MTA-STS(Mail Transfer Agent-Strict Transport Security)は、メールサービスプロバイダがSMTP接続を保護するためにTLS(Transport Layer Security)を実施し、送信側SMTPサーバが信頼性の高いサーバ証明書でTLSを提供していないMXホストへのメール配信を拒否するかどうかを指定することができる新しい規格です。TLSダウングレード攻撃やMITM(Man-In-The-Middle)攻撃 を軽減することができることが証明されています。

MTA-STSは、簡単に言えば、SMTPメールサーバ間の接続を保護するインターネット標準です。SMTPの最も顕著な問題点は、暗号化が完全にオプションであり、メール転送中に強制されないことです。そのため、SMTPでは、平文から暗号化にアップグレードするためにSTARTTLSコマンドを採用しました。これは、パッシブな攻撃を軽減するための貴重な一歩でしたが、アクティブなネットワークを経由した攻撃やMITM攻撃への対策はまだ残っていました。

したがって、MTA-STSが解決している問題は、SMTPがオポチュニスティックな暗号化を利用していることです。つまり、暗号化された通信チャネルが確立できない場合、接続は平文に戻り、MITM攻撃やダウングレード攻撃を抑えることができます。

TLSダウングレード攻撃とは何ですか?

すでにご存じのように、SMTPには暗号化プロトコルが搭載されておらず、既存のプロトコルのセキュリティを強化するために、後からSTARTTLSコマンドを追加して暗号化を行う必要がありました。クライアントが暗号化(TLS)をサポートしている場合は、STARTTLS動詞を理解し、電子メールを送信する前にTLS交換を開始して、電子メールが確実に暗号化されるようにします。クライアントがTLSを知らない場合は、STARTTLSコマンドを単に無視して、平文でメールを送信します。

そのため、暗号化をSMTPプロトコルに組み込む必要があったため、暗号化配信のためのアップグレードは、平文で送信されるSTARTTLSコマンドに頼らざるを得ませんでした。MITM攻撃者は、アップグレードコマンドを改ざんすることでSMTP接続のダウングレード攻撃を行い、この機能を容易に利用することができます。攻撃者は、STARTTLSを、クライアントが識別できないゴミのような文字列に置き換えるだけです。そのため、クライアントは容易に平文でのメール送信に戻ってしまいます。

攻撃者は通常、コマンドを捨ててしまうのではなく、同じ文字数を含むガベージストリングに置き換えます。これは、パケットサイズが保持されるため、容易になるからです。optionコマンドのガベージストリングに含まれる8文字によって、サイバー犯罪者によってTLSダウングレード攻撃が実行されたことを検知・特定し、その普及状況を測定することができます。

つまり、ダウングレード攻撃は、MITM攻撃の一環として行われることが多く、最新バージョンのTLSプロトコルで暗号化された接続の場合には不可能な暗号攻撃を可能にする経路を作るために、STARTTLSコマンドを置き換えたり削除したりして、通信を平文に戻すというものです。

クライアントからサーバへの通信にTLSを強制することは可能ですが、そのような接続では、アプリとサーバがTLSをサポートしていることがわかっています。しかし、サーバー間の通信では、レガシーサーバーからのメール送信を可能にするために、フェイルオープンを行わなければなりません。問題の本質は、相手側のサーバがTLSをサポートしているかどうかがわからないことです。MTA-STSでは、サーバがTLSをサポートしていることを示すことができるので、アップグレード交渉が行われなかった場合、フェイルクローズ(メールを送信しない)することができ、TLSダウングレード攻撃ができなくなります。

TLSレポート

MTA-STSはどのようにして救済されるのか?

MTA-STSは、EXOやExchange Onlineのメールセキュリティを高めることで機能し、SMTPセキュリティのさまざまな欠点や問題を解決する究極のソリューションです。MTA-STSは、セキュアなプロトコルのサポートがない、TLS証明書の有効期限が切れている、信頼できる第三者が発行していない証明書 があるなど、SMTPセキュリティの問題を解決します。

メールサーバーが電子メールの送信を進めていくと、SMTP接続はダウングレード攻撃やMITMなどの暗号攻撃に対して脆弱になります。ダウングレード攻撃は、STARTTLSレスポンスを削除することで、メッセージを平文で配信することができます。同様に、MITM攻撃は、安全でない接続を介してサーバー侵入者にメッセージをリダイレクトすることでも行われます。MTA-STSでは、お客様のドメインで、暗号化されたTLSでのメール送信を義務化するポリシーを公開することができます。何らかの理由で受信サーバーがSTARTTLSをサポートしていないことが判明した場合、メールは一切送信されません。これにより、TLSダウングレード攻撃を仕掛けることができなくなります。

最近では、大多数のメールサービスプロバイダーがMTA-STSを採用しています。これにより、サーバー間の接続がより安全になり、最新バージョンのTLSプロトコルで暗号化されるため、TLSダウングレード攻撃を緩和し、サーバー通信の抜け道をなくすことに成功しています。

PowerDMARCは、スピーディで簡単なMTA-STSホスティングサービスを提供します。これは、有効な証明書を備えたHTTPS対応のウェブサーバー、DNSレコード、常時メンテナンスなど、MTA-STSが導入時および導入後に必要とするすべての仕様を管理することで、お客様の生活をより快適にするものです。PowerDMARCはこれらすべてをバックグラウンドで完全に管理しますので、セットアップのお手伝いをした後は、お客様は二度と考える必要はありません。

PowerDMARCを使えば、手間をかけずにスピーディにホスト型MTA-STSを組織に導入することができます。このMTA-STSを使えば、TLS暗号化された接続でドメインにメールを送信するように強制することができ、接続を安全にしてTLSダウングレード攻撃を抑えることができます。

 

SMTP(Simple Mail Transfer Protocol)サーバー間の接続のセキュリティを向上させるインターネット標準として、SMTP Mail Transfer Agent-Strict Transport Security(MTA-STS)が広く知られています。

1982年に初めて規格化されたSMTPには、メール転送エージェント間の通信を保護するトランスポートレベルのセキュリティを提供する仕組みはありませんでした。しかし、1999年にSMTPにSTARTTLSコマンドが追加され、サーバー間の電子メールの暗号化をサポートするようになり、非セキュアな接続をTLSプロトコルで暗号化されたセキュアな接続に変換する機能が提供されました。

では、SMTPがSTARTTLSを採用してサーバー間の安全な接続を実現したのなら、なぜMTA-STSへの移行が必要だったのか、気になりますよね。という疑問をお持ちの方もいらっしゃると思いますが、それは次のセクションでご紹介します。

MTA-STSへの移行の必要性

STARTTLSは完璧ではなく、2つの大きな問題に対処できませんでした。1つ目は、オプションの対策であるため、STARTTLSはMITM(man-in-the-middle)攻撃を防ぐことができません。これは、MITM攻撃者が簡単に接続を変更して、暗号化の更新が行われないようにすることができるからです。2つ目の問題点は、STARTTLSが実装されていたとしても、SMTPメールサーバーは証明書を検証しないため、送信サーバーのアイデンティティを認証する方法がないことです。

現在、ほとんどの送信メールは、消費者向けメールでも採用されている業界標準のTLS(Transport Layer Security)暗号化で保護されていますが、攻撃者は、メールが暗号化される前であっても、メールを妨害したり改ざんしたりすることができます。メールを安全な回線で転送した場合、サイバー攻撃者によってデータが漏洩したり、修正・改ざんされたりする可能性があります。ここでMTA-STSが登場してこの問題を解決し、メールの安全な転送を保証するとともに、MITM攻撃をうまく軽減します。さらに、MTAがMTA-STSのポリシーファイルを保存することで、攻撃者がDNSスプーフィング攻撃を行うことがより困難になります。

MTA-STSが提供するのは、...に対する保護です。

  • ダウングレード・アタック
  • MITM(Man-In-The-Middle)攻撃
  • 期限切れのTLS証明書やセキュアなプロトコルのサポート不足など、複数のSMTPセキュリティ問題を解決します。

MTA-STSはどのように機能するのですか?

MTA-STSプロトコルは、メールサーバが特定のサブドメインからポリシーファイルを取得できることを指定するDNSレコードを持つことで展開されます。このポリシーファイルは、受信者のメールサーバの名前のリストとともに、HTTPS経由で取得され、証明書で認証されます。MTA-STSの実装は、メールサーバのソフトウェアでサポートされている必要があるため、送信側に比べて受信側で容易に行うことができます。PostFixなど一部のメールサーバはMTA-STSをサポートしていますが、すべてのメールサーバがサポートしているわけではありません。

ホスト MTA STS

Microsoft、Oath、Googleなどの主要なメールサービスプロバイダーは、MTA-STSをサポートしています。GoogleのGmailは、最近ではすでにMTA-STSのポリシーを採用しています。MTA-STSは、サポートされているメールサーバにおいて、接続を確保するプロセスを容易にし、アクセスしやすくすることで、メール接続セキュリティの欠点を解消しました。

ユーザーからメールサーバーへの接続は、通常、TLSプロトコルで保護・暗号化されていますが、MTA-STSが導入される以前は、メールサーバー間の接続にはセキュリティが欠けていました。昨今のメールセキュリティに対する意識の高まりや、世界中の主要なメールプロバイダーのサポートにより、近い将来、サーバー接続の大半が暗号化されると予想されています。さらに、MTA-STSは、ネットワーク上のサイバー犯罪者が電子メールの内容を読み取ることができないことを効果的に保証します。

PowerDMARCによるホスト型MTA-STSサービスの容易でスピーディな展開

MTA-STSには、有効な証明書を持つHTTPS対応のウェブサーバー、DNSレコード、および常時メンテナンスが必要です。PowerDMARCは、これらすべてをバックグラウンドで処理することにより、お客様の生活をより快適にします。PowerDMARCは、お客様に代わってこれらすべてをバックグラウンドで処理します。

PowerDMARCを使えば、手間をかけずにスピーディにホスト型MTA-STSを組織に導入することができます。これにより、TLS暗号化された接続でドメインにメールを送信するように強制することができ、接続を安全にしてMITM攻撃を防ぐことができます。

 

 

フィッシング攻撃、電子メールやドメインの偽装攻撃、BECなど、サイバー犯罪者による詐欺行為が急増している中、セキュリティを強化し、電子メールを保護することは、常に良いアイデアです。メールの受信者は、サイバー攻撃の増加により、受信箱に届くメッセージをますます疑うようになっています。解決策は?それは、BIMIの導入を含む、充実したメールセキュリティスイートです。

米国のセキュリティ専門家が行った最近の調査によると、米国市民の60%が、パンデミック後に身近な人がサイバー詐欺の被害に遭ったことがある、または被害に遭った人を知っていると答えています。そのため、企業は電子メールをさらに保護するために、BIMI(Brand Indicators for Message Identification)のような新しい規格を導入する必要があります。BIMIは、消費者の信頼を次のレベルに引き上げることを約束します。

BIMIとは?

BIMIとは、Brand Indicators for Message Identification(メッセージ識別のためのブランド指標)の略で、あなたが許可したすべてのメールにあなたのブランドロゴを貼付するという、新しく形成されたメール認証の規格です。これは非常に小さなステップに感じるかもしれませんが、視覚的な検証により、受信者があなたのビジネスメールドメインから送信されたメールを認識し、信頼することで、実際にあなたのブランドの信頼性を高めることができます。

SPFDKIMの認証規格を利用したDMARCがすでに組織内に実装されている場合、BIMIは必要ないのではないかと思われるかもしれません。ここでは、インバウンドメールを認証するために、これらの規格がどのように機能するかを簡単に説明します。

  • SPFは、SPFレコードに記載されているお客様のメールドメインからのメール送信を許可されているメールサーバーを特定するために、お客様のメールを認証します。
  • DKIMは、電子メールにデジタル署名を付加して認証を行うもので、受信者は、特定のドメインから来たと主張する電子メールが、本当にそのドメインの所有者によって承認されたものかどうかを確認することができます。
  • DMARCは、SPFとDKIMのメール認証に失敗したメールへの対応方法を受信機プロバイダーに指定する。
  •  BIMIは、従業員やパートナー、顧客に送るメールにブランドのロゴを貼り付け、許可された送信元からのメールであることをすぐに識別できるようにします。

したがって、上記の議論から明らかなように、すべての電子メール認証プロトコルの中で、BIMIは視覚的識別の範囲を提供する唯一の規格であり、電子メール受信者に電子メールの送信元を識別し、その信憑性を認識するための視覚的な手掛かりを提供しています。

PowerDMARCロゴモバイル

BIMIの導入-簡単なガイド

BIMIは新興の認証規格であり、現在も進化を続けていますが、まだ比較的新しい認証規格です。現在のところ、正式に採用されているのはYahoo!メールのみです。このため、BIMIは、サポートされているメールクライアントでのみ動作するため、ブランドロゴの表示を保証するものではありません。BIMIを導入する前には、以下のようないくつかの必須ステップを踏む必要があります。

  • お客様の組織でBIMIを実施するためには、お客様のドメインが、ポリシーレベルの実施(拒否または隔離)でDMARC認証されている必要があります。
  • どこからでもアクセスできるように SVGどこからでもアクセスできるように、BIMI要件に従ってブランドロゴのファイルを作成し、サーバーにアップロードする必要があります。
  • BIMIレコードは、DMARCレコードと同様に、基本的にセミコロンで区切られた複数のタグからなる文字列です。
  • この新しいBIMIレコードを公開するには、自分のドメインのDNSにアクセスする必要があります。
  • BIMIレコードがDNSで公開された後に、その有効性を確認することは、むしろ有用な方法です。

BIMIを導入することで、ビジネスにどのようなメリットがあるのでしょうか?

BIMIは、メール受信者が受信箱の中であなたのブランドを認識し、信頼するために視覚的な識別を行うメール認証プロトコルです。これにより、お客様やパートナーからの配信停止を防ぎ、スパムメールへの苦情を抑えることができ、結果的にメールの配信能力の向上につながります。

BIMIを使用しない場合、メールクライアントはブランドのイニシャルを含む一般的なプレースホルダーロゴを表示します。そのため、受信者は、ブランド名を頼りにしないとブランドを認識することができません。しかし、BIMIが導入されていれば、メールメッセージの横にブランドロゴが表示され、ブランドの認知度を高めることができます。

さらに、受信者が自分を装ったサイバー犯罪者に警戒心を抱くようになるため、ドメイン偽装攻撃やフィッシング攻撃、その他のなりすまし行為に対するメールセキュリティを強化することができます。

さらに、BIMIでは自分のブランドを売り込むことができます。そう、あなたは正しいことを聞いたのです。受信者は時間に余裕がなく、件名をクリックするほどの説得力がない場合もあります。しかし、受信者は、送信者アドレス、件名、プレヘッダーのテキストと貴社のロゴを結びつけることで、貴社のブランドをさらに高めることができるのです。

最後に、BIMIの導入は、メールの配信率にも非常に良い影響を与えます。BIMIをサポートしているメールボックスプロバイダーでは、BIMIによってメールの認証レイヤーが追加されるため、より迅速にメールを配信できる可能性が高くなります。さらに、メール受信者は、表示されたロゴによって、貴社のブランドを視覚的に認識することができ、スパムと判断される可能性が低くなります。

PowerBIMIでBIMI導入プロセスを楽にする

PowerBIMIでは、BIMIレコードの発行を非常にスピーディーかつシンプルに行うことができます。SVG画像をアップロードするだけで、当社が安全にホストし、即座にDNSレコードを提供しますので、あなたのDNSで公開することができます。画像のホスティングと安全性の確保の手間を省くことができます。

PowerBIMIを使えば、DNSレコードを再度更新することなく、いつでも画像の更新、削除、変更が可能です。PowerBIMIは、ロゴをアップロードしてBIMI認証に移行するための、非常にスピーディで簡単なワンクリック実装手順を提供しており、無料のBIMIレコードにサインアップした後に、メールセキュリティスイートの一部として追加することができます。

世界中の買い物客は、ブラックフライデーのお買い得品を手に入れるために、特に米国では感謝祭までの数日間を熱心に待っています。世界中の主要な小売店やEコマース・プラットフォームは、様々な商品を取り扱っていますが、ブラックフライデー・セールを開催し、多くの顧客に商品を大幅に値引きして提供します。

しかし、これらの組織が大儲けする時期である一方で、サイバー犯罪者が最も活発になる時期でもあります世界中の研究者は、ブラックフライデーに向けて、なりすましやフィッシングの攻撃が急増すると結論づけています。このようななりすましの被害からオンラインショッピングの利用者を守るためには、職場のセキュリティポリシーにDMARCを導入することが不可欠です。

なりすまし攻撃-ブラックフライデーにおける脅威の状況を探る

なりすましとは、本質的にはなりすまし攻撃のことで、有名なブランドや組織を巻き込もうとする、より高度な試みです。なりすまし攻撃は、さまざまな方法で行われます。サイバー犯罪者は、なりすまし攻撃の一環として、IPアドレス、ドメインネームシステム(DNS)サーバー、アドレス解決プロトコル(ARP)サービスなど、組織のネットワークのより技術的な要素を標的にすることがあります。

調査によると、毎年、ブラックフライデーに向けて、なりすましや偽装の被害が急増していますが、2020年時点で、主要なオンライン小売店やEコマースプラットフォームの65%は、DMARCの記録を公開していません。

結果はどうなるのかな?

サイバー犯罪者がドメイン名を偽装する際の主な目的は、フィッシングリンクを含む不正なメールを送信することです。攻撃者は、カスタマーサポートを装って、ブラックフライデーに信じられないようなオファーや割引クーポンを提供するという空虚な約束をして、貴社ブランドの尊敬する顧客層をおびき寄せようとします。何年も貴社のプラットフォームで買い物をしていて、貴社を信頼している脆弱な顧客は、メールを開いてオファーを利用しようとは考えないでしょう。

この手口を使って、攻撃者はランサムウェアやマルウェアを拡散したり、金銭の授受を扇動したり、消費者から機密情報を盗み出そうとしたりします。

最終的には、企業が法的な問題に直面したり、評判が落ちたり、顧客の信頼を失ったりする可能性があります。このような理由から、今年のブラックフライデーに急増するなりすまし攻撃から自社のブランドを守る方法について学んでおくことが賢明です。

DMARCでなりすまし攻撃からビジネスを守る

消費者がサイバー犯罪者の変化する傾向や戦術を把握していると期待するのは不自然です。だからこそ、今年のブラックフライデーに攻撃者が自社のドメイン名を使って悪質な活動を行うのを防ぐために、積極的に必要な対策をとるべきです。

それを確実にするための最善かつ最も簡単な方法は?最先端のDMARCベースの電子メール認証ツールを、すぐに組織に導入しましょう!そのメリットをカウントダウンしてみましょう。

AIを活用したメール認証

SPFDKIMのメール認証技術を利用して、なりすましメールが受信箱に入る前にブロックするDMARCアナライザーツールを使えば、攻撃者がメールヘッダーを偽造して顧客にフィッシングメールを送りつけるのを阻止することができます。

DMARCレコードを公開することで、すべての送信元を検証し、必要に応じてDMARCポリシー(なし、隔離、拒否)を最適化することで、メールチャネルを完全にコントロールすることができます。

DMARCレポートとモニタリング

PowerDMARCのようなDMARCベースの認証・報告ツールは、DMARCが提供する機能を拡張し、メールの配信率に影響を与えることなく、なりすましやフィッシング行為をリアルタイムで報告・監視する機能を備えています。脅威のマッピングにより、IPアドレスを悪用している者の地理的な位置を把握し、ドメインの悪用の履歴に関するレポートを含め、ボタンをクリックするだけでブラックリストに登録することができます。

これにより、ブランドのメールドメインを十分に可視化できるだけでなく、なりすましの試みを監視し、サイバー犯罪者の変化する戦術を常に把握することができます。メールレポートを監視することで、どのメールがDMARCに合格したのか、失敗したのか、あるいは一致しなかったのか、どの段階で問題が発生したのかを確認し、問題の根源を究明して対策を講じることができます。包括的で読みやすい同レポートでは、SPF検証からDKIMレコードまで、細部まで確認でき、DMARC認証に失敗したすべてのIPがハイライトされます。

DNSルックアップの上限を超えないために

お客様の会社には様々なサードパーティベンダーが存在するため、SPFが提供する10件のDNSルックアップ制限を下回ることが困難な場合があります。制限を超えてしまうと、SPFは失敗してしまい、せっかくの実装が無駄になってしまいます。しかし、PowerSPFにアップグレードすることで、10件のDNSルックアップ制限を超えることなく、SPFレコードから送信者を追加/削除することができるようになり、ルックアップ制限を抑えることができます。

BIMIでブランド想起を高める

あなたのメールドメインに第二の認証と信頼性を提供するために、ホストされた ホストされたBIMIレコード.BIMI(Brand Indicators for Message Identification)は、ブラックフライデーを前に急増したなりすまし攻撃を鎮めるために、まさに必要な規格です。この規格では、顧客ベースに送信するすべてのメールにあなたの独占的なブランドロゴを貼り付け、それがなりすましではなくあなたであることを知らせます。

  • BIMIは、メールが本物であることを視覚的に確認することで、顧客のブランド想起を高め、ブランドイメージを強化します。
  • ブランドの信頼性・信用性が高まる
  • メールの配信能力が向上します

このブラックフライデーに、PowerDMARCを使って組織のセキュリティスーツをアップグレードし、ドメインの不正使用からブランドを守りましょう。今すぐデモを予約するか、DMARCの無料トライアルにお申し込みください。

さて、あなたは自分のドメインにDMARCを設定するためのすべてのプロセスを終えたところです。SPF、DKIM、DMARCレコードを公開し、すべてのレポートを分析し、配信の問題を修正し、施行レベルをp=noneからquarantine、そして最終的にrejectに引き上げました。これで公式に100% DMARCが施行されたことになります。おめでとうございます。これで、あなたのメールだけが人々の受信箱に届きます。誰もあなたのブランドになりすますことはないでしょう。

これで完了ですね。あなたのドメインは保護され、あなたのメールが安全であることを知って、私たちは満足して家に帰ることができます。そうですよね...?

そうではない。DMARCは、運動やダイエットのようなものだ。しばらくやっていると、体重が減り、腹筋が鍛えられ、すべてがうまくいく。しかし、それをやめてしまうと、せっかくの効果が徐々に薄れてしまい、なりすましの危険性が再び出てきてしまいます。でも、焦らないでください。食事や運動と同じように、体調を整えること(つまり100%の運動量にすること)が一番難しいのです。それができれば、あとは同じレベルを維持するだけですから、はるかに簡単です。

さて、例え話はこれくらいにして、本題に入りましょう。ドメインにDMARCを導入して施行したところで、次のステップは何でしょうか?ドメインとメールチャネルの安全性を維持するにはどうすればよいのでしょうか?

DMARCエンフォースメントを達成した後にすべきこと

メールセキュリティを100%強化しても終わりではない理由の第一は、攻撃パターン、フィッシング詐欺、送信元が常に変化することです。メール詐欺で人気のあるトレンドは、2、3カ月も続かないことがよくあります。2018年に発生したランサムウェア「WannaCry」の攻撃や、最近では2020年初頭に発生したWHOコロナウイルスのフィッシング詐欺を思い浮かべてみてください。今ではそのようなものはあまり見られませんよね?

サイバー犯罪者は常に戦術を変え、悪意のある送信元は常に変化し、増殖していますが、あなたにできることはあまりありません。しかし、あなたにできることは、あなたのブランドに襲いかかる可能性のあるあらゆるサイバー攻撃に備えることです。そのためには、DMARCの監視と可視化が必要です。

導入した後も、メールチャネルを完全にコントロールする必要があります。つまり、どのIPアドレスが自社ドメインを経由してメールを送信しているのか、メール配信や認証で問題が発生している場所はどこなのかを把握し、なりすましの可能性やフィッシングキャンペーンを行う悪意のあるサーバーを特定して対応する必要があります。ドメインを監視すればするほど、ドメインをより深く理解することができます。その結果、メール、データ、ブランドをより安全に保護することができるようになるのです。

DMARCモニタリングが重要な理由

新しいメールソースの発見
メールチャネルを監視する際には、すべてがうまくいっているかどうかをチェックするだけではありません。お客様のドメインからメールを送信している新しいIPを探すことになります。お客様の組織では、パートナーやサードパーティのベンダーが頻繁に変更されることがありますが、その場合、そのIPがお客様に代わってメールを送信する権限を持つようになるかもしれません。その新しい送信元は、新しいベンダーの一つなのか、それともブランドを偽装しようとしている人なのか?定期的にレポートを分析していれば、明確な答えが得られるでしょう。

PowerDMARCでは、ドメインのすべての送信元に応じたDMARCレポートを表示することができます。

ドメイン不正利用の新しいトレンドを理解する
先に述べたように、攻撃者はブランドになりすまし、人々を騙してデータや金銭を提供させる新しい方法を常に見つけています。しかし、数ヶ月に一度しかDMARCレポートを見ないのであれば、なりすましの兆候に気づくことはないでしょう。ドメイン内のメールトラフィックを定期的に監視していなければ、不審な活動の傾向やパターンに気づくことができず、なりすまし攻撃を受けても、メールの標的となった人たちと同じように何もわからないままになってしまいます。これは、ブランドにとって決して良いことではありません。

悪質なIPを見つけてブラックリストに登録
ドメインを悪用しようとしている人物を見つけるだけでは不十分で、早急にシャットダウンする必要があります。送信元を把握していれば、問題のあるIPを特定するのははるかに簡単です。発見したら、そのIPをホスティングプロバイダーに報告し、ブラックリストに登録してもらいます。このようにして、特定の脅威を永久に排除し、なりすまし攻撃を回避することができます。

Power Take Down」では、悪意のあるIPの位置や不正使用の履歴を見つけ出し、それらを削除させることができます。

配信性のコントロール
メールの配信率に影響を与えずにDMARCを100%実施することに成功したとしても、常に高い配信能力を確保し続けることが重要です。結局のところ、メールが目的地に届かないのであれば、せっかくのメールセキュリティも意味がありません。メールレポートを監視することで、どのメールがDMARCを通過したのか、失敗したのか、あるいは一致しなかったのかを確認し、問題の原因を発見することができます。モニタリングなしでは、問題を解決することはおろか、メールが配信されているかどうかを知ることもできません。

PowerDMARCでは、DMARCのステータスに基づいてレポートを表示するオプションがあり、どのレポートが通過しなかったかを即座に特定することができます。

 

私たちの最先端のプラットフォームは、24×7のドメイン監視を提供し、さらにはセキュリティ侵害を管理する専任のセキュリティ対応チームを提供します。PowerDMARCの延長サポートについてはこちらをご覧ください。

なぜDKIMが必要なのですか?SPFでは不十分なのでしょうか?

リモートワークでは、特にフィッシングやサイバー攻撃の数が増えています。フィッシング攻撃は、無視できない最悪のものがほとんどです。仕事上の電子メールの送受信量が増えても、職場でのチャットやインスタントメッセージングアプリが増えても、オフィスで働く多くの人にとって、社内外のビジネスコミュニケーションは依然として電子メールが主流です。

しかし、マルウェアやエクスプロイトをネットワークや認証情報に忍び込ませ、センシティブなデータを明らかにするというサイバー攻撃の入り口として、通常、メールが最もよく使われていることは周知の事実です。SophosLabs社が2020年9月に発表したデータによると、スパムトラップに引っかかった悪質なスパムのうち、 97%が認証情報などを狙うフィッシングメールだっ たという。

このうち、残りの3%は、悪意のあるウェブサイトへのリンクや、罠を仕掛けた添付ファイルを含んだメッセージが混在し ていました。これらは主に、バックドア、リモートアクセス・トロイの木馬(RAT)、情報窃盗、エクスプロイトをインストールしたり、その他の悪意のあるファイルをダウンロードしたりすることを目的としていました。

発信元が何であれ、攻撃者にとってフィッシングは、最終的な目的が何であれ、恐ろしく効果的な戦術であることに変わりはない。組織は、電子メールがその送信元を主張する人物や送信元から来たものであるかどうかを確認するために、いくつかの強固な手段を取ることができます。

DKIMはどのように役立っているのか?

組織のメールセキュリティは、メールが送られてきたと思われるドメインで設定されている認証ルールに反するような、すべての受信メールをチェックできるようにしておく必要があります。DKIM(DomainKeys Identified Mail)は、受信メールをチェックして、何も変更されていないかどうかを確認するためのものです。正当なメールの場合、DKIMは特定のドメイン名にリンクされたデジタル署名を見つけることができます。

このドメイン名は、メールのヘッダーに添付され、ソースドメインには対応する暗号キーがあります。DKIMの最大のメリットは、メールのヘッダーにデジタル署名を付与することで、メールを受信したサーバーがそのヘッダーを暗号で認証し、有効かつオリジナルであると判断できることです。

これらのヘッダーは通常、 「From」、「To」、「Subject」、「Date」と署名されています。

なぜDKIMが必要なのか?

サイバーセキュリティ分野の専門家によると、DKIMは公式メールを保護するために日常的に必要とされています。DKIMでは、MTA(Mail Transfer Agent)によって署名が生成され、ハッシュ値と呼ばれるユニークな文字列が作成されます。

さらに、ハッシュ値はリストアップされたドメインに保存されており、メールを受信した後、受信者はDNS(Domain Name System)に登録されている公開鍵を用いてDKIM署名を確認することができます。その後、この鍵を使ってヘッダーのハッシュ値を復号化し、受信したメールからハッシュ値を再計算します。

この後、専門家は、これら2つのDKIMシグネチャが一致した場合、MTAはメールが変更されていないことを知ることになります。さらに、ユーザーは、メールが実際にリストされたドメインから送信されたことをさらに確認することになります。

DKIMは、2004年にDomain keys(Yahooが作成したもの)とIdentified Internet Mail(Ciscoが作成したもの)の2つの局番を統合して形成されたもので、組織の電子メール手続きをかなり信頼できるものにする、広く採用されている新しい認証技術に発展してきましたが、Google、Microsoft、Yahooなどの大手ハイテク企業が受信メールにDKIM署名があるかどうかを常にチェックしているのはそのためです。

DKIMとSPFの比較

SPF(Sender Policy Framework)とは、電子メール認証の一つで、偽装や詐欺を防ぐために、認証されたメールサーバーから送信された電子メールメッセージを検証するプロセスを定義したものです。

組織内ではSPFとDKIMの両方を使用しなければならないという意見がほとんどですが、DKIMには他よりも優れた点があります。その理由は以下の通りです。

  • DKIMでは、ドメイン所有者が暗号鍵を公開しますが、これはDNSレコード全体の中でTXTレコードとして特別にフォーマットされています。
  • メッセージのヘッダーに添付されている固有のDKIM署名によって、より信頼性の高いものになっています。
  • 受信メールサーバーがメッセージの署名を検出して復号するために使用するDKIMキーは、メッセージがより本物であり、変更されていないことを証明するので、DKIMを使用することがより有益であることがわかります。

結論から言うと

多くの企業にとって、DKIMはフィッシングやなりすましの攻撃から企業を守るだけでなく、顧客との関係やブランドの評判を守るのにも役立ちます。

これは、DKIMが暗号化キーとデジタル署名を提供することで、電子メールが偽造・変更されていないことを二重に証明するため、特に重要です。これらの実践により、組織や企業は、メールの配信能力を向上させ、安全なメールを送信することで、収益を上げることに一歩近づくことができます。しかし、これらをどのように使い、どのように導入するかは、企業次第です。多くの企業がサイバー攻撃や脅威から身を守りたいと考えている中で、これは最も重要なことであり、関連性のあることです。