SPFとDKIM
SPF(Sender Policy Framework)とDKIM(DomainKeys Identified Mail)は、特定のドメインからの受信電子メールメッセージがそのドメインの所有者によって承認されていることを確認する検証方法です。これにより、受信者がなりすまし電子メールメッセージを受信しないように保護できます。ESET Mail SecurityはDMARC (Domain-based Message Authentication, Reporting and Conformance; ドメインベースメッセージ認証、レポート、適合)評価をしようして、SPFとDKIMで強化します。
SPF
SPFチェックは、電子メールが合法的な送信者によって送信されたことを確認します。送信者のドメインのSPFレコードのDNSルックアップが実行され、IPアドレスのリストを取得します。SPFレコードのIPアドレスのいずれかが実際の送信者のIPアドレスと一致する場合は、SPFチェックの結果が成功になります。送信者の実際のIPアドレスが一致しない場合、結果は失敗です。ただし、一部のドメインでは、DNSでSPFレコードが指定されていません。SPFレコードがDNSにない場合は、結果は使用不可です。DNS要求はタイムアウトする場合があります。この場合も、結果は使用不可です。
DKIM
DKIM標準に従って送信メッセージのヘッダーにデジタル署名を追加し、電子メールメッセージのスプーフィングを防止するために組織によって使用されます。これには、秘密ドメイン鍵を使用して、ドメインの送信メールヘッダーを暗号化することと、鍵の公開バージョンをドメインのDNSレコードに追加することが含まれます。ESET Mail Securityは公開鍵を取得して、受信ヘッダーを復号化し、メッセージが実際にドメインから送信され、送信中に変更されていないことを確認できます。
|
Exchange Server 2010以前では、DKIMに完全に対応しません。デジタル署名された受信メッセージに含まれるヘッダーがDKIM検証中に修正される可能性があるためです。 |
DMARC
DMARCは、既存のメカニズムSPFとDKIMの上に構築されます。メール転送保護ルールを使用して、DMARC結果とDMARCポリシーの適用アクションを評価できます。
ARC
ARC (Authenticated Received Chain)プロトコルは、メッセージの認証済み「管理の連鎖」を提供するので、メッセージを処理する各エンティティは、以前にどのエンティティがそれを処理したか、各ステップでメッセージの認証評価が何であったかを確認できます。ARCは、電子メールのメッセージを変更することで、SPFやDKIMなどの従来の認証方法を突破する中間メールサーバーの問題に対処します。
ARCを使用すると、インターネットメールハンドラーは、メッセージ認証評価のアサーションを個々のメッセージに追加できます。メッセージがARC対応のインターネットメールハンドラーを通過するときに、追加のARCアサーションをメッセージに追加して、メッセージ処理パスの各ステップでの認証評価を表すARCアサーションを順序付けたセットを形成できます。
ARC対応のインターネットメールハンドラーは、ARCアサーションのセットを処理してメッセージ処理の決定を通知し、既存の認証メカニズムを突破する可能性のあるインターネットメールハンドラーを特定し、信頼の境界を越えて元の認証評価を伝達できます。
ARCの詳細と、ARCによるメッセージ処理のユースケースについては、ARCのユースケースを参照してください。
ARC署名を受け入れる
ARC機能は既定で有効になっています。ESET Mail Security迷惑メール対策保護は、ARCヘッダーをSPF、DKIM、DMARCの定義済みルールの一部として評価し、次の場合にのみ評価します。
•SPF結果がFAIL, SOFTFAIL
•DKIM結果がFAIL
•DMARC結果がFAIL
信頼できるARCシーラー
信頼できるシーラーからのARC署名のみを受け入れます。既定の信頼できるシーラーは、google.com, gmail.com, googlegroups.com, messagingengine.com, fastmail.com, fastmail.fm, outlook.com, hotmail.com, office365.com, microsoft.com, yahoo.com, ymail.com, icloud.com, me.com, amazon.com, and aws.amazon.comです。
DNSサーバーの自動検出
自動検出では、ネットワークアダプタの設定が使用されます。
DNSサーバーのIPアドレス
SPFとDKIMで特定のDNSサーバーを使用する場合は、使用するDNSサーバーのIPアドレス(IPv4またはIPv6形式)を入力します。
DNSクエリタイムアウト(秒)
DNS応答のタイムアウトを指定します。
SPFチェックで問題があった場合はメッセージを自動的に拒否する
SPFチェックの結果が失敗の場合は、ダウンロードする前に、電子メールメッセージを拒否できます。
|
SPFチェックはSMTPレイヤーで実行されます。ただし、SMTPレイヤーまたはルール評価中に自動的に拒否される場合があります。 SMTPレイヤーで自動拒否を使用すると、拒否されたメッセージをイベントログに記録できません。ログはルールアクションで実行され、自動拒否はルール評価の前にSMTPレイヤーで直接実行されるためです。メッセージはルール評価の前に拒否されるため、ルール評価時には記録する情報がありません。 拒否されたメッセージを記録できますが、ルールアクションでメッセージを拒否した場合のみです。SPFチェックに合格しないメッセージを拒否し、このような拒否されたメッセージを記録する場合は、SPFチェックが失敗した場合に自動的にメッセージを拒否するを無効にし、メール転送保護の次のルールを作成します。 条件 •タイプ:SPF結果 •処理: is • パラメーター:失敗 アクション •タイプ:メッセージの拒否 •タイプ:イベントの出力 |
SPF評価でHeloドメインを使用
この機能は、SPF評価にHELOドメインを使用します。HELOドメインが指定されていない場合、コンピューターホスト名が使用されます。
MAIL FROMが空の場合はFrom:ヘッダーを使用する
MAIL FROMヘッダーは空にできます。また、簡単になりすますことができます。このオプションを有効にすると、MAIL FROMが空の場合、メッセージがダウンロードされ、代わりにFrom:ヘッダーが使用されます。
SPFチェックで問題がない場合はグレイリストを自動的にバイパスする
SPFチェックの結果が成功のメッセージには、グレイリストを使用する理由がありません。
SMTP reject拒否応答
応答コード、ステータスコード、応答メッセージを指定できます。これは、メッセージが拒否された場合に、SMTPサーバーに送信されるSMTP一時拒否応答を定義します。次の形式で応答メッセージを入力できます。
応答コード |
状態コード |
応答メッセージ |
|---|---|---|
550 |
5.7.1 |
SPFチェック失敗 |