\r\n\r\n
メールセキュリティプロトコルは、外部の干渉からメールを保護するための仕組みです。電子メールに追加のセキュリティプロトコルが必要なのは、それなりの理由があるからです。SMTP(Simple Mail Transfer Protocol)には、セキュリティが組み込まれていません。衝撃的ですよね。
多くのセキュリティプロトコルは、SMTPで動作します。これらのプロトコルは何であり、どのようにあなたの電子メールを保護するのですか?
SSL(Secure Sockets Layer)とその後継であるTLS(Transport Layer Security)は、インターネット上を移動する電子メールを保護する、最も一般的な電子メールセキュリティプロトコルである。
SSLとTLSはアプリケーション層のプロトコルです。インターネット通信網では、アプリケーション層はエンドユーザー向けに標準化された通信を提供します。この場合、アプリケーション層は、SMTP(これもアプリケーション層プロトコル)と連携して電子メール通信を保護するセキュリティフレームワーク(一連のルール)を提供します。
ここからは、前身であるSSLが2015年に完全に放棄されたため、TLSについて説明します。
TLSは、コンピュータ・プログラム通信に追加のプライバシーとセキュリティを提供し、この場合、TLSはSMTPにセキュリティを提供します。
メールクライアントがメッセージを送受信する際、TCP(Transmission Control Protocol:メールクライアントがメールサーバーに接続する際に使用するトランスポート層の一部)を使用して、メールサーバーとの「ハンドシェイク」を開始します。
ハンドシェイクとは、メールクライアントとメールサーバーがセキュリティや暗号化の設定を確認し、メール自体の送信を開始する一連の手順のことです。基本的なレベルでは、ハンドシェイクは次のように動作します。
TLSは、ほとんどの電子メールサーバーと電子メールクライアントが、電子メールの基本的な暗号化を提供するために使用しているため、重要です。
Speculative TLSは、電子メールクライアントが既存の接続を安全なTLS接続に変換することを希望していることを電子メールサーバーに伝えるプロトコルコマンドである。
メールクライアントが、先に述べた安全な接続を作るためのハンドシェイクプロセスに従わず、プレーンテキスト接続を使用する場合があります。Speculative TLSは、トンネルを作成するためにTLSハンドシェイクを開始しようとします。しかし、ハンドシェイク処理に失敗すると、投機的TLSはプレーンテキスト接続にフォールバックし、暗号化せずに電子メールを送信します。
強制TLSは、すべての電子メールトランザクションに安全なTLS標準を使用するように強制するプロトコル設定です。メールクライアントからメールサーバーにメールを送信できない場合、メール受信者にメールを送信しても送信されません。
電子証明書は、電子メールを暗号化するためのツールです。電子証明書は、公開鍵暗号の一種です。
(公開鍵暗号化についてはよくわからない?誰もが知っていて理解すべき重要な暗号用語のセクション7と8をお読みください。(これで、この記事の続きがより有意義になります!)。
この証明書により、あらかじめ定義された公開暗号鍵を使用して、暗号化された電子メールを送信することができ、また、他の人に送信する電子メールも暗号化されます。したがって、電子証明書は、あなたのオンライン・アイデンティティに結び付けられ、そのアイデンティティを認証することが主な用途であるため、パスポートのような役割を果たします。
電子証明書を取得すると、暗号化されたメールを送りたい人は誰でもあなたの公開鍵を利用できるようになります。彼らはあなたの公開鍵で文書を暗号化し、あなたはあなたの秘密鍵で文書を復号化する。
電子証明書は個人に限ったものではありません。企業、**組織、電子メールサーバーなど、ほとんどすべてのデジタルエンティティは、オンラインアイデンティティの確認と検証に使用できるデジタル証明書を持つことができます。
SPF(Sender Policy Framework)は、理論的にはドメイン詐称を防止するための認証プロトコルである。
SPFは、メールサーバーがメッセージの送信元がドメインか、あるいは誰かが自分の正体を隠すためにドメインを使用しているかを判断できるようにするため、追加のセキュリティチェックを導入しています。ドメインネームはインターネットの一部であり、単一の名前である。例えば、「makeuseof.comのウェブサイト」はドメインです。
ハッカーやスパマーがシステムに侵入したり、ユーザーになりすましたりする際には、ドメインが場所や所有者によって追跡されたり、少なくともブラックリストに登録される可能性があるため、定期的にドメインをブロックしています。悪意のあるメールを正常なドメインに偽装することで、疑うことを知らないユーザーが悪意のある添付ファイルをクリックしたり開いたりする可能性が高くなります。
送信者ポリシーフレームワークは、フレームワーク、認証方法、メッセージを配信するための専用メールヘッダの3つのコア要素から構成されています。
DKIMは、デジタル署名を使って、特定のドメインから送信されたメールであることを確認するためのものです。さらに、そのドメインがメール送信を許可されているかどうかもチェックします。中でも、SPFの延長線上にあるものです。
実際、DKIMはドメインのブラックリストやホワイトリストの作成を容易にする。
DMARCは、SPFとDKIMの規格を検証し、ドメインからの不正行為を防止する認証システムです。DMARCは、ドメインスプーフィングとの戦いにおいて重要な機能です。しかし、普及率が比較的低いため、まだなりすましが横行しているのが現状です。
DMARCは、「ヘッダーfrom」アドレスの詐称を防止することで機能します。
DMARCは、電子メールプロバイダーに対して、受信した電子メールをどのように処理するかを指示する。DMARCは、あらゆる規模のドメインがなりすましから名前を保護できるようにする技術で、SPFチェックやDKIM認証に失敗した場合、そのメールは拒否されます。しかし、無謬ではないのです。
上のビデオでは、SPF、DKIM、DMARCの実際の使用例について非常に詳しく説明しています。
S/MIME(Secure/Multipurpose Internet Mail Extensions)は、長年にわたって使用されてきたエンドツーエンドの暗号化プロトコルです。s/MIMEは、送信前に電子メールを暗号化しますが、送信者、受信者、その他の電子メールヘッダーを暗号化することはありません。受信者だけがメールを復号化することができます。
S/MIMEはメールクライアントで実装されますが、デジタル証明書が必要です。最近のメールソフトはほとんどS/MIMEをサポートしていますが、お使いのアプリケーションやメールプロバイダーによってサポートが異なる場合がありますので、確認が必要です。
PGP(Pretty Good Privacy)も長年使われてきたエンドツーエンドの暗号化プロトコルの一つです。しかし、そのオープンソースであるOpenPGPに出会い、利用する方が多いのではないでしょうか。
OpenPGPは、PGP暗号化プロトコルをオープンソースで実装したものです。頻繁にアップデートが行われ、数多くの最新のアプリケーションやサービスに搭載されていることがわかります。S/MIMEと同様に、第三者がメールの送信者や受信者の情報などのメールのメタデータにアクセスすることは可能です。
以下のアプリケーションのいずれかを使用して、メールのセキュリティ設定にOpenPGPを追加することができます。
OpenPGPの実装は、各プログラムで若干異なっています。各プログラムは、OpenPGPプロトコルを使用してメールを暗号化する開発者が異なります。しかし、いずれも信頼できる暗号化プログラムであり、安心してデータを預けることができます。
また、OpenPGPは、複数のプラットフォームであなたの生活に暗号化を加える最も簡単な方法の一つです。
メールセキュリティプロトコルは、メールの安全性を高めるものとして、非常に重要です。SMTPにはセキュリティ機能が組み込まれておらず、プレーンテキスト(保護されておらず、誰でも傍受可能な状態)でメールを送信することは、特に機密情報が含まれている場合、危険です。
暗号化についてもっと知りたい方は、一般的な5つの暗号化アルゴリズムと、データを保護するために独自の暗号化を信用してはならない理由をご覧ください。