中小企業の電子メール サーバーを保護する: DNSSEC から DMARC、DKIM、SPF まで
序章
中小企業の経営者として、メール サーバーを保護することは最優先事項です。 サイバー犯罪者は常に電子メール サーバーを標的にして、機密情報へのアクセス、マルウェアの配布、詐欺行為を行っています。 DNSSEC、DMARC、DKIM、および SPF を実装すると、電子メール サーバーを保護し、ビジネス コミュニケーションの整合性を維持するのに役立ちます。 この記事では、これらのセキュリティ対策を探り、SPF の誤検知を引き起こす可能性のあるダイレクト メール転送の落とし穴について説明します。
- DNSSEC: ドメイン ネーム システム セキュリティ拡張機能
DNSSEC は、ドメイン ネーム システム (DNS) に認証と整合性を提供する重要なセキュリティ プロトコルです。 DNS サーバーから受信する情報が本物で変更されていないことを保証します。 DNSSEC を実装することで、メール サーバーを DNS キャッシュ ポイズニングやその他の DNS ベースの攻撃から保護できます。
DNSSEC を有効にするには:
- ドメイン レジストラーに連絡して、ドメインの DNSSEC を有効にするよう依頼してください。
- 秘密鍵と公開鍵で構成される鍵ペアを生成します。
- ドメインの DS レコードを作成し、ドメイン レジストラーに送信します。
- DMARC: ドメインベースのメッセージ認証、レポート、および適合性
DMARC は、フィッシングやなりすましなどの不正使用からドメインを保護するのに役立つ電子メール認証プロトコルです。 送信者のドメインが SPF および DKIM レコードを公開していることを確認し、認証されていない電子メールの処理方法を受信サーバーに指示することによって機能します。
DMARC を実装するには:
- ドメインの SPF レコードを公開します。
- メール サーバーの DKIM 署名を設定します。
- ドメインの DNS 設定で DMARC ポリシー レコードを作成し、適用レベルとレポート オプションを指定します。
- DKIM: DomainKeys 識別メール
DKIM は、暗号署名を使用して電子メール メッセージの信頼性を検証する電子メール認証方法です。 送信メールに秘密鍵で署名することにより、メッセージがドメインから送信され、転送中に改ざんされていないことを証明できます。
DKIM を有効にするには:
- ドメインの DKIM キー ペアを生成します。
- ドメインの DNS レコードに公開鍵を TXT レコードとして追加します。
- 秘密鍵を使用して送信メッセージに署名するように電子メール サーバーを構成します。
- SPF: 送信者ポリシー フレームワーク
SPF は、ドメイン所有者が代理で電子メールを送信することを承認されている IP アドレスを指定できるようにする電子メール認証規格です。 これにより、ドメインがスパムやフィッシング キャンペーンで使用されるのを防ぐことができます。
SPF を実装するには:
- DNS 設定でドメインの SPF レコードを作成し、承認済みの IP アドレスを一覧表示します。
- 受信メッセージの SPF レコードを確認し、承認されていない送信者を拒否するようにメール サーバーを構成します。
- ダイレクト メール転送と SPF 誤検知の落とし穴
ダイレクト メールの転送により、SPF 誤検知が発生することがあります。 メールが転送されると、元の送信者の IP アドレスが保持されるため、受信サーバーは元の送信者の SPF レコードをチェックします。 転送サーバーの IP アドレスが元の送信者の SPF レコードで承認されていない場合、メールは失敗としてマークされることがあります。
この問題を回避するには:
- SRS (Sender Rewriting Scheme) をサポートするメール転送サービスを使用してリターン パスを書き換え、SPF チェックが正しく実行されるようにします。
- 制御できる場合は、転送サーバーの IP アドレスを元の送信者の SPF レコードに追加します。
結論
小規模企業の電子メール サーバーを保護することは、今日のデジタル環境において非常に重要です。 DNSSEC、DMARC、DKIM、および SPF を実装することで、電子メール セキュリティを大幅に改善し、ビジネスをサイバー脅威から保護できます。 ダイレクト メールの転送には注意し、SPF の誤検知を回避するために必要な手順を実行してください。 これらの対策を講じることで、メール通信を保護し、ビジネスの成長に集中することができます。
各セキュリティ プロトコルの実装に入る前に、その構文を理解することが不可欠です。 次の表に、DNSSEC、DMARC、DKIM、および SPF レコードのサンプル構文を示します。 これらは単なる例であり、プレースホルダーを実際のドメイン、IP アドレス、および公開鍵に置き換える必要があることに注意してください。 さらに、必要に応じて TTL (time-to-live) 値を調整する必要がある場合があります。 構文に慣れたら、ドメインの DNS レコードの構成を開始して、電子メール サーバーのセキュリティを強化できます。
セキュリティ プロトコル | サンプル構文 |
---|---|
DNSSEC | example.com. DS 12345 で 86400 8 2 0234567890ABCDEF1234567890ABCDEF1234567890 |
DMARC | _dmarc . example .com . 86400 IN TXT "v=DMARC1; p=reject; export=mailto:reports@example.com" |
DKIM | selector._domainkey.example.com. 86400 IN TXT "v=DKIM1; k=rsa; p=PUBLIC_KEY_HERE" |
SPF | example.com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" |
*これらはサンプル構文であり、プレースホルダーを実際のドメイン、IP アドレス、および公開鍵に置き換える必要があることに注意してください。 必要に応じて、TTL (time-to-live) 値を調整する必要がある場合もあります。
以下は、さまざまな DNS レコードとそのサンプル構文をリストした表です。 これらのレコードは、ドメインを Web サーバーや電子メール サーバーに向けたり、ドメインの所有権を確認したりするなど、さまざまな目的で使用されます。
DNS レコード タイプ | サンプル構文 | 目的 |
---|---|---|
A | example.com. 192.0.2.1 で 86400 | ドメインを IPv4 アドレスにマップする |
ああああ | example.com. 86400 IN ああああ 2001:0db8:85a3:0000:0000:8a2e:0370:7334 | ドメインを IPv6 アドレスにマップする |
CNAME | www.example.com. CNAME example.com で 86400。 | 別のドメインのエイリアスを作成します |
MX | example.com. 86400 IN MX 10 mail.example.com. | ドメインのメール サーバーを指定します |
TXT | example.com. 86400 IN TXT "v=spf1 mx a:mail.example.com ip4:192.0.2.1 -all" | さまざまな目的でテキストベースの情報を保存します |
SRV | _sip._tcp.example.com. 86400 IN SRV 0 5 5060 sipserver.example.com. | 利用可能なサービスに関する情報を提供します |
NS | example.com. 86400 IN NS ns1.example.com. | 特定のネームサーバーを使用するように DNS ゾーンを委任します |
PTR | 1.2.0.192.in-addr.arpa。 86400 IN PTR example.com. | IP アドレスをドメインにマップする (リバース DNS) |
SOA | example.com. 86400 IN SOA ns1.example.com. hostmaster.example.com. (シリアル、更新、再試行、期限切れ、最小) | DNS ゾーンに関する管理情報が含まれています |