも、SPF/DKIM/DMARCには引っかからないケースもある。たとえば、正しいドメインから送信された場合(もちろん、From:をしっかり見れば本来の送信者のドメインではないことはわかるのだが)には、迷惑メールフォルダーに移動されない場合がある。結局、SPF/DKIM/DMARC対応のメール配信サービスから送信されたかどうかにかかわらず、受信者が目で見て確認することが求められる。
DKIMの証明書は、基本的に第三者機関による本人証明(本ドメイン証明)をしない。攻撃者がなりすましではなく、独自のドメインでDKIM対応のメールサーバ/DNSサーバを構築した場合、そこから送信されたメールは受信側で正しく認証される。
言うまでもないことだが、受信者側がSPF/DKIM/DMARCをサポートしていない場合には機能しない。SPF/DKIM/DMARCの対応状況については、2018年のデータになるが、企業等でSPFを設定しているのは59.7%、DMARCを設定しているのは1.0%とのことで、あまり普及が進んでいないようである。(引用:https://www.jipdec.or.jp/news/news/20181211.html)SPF/DKIM/DMARCは、送信側と受信側の双方でサポートしている必要があるので、なかなか心もとない状況である。
2. メール配信サービスにおけるS/MIME対応の重要性
それでは、ここでメール配信サービスにおいてもS/MIME対応が必要であることについて記述する。まず最初に述べたいのは、SPF/DKIM/DMARCとS/MIMEは排他的なものではなく、共存できるということである。したがって、両方とも利用を検討すべきものである。
メール配信サービスがS/MIME対応することで、利用者は電子証明書付きのメールを配信できる。そうすると、受信者側は、その電子証明書を確認することで、なりすましメールでないことを判断できる。SPF/DKIM/DMARCだけでは、受信したメールそのものを見て判断することはできないが、S/MIME対応であれば受信したメールに付与されている電子証明書で判断することが可能になる。このあたりのS/MIMEの有効性については、「エモテット(Emotet)対策としてのS/MIMEの有効性」に詳しく書いているので参照していただきたい。
メール配信サービスにおいてS/MIME対応するというのは、あくまで、利用者側で電子証明書を入手し、それを、メール配信サービスを使ったメールの送信時に送信メールに付与することである。したがって、メール配信サービスの提供者側で何かすべきことではない。では、なぜ、これがあまりサポートされていないかというと、メール配信サービス側で電子証明書を付与したメールを送信することを許可しないケースが多いからである。考えられる理由は、以下の点である:
メール配信サービス側で、利用者のメールを配信する際に送信元(From:)アドレスを変更している。そうすると、送信者のメールアドレスとメール配信サービスが送信するメールの送信者のアドレスが異なることになり、電子証明書が無効になってしまう。
メール配信サービスの利用者が電子証明書付きでメールを送信した時に、メール配信サービス側でメールの内容を変更してしまう。たとえば、メールにフッター情報を追加してしまうなどである。そうすると、受信者のメールソフトは、電子証明書が付与された後にメールそのものに書き換えが発生していると判断し、完全性が損なわれていると判断してしまう。
しかしながら、実際にS/MIME対応しているメール配信サービスが存在しているので、このあたりの問題をクリアーすることはさほど問題ではないと思われる。
3. S/MIME対応をサポートしているメール配信サービス
ここでは、メール配信システムの中でS/MIMEに対応しているものを記載する。あくまでウエブを検索して見つけたものであり、ここに上げたリスト以外でもS/MIMEに対応しているメール配信システムがある可能性がある。また、ここに記載された情報に誤り、あるいは、システムそのものが更新されている可能性もあるので、実際にメール配信システムを検討される場合には事前に確認が必要である。なお、これ以外にS/MIME対応が可能なメール配信サービスをご存じの方は、ご一報いただきたい。その情報に基づいて本ページを適宜更新していく予定である。
l WEBCAS e-mail
https://webcas.azia.jp/email/feature/smime/
l Cuenote FC ASPサービス
https://www.cuenote.jp/fc/capability/smime.html
l HENNGE Customers Mail Cloud クラウド型メール配信サービス
https://smtps.jp/docs/userguide/auth/smime/index.html?fbclid=IwAR2xHRst0EVtr0WGgWW_i0g82ZGBCUZ8pE8pcp14kTHUIyhzgGAwedsG4UQ
現在利用しているメール配信サービスではS/MIMEに対応していないということで、S/MIME化をあきらめているケースも多いかと思う。しかしながら、ここは、メール配信サービスそのものを他社に乗り換えてでもS/MIME化を行うという英断を下していただきたい。乗り換えには、多くの労力を必要とするかもしれないが、メールに真正性の文化を築くという大きな目標を掲げて、ぜひ取り組んでいただきたい。
以上
Page updated
Google Sites
Report abuse