ヘルプ Digital Risk Analyzer アサーション メールセキュリティ
メールセキュリティ
使用している認証フレームワークに基づき、メールセキュリティ関連のアサーションは複数タイプ存在します。
- Sender Policy Framework (SPF)
- Domain-based Message Authentication Reporting and Conformance (DMARC)
- SMTP TLSレポーティング
- MTA STS DNSの存在
Sender Policy Framework (SPF)
SPFはフィッシング攻撃からドメインを保護するメール認証プロトコルです。これによりメールサーバーが自身のドメインからのメール送信を承認、そして受信サーバーでメールをスパムとしてマークすることを防止するか指定できます。
SPFレコードにはタームと呼ばれる単位により構成され、それはさらにメカニズム(all/include/a/mx/ptr/ip4/ip6/exists)とモディファイヤー(redirect、explanation)に分類されます。
v=spf1 include:_spf.example.com ~all
Domain-based Message Authentication Reporting and Conformance (DMARC)
DMARCはメール送信者と受信者をスパム、スプーフィング、フィッシング攻撃から保護するオープンなメール認証システムです。DMARCはドメイン所有者にDMARCポリシーを公開し、メール認証に失敗した際にどのようなアクションをするかを指定します。SPFとDomainKeys Identified Mail (DKIM)標準がメール認証に使用されています。
v=DMARC1; p=quarantine; rua=mailto:dmarc-feedback@example.com,mailto:tld-test@thirdparty.example.net; pct=25
タグ |
記号 |
必須項目 |
値の例 |
|
バージョン |
v |
✓ |
DMARC1 |
|
ポリシー |
p |
✓ |
none | quarantine | reject |
|
パーセンテージ |
pct |
0-100 100(デフォルト) |
|
|
データ収集のための レポーティングURI |
rua |
メールアドレス(コンマ区切り) |
|
|
失敗データのためのレポーティングURI |
ruf |
メールアドレス(コンマ区切り) |
|
|
失敗レポーティングオプション |
fo |
both - 0(デフォルト) any - 1 dkim - d spf -s |
|
|
SPFアラインメント |
aspf |
strict - s relaxed - r(デフォルト) |
|
|
ADKIMアラインメント |
adkim |
strict - s relaxed - r(デフォルト) |
|
|
レポートフォーマット |
rf |
afrF (Authentication Failure Reporting Format)(デフォルト) |
|
|
レポート間隔 |
ri |
>0(秒数) 86400(デフォルト) |
|
|
サブドメインポリシー |
sp |
none | quarantine | reject |
SMTP TLSレポーティング
SMTP TLSレポーティングは、メール受信システムへの接続中にサーバーで発生する可能背のあるセキュリティ問題を送信することができるレポートメカニズムです。
SMTPプロトコルはオープンなアーキテクチャであるため、SMTPサーバー間の接続はSMTP TLSダウングレード攻撃の対象となります。SMTP TLSレポートで、DNS-Based Authentication of Named Entities (DANE)や、Mail Transfer Agent Strict Transport Security (MTA-STS)といったセキュリティ標準でのTLS接続セキュリティを分析します。
v=TLSRPTv1;rua=mailto:reports@example.com
|
タグ |
記号 | 必須項目 | 値の例 |
|
バージョン |
version |
✓ |
TLSRPTv1 |
| データ収集のための レポーティングURI |
rua |
✓ |
メールアドレス(コンマ区切り) |
MTA STS DNSの存在
SMTP MTA Strict Transport Security (MTA-STS)はメールサービスプロバイダーTLSのセキュアなSMTP接続を受信し、信頼できるサーバー証明書を使用したTLSを使用していないMXホストへの配信を無効するか指定できます。MTA STSはDNSとHTTPSを使用して行います。
DNS
v=STSv1; id=20160831085700Z;
| タグ | システム | 必須項目 | 値の例 |
| バージョン | v | ✓ | STSv1 |
| ID | id | ✓ | 1*32 (ALPHA / DIGIT) |
HTTPS
mode: testing
mx: mx1.example.com
mx: mx2.example.com
mx: mx.backup-example.com
max_age: 1296000
| タグ | 記号 | 必須項目 | 値の例 |
|
バージョン |
version |
✓ |
STSv1 |
| モード | mode |
✓ |
enforce |
|
MX |
mx |
✓ |
mx: mail.example.com |
| 最大経過期間 |
max_age |
✓ |
<= 31557600 |