はじめに
電子メールのセキュリティについてまとめてみた
プロトコル
- SMTP/pop3
- 認証なし
- SMTP AUTH
- 送信者のユーザー認証あり(ユーザー名とパスワード)
- POP3
- パスワードを平文で送る。POP3サーバーPCがメールを受信したらメールは消える。
- APOP
- パスワードを暗号化。あまり普及せず
- POP3S
- POP3に対するSSL対応
- IMAP4
- サーバー側でメールを保存
メール暗号化の3つのフロー
- 端末からメールサーバー
- smtps/starttls
- 主にsmtps?
- メールサーバーから相手のメールサーバー
- smtps/startls
- 主にstarttls?
- 相手のメールサーバーから相手の端末まで
- pops
starttls
STARTTLSは、サーバー間の通信(MTA間の通信)を暗号化します。
暗号化の方式は、SSL/TLS と一緒です。
telnet
telnet smtpサーバー ポート番号
電子メールのシステム構成
DMZに中継メールサーバがあり内部ネットワークに内部メールサーバーがある。外部から直接内部ネットワークのメールサーバーにアクセスさせないように中継させる
電子メールのヘッダ
Recievedの by が経由されたメールサーバー。最後にtoに届く
電子メールのセキュリティ
- メール全体
- S/MIME,SMTPS
- 認証メール
- SMTP AUTH
- 送信元の認証
- SPF
- スパムメール
- OP25B
- 受信のパスワード暗号化
- POP3S
SPF
受信メールサーバーが電子メールの送信元ドメインが詐称されていないかを検査するための仕組み
ドメイン保持者
- ドメインの保持者は自分のドメインでなりすましメールを送られるのが嫌
- なりすましを防ぐための技術の一つで、 DNSを利用するのが特徴。自分のドメインにSPFレコードを設定
- SPFレコードには、 そのドメイン名を送信元としてメールを送ってもよいサーバのIPアドレス等を記述
- SPFレコードのIPを自分のメールサーバーのIPだったり、そもそもメールサーバーを持ってなかったら
- IPアドレスを設定して自分以外は送れないようにする
-allは拒否。
受信サーバー
- SPFに対応したメール受信サーバは、 メールの受信時にそのメールの送信元となっているドメインのSPFレコードを、 DNSで問い合わせます。 送信元のサーバがSPFレコード中で許可されていない場合は、 送信ドメインの詐称が行われたと判断して、 受信を拒否するなどの処理を行います。
OP25B
ISP管理下の動的IPアドレスからの電子メールは管理外へのネットワークへのSMTPを禁止する。
同じISPのメールサーバへの送信ならOK。
サブミッションポート 587番
- 自分のISP以外のメールサーバーに送る場合は587番ポートを使用して必ず認証を強制すること。