|
カテゴリ:カテゴリ未分類
●サーバサイドメールフィルタ
・・・メールサーバ側でウイルスメールやスパムメールを処理する仕組み アンチウイルスやアンチスパム機能を備えたメールフィルタを導入することで、メールによるウイルスの拡散やスパムによる通信資源の無駄遣いを防ぐことが可能 ●不正中継 経緯 インターネットが一般ユーザに開放→中継を許可する設定のままインターネットに接続されたメールサーバを踏み台とし、不正メールを送る悪意ある第三者が増えてきた =不正な中継を第三者中継と呼ぶ。 ●POP before SMTP ・・・電子メールの受信(POP3)には認証があるのに、送信(SMTP)には認証がありません。そこで受信においてはIDとパスワードによる認証が可能であることを利用して、送信時のセキュリティを強化する仕様。 *** 仕組み ***
●メールサーバの認証機能の強化 POP3やPOP before SMTPで行われる認証ではユーザ名とパスワードが平文のまま送られるため、途中でパスワードが盗まれ、悪用される可能性があります。この問題に対処するために利用されるのがAPOPやSMTP AUTHです。 APOP POP3でメールを受信する際に、認証時にパスワードを暗号化してやり取りする仕組み。 利用するには・・・ ・POPサーバとMUA(メーラーなど)の両方がAPOPに対応していなければならない。 例)Qpopper APOPはあくまでMUAを認証するための仕組みであり、メール本文を暗号化することはない。 →盗聴された場合にパスワードを盗まれる可能性は低くなるが、メールの内容は漏洩してしまう。 SMTP AUTH メール送信に使うプロトコルであるSMTPにユーザ認証機能を追加した仕様。 メール送信時にユーザ認証を行うため、中継に関するセキュリティは格段に向上し、ユーザになりすましてメールを送信することができなくなる。 SMTP AUTHを使用するには、SMTPサーバとMUAとの間で次の手順により認証が行われる。 (1) クライアントがEHLOを送信 (2) SMTPサーバがSMTP AUTHに対応していれば認証に使用できる方式を送信 (3) クライアントが認証方式を指定 (4) サーバがチャレンジを送信 (5) クライアントがチャレンジとユーザ名、パスワードから計算したレスポンスを送信 (6) サーバが認証の結果をを通知 ●メールの暗号化 さらにセキュリティを強化するためには、メール本文を暗号化する必要がある。 POP3 over TLS/SSL APOPを利用する際、サーバだけでなくMUAもAPOPに対応していないといけないが、Outlook ExpressなどはAPOPに対応していません。これらのソフトウェアを使っているユーザは他の方法でパスワードを暗号化する必要があります。それがPOP3 over TLS/SSLです。 【特徴】 1)メールサーバからクライアントに電子メールを受信する際、TLS(Transport Layer Security)によって通信を暗号化する。 →認証時にMUAからサーバへ送られるパスワードや、サーバからクライアントへ配信されるメールの内容が全て暗号化される。 2)サーバとMUA両方がこの技術をサポートしている必要がある。 STARTTLS(スタートティーエルエス) sendmailに追加された、本文を暗号化する技術 SMTP-SMTP間や、SMTP-MUA巻の通信で、もし両者がともにTLSによる暗号化をサポートしているなら暗号通信に移行し、通信の盗聴による情報の漏洩リスクを低減する仕組み。 【特徴】 1)送信側と受信側の両方がSTARTTLSに対応していることが必須 2)メールを転送する経路上にSTARTTLSに対応していないサーバがあると、そのサーバとの送受信については暗号化されない。 その他電子メールの本文暗号化で利用される仕組み PGP(Pretty Good Privacy) S/MIME ●スパム・フィッシン対策 サーバサイドメールフィルタではスパムメールを完全に排除することはできません。また「フィッシング詐欺」から防御するためには、メールが妥当なサイトから送信されているかどうかを検証する必要があります。 最近、メール送信元の妥当性を検証する送信元認証技術が注目されています。 IPベースの認証方式 メールを送信したサーバのIPアドレスが妥当なものかどうかを調べる方法。 IPベースの認証方式として挙げられるのが、SPFとSender IDです。 SPF メールサーバは、届いたメールのアドレスに含まれているドメインのDNSサーバに問い合わせ、SPFレコードに記載されているメールサーバのIPアドレスと発信元サーバのIPアドレスが合っている場合は、認証されたメールとして扱う。 Sender ID 暗号化ベースの認証方式 電子署名を利用して、送信元を認証するための技術。 代表的なもの:DomainKeys DomainKeys 送信元:メールのハッシュ値を基に電子署名を作成→ヘッダに付加して送信 受信先:送信元のDNSサーバに登録されている公開鍵を取得→電子署名の妥当性を検証 【特徴】 メールの送信サーバと受信サーバの両端で行われているため、IPベースの認証と異なり、中継サーバを経由することによる問題はない。 お気に入りの記事を「いいね!」で応援しよう
Last updated
2006.08.05 11:47:07
|