テックブログ

2024.2.27

【ネットアシストニュースレター | Vol.34 】

送信ドメイン認証のおはなし

サイバー攻撃のひとつである「なりすましメール」を対策する有効な手法として「送信ドメイン認証（SPF / DKIM / DMARC）」がありますが、GmailやYahooのガイドライン※で導入を義務付けられるようになり、皆様も最近よく耳にする機会が増えたのではないでしょうか。
そこで今回はその送信ドメイン認証であるSPF / DKIM / DMARCについて、概要をご紹介いたします。

※Gmailでは5000件以上メールを送信する企業に対して2024年2月までに、Yahooでは消費者向けのメールブランドに対して2024年第1四半期までに、送信ドメイン認証の導入を義務付けました。

実際に設定をする

・SPFレコードの設定

メール送信時に利用するサーバーのIPアドレスを送信側のDNSに「SPFレコード」として登録します。

↑SPFレコードの仕組み

SPFレコードの記述例
1）ホストのIPアドレスで作成
　 example.com. IN TXT “v=spf1 ip4:xxx.xxx.xxx.xxxx –all”
2）ホスト名で作成
　 example.com. IN TXT “v=spf1 a:mail.example.com-all”
3）MXレコードを利用
　 example.com. IN TXT “v=spf1 mx –all”
など　

・DKIMの設定

送信メールサーバーにて鍵ペアの作成とレコードの生成を行います。生成したDKIMレコードをDNSサーバーに公開して受信サーバー側が参照できる状態にします。メール送信サーバーに Postfixを利用している場合はOpenDKIM を導入することで、メールへの署名付与に対応します。
※DKIM設定時にDNSに追加するレコードは、環境により値が異なるため省略します

↑DKIM認証の仕組み

・DMARCの設定

SPFレコードと同じくDNS上にDMARCのレコードをTXTレコードとして公開します。
レコードには、送信したメールがDMARCの認証に合格しなかった場合のポリシーを定義します。（none(受け取る)/ quarantine（隔離）/reject（拒否））また、DMARCは送信元メールアドレスのドメインがSPFとDKIMのどちらかで一致することを追加で確認します。

DMARCレコードの記述例
_dmarc.example.com IN TXT “v=DMARC1;p=none;rua=mailto:report@example.com”

また、DMARCを適切に設定することでメール受信者側での認証状況のレポートを送信者側が確認できます。
DMARCレポートについてはテックブログでも紹介しておりますので、よろしければ是非ご覧ください。

↑DMARC認証の仕組み

※受信する側でDMARCの検証を行うためには、 OpenDAMRC などのソフトウェアを導入して対応します。

・ARCの設定

ARCはDKIMと同様に電子署名技術を利用するため、秘密鍵と公開鍵の鍵ペアの作成をして対応する流れとなります。

↑ARCの仕組み

※ARCヘッダーの付与に対応するには、メール送信サーバーに OpenARC を導入して対応します

SPFレコード・DKIM署名・DMARCメール認証が正しく設定されていても、そもそものメール内容や送信サーバーに問題があるとメールが届かないケースはありますので、注意が必要です。また、DNSの設定を誤ると大きな影響が出てしまうため、設定は慎重に行う必要があります。

各メールサービスを始め、政府からもなりすましメール対策強化の流れが進んでおり、今後さらに送信ドメイン認証設定の必要性が高くなると思います。
現在、非常に多くのお客様からご相談・ご依頼を頂いており、設定完了までには数営業日かかることもございますので余裕をもってご相談いただけますようお願いいたします。

ネットアシストお客様ポータルを活用して業務効率化を！　～直近のアップデートをご紹介～

過去のニュースレターで度々ご紹介している、ご契約社様専用の「お客様ポータル」。弊社の開発エンジニアが、お客様や社内の要望を取り入れながら、日々アップデートしております。直近のアップデート内容をご紹介いたしますので、是非ご活用ください！

CSR作成機能を実装

SSL証明書を取得する際に必要となる「CSR」の自動生成ツールを新たに実装いたしました。弊社エンジニアにわざわざご依頼頂くこともなく、Web上に必要情報を入力するだけで、CSRがその場ですぐに発行されます！
利用方法は、ネットアシストテックブログでもご紹介しておりますので、是非ご活用ください。

緊急連絡先の編集がお客様自身で可能に

障害発生時の緊急連絡先の変更は、今まで下記の流れで承っておりましたが

今後はお客様ご自身で、24時間365日いつでも、ポータル上から変更・修正をすることが可能となりました。
シートへのご記入や送付など、煩わしいやり取りをする必要がないため、長期休暇などで急な変更が必要、一時的な担当者の増員など、より早く簡単に連絡先を変更頂けるようになりました！

※弊社標準の登録内容（電話3件まで2時間帯／メール5件まで）ではないお客様については、上記機能をご利用いただけません。
※事前に弊社で編集を有効にする必要がございますため、上記機能は順次ご利用頂けるようになります。

チケット管理システムメール通知内容のアップデート

新たに作成・更新が発生した際に自動で送信されるメール通知内に「ワーク本文」が含まれるようになりました。
今までは、通知メールの記載内容が「件名」のみだったため（障害メールはワーク本文あり）、お客様は都度、ポータルにログインしてワーク本文(詳細)をご確認頂く必要がありましたが、今後は通知メール内で詳細をご確認いただけるようになりました。
また、お客様ポータルの「該当チケットURL」も含まれるようになったため、メールからポータルへのアクセスもより簡単に実施いただけます。

IDCFのISMAP認定

弊社のパートナー企業でもある、IDCフロンティア社のIDCFクラウドが「政府情報システムのためのセキュリティ評価制度」のISMAPに認定されました！
今回IDCFクラウドで認定されたサービスは下記の通りです。
コンピュート / インフィニットLB / RDB / DNS / GSLB / コンテナ

ISMAPが制度化された背景

以前は各府省庁等がクラウドサービスの安全性を評価することは、専門知識の必要性、評価作業にかかる時間、担当者毎の判断のばらつき、などの理由から非常に困難でした。
しかし、そのままでは府省庁等のクラウド化は遅れる一方です。そこで経済産業省と総務省が「クラウドサービスの安全性評価に関する検討会」を開催してとりまとめが行われ、策定されたのがISMAPです。
つまりISMAP認定は「政府のセキュリティ要件を満たしている」サービスという事になります。

ISMAPに認定されたサービスを選択するメリットとは？

前述した通りISMAPに認定されたサービスは、厳格なセキュリティ要件を満たしているサービスであると「政府からお墨付き」をもらっていることになります。
該当のクラウドサービスを導入する際に、セキュリティ基準を一から調査する必要がなくなるため、選定や導入の負荷軽減に大きなメリットが生まれますし、もちろんISMAP認定された事業者側も、客観的に安全性・信頼性の高さを示すことができます。

IDCFクラウド以外にもISMAPに登録されているクラウドサーバーは複数あります。弊社で実績のあるクラウドサービスより、一例を掲載させていただきます。

昨年頃からサーバー構築のご依頼に、ISMAP認定を含められるケースが増えてきています。弊社では多数のISMAP認定クラウドサーバーとパートナー提携をしていますので、お気軽にご相談ください。

AI博覧会のご案内

ChatGPTや生成AI関連などのサービスが集うリアルイベントを東京・御茶ノ水で開催します！

弊社のグループ企業の株式会社アイスマイリーが、3月14日（木）、3月15日（金）に「AI博覧会」を開催いたします。

AI博覧会は、AIに特化したリアルイベントです。ChatGPTなどの生成AIをはじめ、日本国内のAI提供企業や専門家が集まり、展示・講演・デモンストレーション等が行われます。
会場では最新のAI技術やサービスを直接体験することができ、導入に関する疑問や課題を解決するための情報交換の場としてもご利用いただけます。最先端のAIトレンド情報を収集する場としてぜひお越しください。