ここでは、メール配信サービスにおいて、送信者の電子証明書を付与する(S/MIME対応可能とする)ことの重要性についてまとめます。
企業から、メールマガジンなどの形でメールを一斉配信する方法として、メール配信サービスを利用するケースが多い。商品紹介、新着情報のPR、顧客とのコミュニケーションツールとして、企業のマーケティング活動としては欠かせないものとなっています。メール配信サービスのセキュリティ対策としては、SPF/DKIM/DMARCという送信ドメイン認証を使っているケースが多い。このSPF/DKIM/DMARCをサポートしていることは、サービスとして提供している以上非常に重要であり、最低限対応すべきメールのセキュリティ対策と言えます。半面、送信者が電子証明書を付与する(S/MIME対応する)ことを可能にしているメール配信サービスは、極めて限られている状況です。つまり、利用者がS/MIMEのクライアント認証(エンドツーエンドでの電子証明書)を行い、送信メールの真正性を示したいと思っても、メール配信サービスの制限で実現できないケースが多くなっています。
以上の点を踏まえて、ここでは、メール配信サービスにおけるS/MIME対応の重要性について検討します。
- メール配信サービスにおけるSPF/DKIM/DMARC送信ドメイン認証の有効性
SPF/DKIM/DMARCの説明はここでは省きますが、簡単に言うと送信元メールアドレスの詐称を防止する手法である「送信ドメイン認証」です。これにより、受信者側では送信元メールアドレスが「なりすまされていない」ことを検証できます。Emotetをはじめとして、様々な攻撃の起点になる「なりすましメール」を排除するのに有効です。したがって、メール配信サービスがSPF/DKIM/DMARC送信ドメイン認証を行うことは、必須です。
しかしながら、SPF/DKIM/DMARCではなりすましメールの対策として不十分な点は以下のとおりです。- SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールと、その他の同じ企業から送信されたメールとの区別ができない。もし、SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールであることが受信者に明確になる方法があれば、そのメールはなりすまされていないということができますが、これは難しいです。企業から送信されるメールは様々であり、なりすましでないメールとなりすましメールを区別することは、受信したメールを注意深く確認するしかありません。
- 上記のポイントと重なりますが、なりすましメールは迷惑メールフォルダーに移されるので、そこで区別ができるのではないかということが考えられます。確かに、SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールは、なりすましメールではないということで迷惑メールフォルダーに移動しないかもしれない。しかしながら、迷惑メールかどうかの判断は、スパム判定等を含めて様々な要因でフィルタリングされるため、SPF/DKIM/DMARC対応のメール配信サービスから送信されたメールであっても迷惑メールフォルダーに移動されてしまう場合もあります。したがって、迷惑メールフォルダーに移動させられたメールにも正しいメールが含まれるので、定期的に確認する必要があります。また、迷惑メールフォルダーに移動されないメールでも、SPF/DKIM/DMARCには引っかからないケースもあります。たとえば、正しいドメインから送信された場合(もちろん、From:をしっかり見れば本来の送信者のドメインではないことはわかりますが)には、迷惑メールフォルダーに移動されない場合があります。結局、SPF/DKIM/DMARC対応のメール配信サービスから送信されたかどうかにかかわらず、受信者が目で見て確認することが求められます。
- 言うまでもないことですが、受信者側がSPF/DKIM/DMARCをサポートしていない場合には機能しない。SPF/DKIM/DMARCの対応状況については、2018年のデータになるが、企業等でSPFを設定しているのは59.7%、DMARCを設定しているのは1.0%とのことで、あまり普及が進んでいないようです。(引用:https://www.jipdec.or.jp/news/news/20181211.html)SPF/DKIM/DMARCは、送信側と受信側の双方でサポートしている必要があるので、なかなか心もとない状況です。
- メール配信サービスにおけるS/MIME対応の重要性
それでは、ここでメール配信サービスにおいてもS/MIME対応が必要であることについて記述します。まず最初に述べたいのは、SPF/DKIM/DMARCとS/MIMEは排他的なものではなく、共存できるということです。したがって、両方とも利用を検討すべきものです。
メール配信サービスがS/MIME対応することで、利用者は電子証明書付きのメールを配信できます。そうすると、受信者側は、その電子証明書を確認することで、なりすましメールでないことを判断できます。SPF/DKIM/DMARCだけでは、受信したメールそのものを見て判断することはできませんが、S/MIME対応であれば受信したメールに付与されている電子証明書で判断することが可能になります。
メール配信サービスにおいてS/MIME対応するというのは、あくまで、利用者側で電子証明書を入手し、それを、メール配信サービスを使ったメールの送信時に送信メールに付与することです。したがって、メール配信サービスの提供者側で何かすべきことではない。では、なぜ、これがあまりサポートされていないかというと、メール配信サービス側で電子証明書を付与したメールを送信することを許可しないケースが多いからです。考えられる理由は、以下の点です。- メール配信サービス側で、利用者のメールを配信する際に送信元(From:)アドレスを変更している。そうすると、送信者のメールアドレスとメール配信サービスが送信するメールの送信者のアドレスが異なることになり、電子証明書が無効になってしまう。
- メール配信サービスの利用者が電子証明書付きでメールを送信した時に、メール配信サービス側でメールの内容を変更してしまう。たとえば、メールにフッター情報を追加してしまうなどである。そうすると、受信者のメールソフトは、電子証明書が付与された後にメールそのものに書き換えが発生していると判断し、完全性が損なわれていると判断してしまう。
しかしながら、実際にS/MIME対応しているメール配信サービスが存在しているので、このあたりの問題をクリアーすることはさほど問題ではないと思われます。
- S/MIME対応をサポートしているメール配信サービス
ここでは、メール配信システムの中でS/MIMEに対応しているものを記載する。あくまでウエブを検索して見つけたものであり、ここに上げたリスト以外でもS/MIMEに対応しているメール配信システムがある可能性がある。また、ここに記載された情報に誤り、あるいは、システムそのものが更新されている可能性もあるので、実際にメール配信システムを検討される場合には事前に確認が必要である。なお、あくまで筆者がウエブサイト上確認できた範囲で記述している。これ以外にS/MIME対応が可能なメール配信サービスをご存じの方は、ご一報いただきたい。その情報に基づいて本ページを適宜更新していく予定である。- WEBCAS e-mail https://webcas.azia.jp/email/feature/smime/
- Cuenote FC ASPサービス https://www.cuenote.jp/fc/capability/smime.html
- HENNGE Customers Mail Cloud クラウド型メール配信サービス https://smtps.jp/docs/userguide/auth/smime/index.html?fbclid=IwAR2xHRst0EVtr0WGgWW_i0g82ZGBCUZ8pE8pcp14kTHUIyhzgGAwedsG4UQ
現在利用しているメール配信サービスではS/MIMEに対応していないということで、S/MIME化をあきらめているケースも多いかと思います。しかしながら、ここは、メール配信サービスそのものを他社に乗り換えてでもS/MIME化を行うという英断を下していただきたい。乗り換えには、多くの労力を必要とするかもしれませんが、メールに真正性の文化を築くという大きな目標を掲げて、ぜひ取り組んでいただきたい。