グーグル、大量メール送信者に新たなセキュリティ要件を導入 - しかし、数年前にそうすべきだった。
グーグルとヤフーは、スパムやフィッシングを取り締まるため、DMARC、SPF、DKIMの使用を義務付ける。これらの機能がすでに必須条件でなかったことは驚きである。
グーグルは、Gmailの個人ユーザーに対して1日5000通以上のメールを送信しているすべてのアカウントに対して、より厳格なセキュリティ対策の実施を開始すると発表した。この変更は、ビッグ・テックの電子メール・プロバイダーが、Gmailサービスのユーザーをターゲットにしたフィッシング・メールやスパムを取り締まるための試みである。Gmailは世界で最も人気のある電子メール・プロバイダーであり、また世界のスパムメールの主要な発信源でもある。この新しい対策の一環として、Gmailはいわゆる「大量送信者」に対し、これまでオプションだったカスタムドメインのメールアドレスへのセキュリティ設定を義務付ける予定だ。これらの設定とは、DMARC、SPF、DKIMであり、Tutaカスタムドメインユーザーは2019年以降有効にするよう求められていたセキュリティ設定である。
以下の記事では、これらの頭字語の意味と、カスタムメールのドメインアドレスがスパムやフィッシングに悪用されないように保護する方法を検証します。
これらには以下が含まれる:
新しいセキュリティ基準
Googleが導入する新しいセキュリティ要件は、電子メールの信頼性を確保するためのさまざまな方法を提供するものです。ITのどの分野でもそうであるように、いくつかの略語を紐解いて説明する必要がある。重要なことは、これらはGmailユーザーにメールトラフィックを送信したい大量送信者が使用するカスタムドメインアドレスに適用されるということです。
DMARC: Domain-based Message Authentication, Reporting, and Conformance(ドメインベースのメッセージ認証、報告、適合性
DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略です。DMARCとは、Domain-based Message Authentication, Reporting and Conformance(ドメインベースのメッセージ認証、報告、および適合性)の略で、カスタム・ドメイン・ユーザーに、他者が許可なく自分のドメインを使用するのを防ぐ機能を提供する電子メール認証プロトコルです。詐欺師が地元企業のふりをしてメールを送信することを「なりすましメール」と呼びますが、DMARCはこれを防ぐ追加のチェックを追加します。ドメイン・プロバイダからDNS設定パネルにDMARCエントリが追加されると、そのカスタム・ドメインからメールを受信したメール・サーバは、カスタム・ドメインの所有者が設定した指示に基づいてメールを認証することができます。チェックに合格すればメールは配信され、不合格の場合はドメイン所有者の設定ルールに従ってメールは拒否されます。
DMARCは、SPFとDKIMのチェックが適切に満たされなかった場合に、どのようなアクションを取るかを決定するルールセッターとして機能する。
画像はProofPoint securityより
SPF: 送信者ポリシーフレームワーク
Sender Policy Framework(SPF)は、Googleの新しいセキュリティ要件の次の要素です。SPFレコードの役割は、送信メールサーバーがユーザーのカスタムドメインで送信されるメールの発信元として許可されていることを認証することです。この要素は、SPFレコードのチェックに失敗した場合にどうなるかを決定するために、正しく設定されたDMARCレコードに依存しています。DNSレコードにSPFレコードを公開することで、スパマーやその他の攻撃者は、スパムメールが承認されていないメールサーバーから送信されていることを確認できないため、あなたのドメインを使用しようとする可能性が低くなります。
このSPFレコードは、メールがこれらのIPアドレスのいずれかから送信されたものであることを確認します。
DKIM: DomainKeys識別メール
DomainKeys Identified Mailは、Googleが大量送信者に要求する3番目の認証プロトコルです。DKIMは、フィッシングやなりすましメール攻撃の対策として、カスタムドメインのメールアドレスが不正に使用されないようにチェックします。DKIM署名は、メールプロバイダーが送信者の信頼性を確認する手段として追加されます。
DKIM署名には主に3つのステップがあります:
- メール送信者は、DKIM署名に含めるフィールドを選択します。メール送信者は、DKIM署名に含めるべきフィールドを選択します。これらのフィールドは、「From」アドレス、メール本文、件名など多岐にわたります。これらのフィールドは転送中も変更されないままでなければならず、そうでなければ最終的なDKIMチェックは失敗します。
- 選択されたフィールドは、送信者の電子メールプロバイダによってハッシュ化され、ハッシュは送信者の秘密鍵を使用して暗号化されます。
- 送信後、受信メールサーバーは、送信者の秘密鍵と一致する公開鍵をフェッチして署名を検証する。これにより、ステップ2のハッシュ文字列が復号化され、送信中に変更がなかったことが検証されます。
これらのステップに成功した場合のみ、メールは配信される。これらのステップを満たさない場合、メールはドメイン所有者のDMARCルールに従って拒否されます。
以下は、スパムやフィッシングメールを送信するためにカスタムドメインが詐称されないように保護するために使用されるDKIM署名の例である。
ビッグ・テックのセキュリティ変更はとっくに期限切れ
グーグルと ヤフーの両社は、これらの設定を2024年2月1日に義務付けると発表したが、これらのセキュリティ機能は何年も前から利用可能であった。DNSのセキュリティ・レコードの追加を義務化することは、ビッグ・テックによる素晴らしい動きではあるが、そのタイミングにはいささか疑問が残る。グーグルは間違いなくITセキュリティ分野のリーダーだが、Eメールセキュリティに対する彼らの自由放任的なアプローチはいささか場違いな感じがする。ヤフーも、ここでは拍手には値しない。ほぼすべての既存アカウントが流出した大規模なデータ流出事件を受けて、このトラフィックは10年近く後ではなく、すぐに厳しい監視を受けるべきだった。
2022年には、送信された全メールの約49%がスパムだったのだから。
Gmailは1日あたり1,450万通のスパムメールを送信している!
Tuta Mailのようなプライバシー重視のEメールサービスには、悪質なスパマーの巣窟になっているという見当違いの批判がある。私たちのサービスを利用しようとするスパマーはいるかもしれませんが、すぐにシャットダウンされます。一方、グーグルのGメールは、1 日あたり1450万通のスパムメールを送信していると報告されている。グーグルのメール・サーバーから送られてくるスパムの量は、他のメール・プロバイダーから送られてくるスパムを凌駕している。
現在導入されているセキュリティ対策は正しい方向への一歩ではあるが、今にして思えば、もっと早く導入すべきだった。
代替手段は、より優れた包括的なセキュリティを提供する。
Tuta Mailはカスタムメールドメインの完全な使用をサポートしていますが、カスタムドメインの設定プロセスでは、詐欺師による悪用からカスタムドメインをよりよく保護するために、重要なDNSセキュリティレコードを追加する方法をすべてのユーザーに案内しています。最近Outlookからカスタムドメインのサポートを削除したマイクロソフトのように、他のビッグテックプロバイダーはこのオプションを廃止しました。
ビッグ・テック・プロバイダーの代わりにプライベート・プロバイダーを選ぶことで、簡単に設定できるドメイン・オプションを利用できるだけでなく、Googleの侵略的な広告手法からデータを守ることができます。メールの保護にTutaを選択することで、世界初のポスト量子暗号化によって保護されます。この新世代の暗号化は、諜報機関や彼らの「今収穫し、後で解読する」やり方からあなたとあなたのデータを守ります。
グーグルを捨てて、プライバシーを選択しましょう!
あなたのデータは、AIモデルを学習させるためにスクレイピングされ、その結果、あなたのメールボックスに誘導された広告をプッシュするようなものではありません。ビッグテックに肩越しに覗かれる心配をすることなく、友人や恋人と安全にコミュニケーションする自由があるべきです。プライベートEメールに代わるものを選択することで、自分を表現する自由を守ることができるのです。