メール環境のセキュリティ
メール送受信にはいろいろとセキュリティ機能があります。
Gamilが「対応しないと受け取らなくする」とか言っているのは有名ですが、
Microsoft365(Exchange Online)利用時にはどれだけ対応できるのでしょう?
ここでテストしてみます。
IPv6,DNNSEC,DMARC,DKIM,SPF,TLS,DANE,RPKIについてチェックされます。
IPv6
mail server (MX)がIPv6アドレスを持つか。
これは、セキュリティではなくパフォーマンス面で影響が出るらしい。
Exchange Onlineのサーバーは非対応。
DNSSEC
現在インターネットはDNSが必須で、いくつかのセキュリティもDNSに依存してたりしますが
肝心のDNSがセキュアでなければいけない、ということでしょう。
アドレスのドメイン自体は既にDNSSEC対応済みですが
MXである「*.mail.protection.outlook.com 」がDNSSEC未対応です。
DKIM
DNSレコードを設定できる前提ですが、DKIMは対応済み。
設定をしておけば、ExchangeOnlineで送信したメールにはDKIM署名が付与される。
SPF,DMARC
SPF,DMARCは送信サーバー自体の機能ではなく、DNSレコードへの設定次第なので、適切に設定すれば問題なし。
TLS (STARTTLS)
STARTTLSでTLS接続に切り替えられるか、そのTLS接続はセキュアか?
これは問題なし。
さすがにこのご時世TLS接続出来ないのは手抜きが過ぎると思う
(実は、とある日本の大きな会社で非対応なのを見つけちゃってたりするけど)
DANE
Exchange Online のお客様は、送信メールのこの強化された電子メール セキュリティを構成するために何もする必要はありません。
この強化された電子メール セキュリティは、Microsoft が構築したものであり、すべての Exchange Online のお客様に対して既定でオンになり、
宛先ドメインが DANE のサポートをアドバタイズするときに使用されます。
DNSSEC と DANE チェックを使用してメールを送信する利点を得るために、
これらの標準を使用して電子メールを受信できるように、DNSSEC と DANE を実装する必要があるメールを交換するビジネス パートナーに連絡します。
送信する分には既に対応済み。
受信に関しては
現在、受信 SMTP DANE は Exchange Online ではサポートされていません。 近い将来、受信 SMTP DANE のサポートが提供される予定です。
DANEの動作にはMXのドメインがDNSSECに対応していることが前提なので、DNSSECが非対応ならもちろん非対応。
近い将来というのは今年らしい。
これ、試せるようになったらやってみたい。
2024年7月19日 追記:
やってみました
RPKI
これは詳しくないけど、ネットワークのルーティングに関して、誤った経路情報が検出できるように
認証するシステムらしい。
これNGでも手が出ないだろうけど。
## 終わりに
メールアドレスのドメインのDNSSEC対応があれば
Exchange Onlineでの対応は、おそらく今年中にこのテストで100%が取れるようになるんじゃないかな。