SendGridとメールセキュリティの今後

この記事は SendGrid and the Future of Email Security の抄訳です。

SendGridではメールのセキュリティについてのお問合せを多く頂きます。最近も国家によるインターネットの監視の発覚などが話題になりました。そういったこともありメールのセキュリティも新たな段階に突入したといえるでしょう。

米国時間の2014年6月5日より、SendGridから送信されるメールにはすべてTLSを用いた日和見暗号化(Opportunistic Encryption)を適用しています。それまでもSendGridへの送信に関しては、HTTPS, SMTP-SSL, STARTTLSを利用した暗号化に対応していましたが、以降は、SendGridから受信側ISPまでの通信も、(相手側が対応している場合は)全てTLSを利用して送信されます。
つまり、受信側のメールサーバがTLSに対応し、正しく設定されていれば、攻撃者による盗聴や改竄は不可能になります。もちろん攻撃者に証明書が盗まれてしまった場合はこの限りではありませんが。

それでは、各メールプロバイダのTLSの対応状況を見てみましょう。以下のプロバイダは全て米国のものです。

AOL, Gmail, HotmailはTLSを正しく設定し、サービス利用者にメールを届けていますが、Yahoo!(このYahoo! は米国のyahoo.comです。yahoo.co.jpではありません)の場合少々異なります。
YahooはTLSをサポートしていますが、誤って*.yahoodns.netをワイルドカード証明書として利用しています。RFC-2818によると、am0.yahoodns.netは正当と判断されますが、mta5.am0.yahoodns.netは不正と判断されてしまいます。本件についてはYahooに報告し、対応中です。

テスト及びテスト結果

上記以外のISP、メールプロバイダについてはどうでしょうか？SendGridでは到達率を非常に重要視しているため、外部への（アウトバウンド）メールに対しTLSを有効にする前に、広範囲に渡るテストを行う必要がありました。Co-founderでありCTOでもあるTim Jenkinsはここ一ヶ月の間にSendGridから送信したメールの、800万の受信者のドメインに対し、TLSが利用可能かどうかのテストを実施しました。

テストの結果は・・・

2014年5月10, 11日にかけて、SendGridがよく送信している800万のドメインのメールサーバに対し、SMTP接続を試みました。
800万のドメインは、340万のホストで構成されていました。その76.1%にあたる2,614,380のホストはTLSに対応とのことでしたが、223,800(8.5%)とは信頼されたTLS接続を確立することはできませんでした。

その原因を掘り下げたところ以下のことが分かりました。

• 145,951 (65.2%) ：コモンネーム（CN）の不一致
• 50,293 (22.5%) ：認証局が不明
• 19,755 (8.8%) ：有効期限切れ
• 4628 (2.0%) ：接続に問題有り

これらの結果を踏まえ、SendGridでは日和見暗号化(Opportunistic Encription)を採用することにしました。日和見暗号化では、まずTLS接続を相手側サーバと確立するよう試みます、そこで失敗すると暗号化されない通常の接続に戻します。
また、管理者アドレス（postmaster）についてもTLSに対応するよう正しく設定されておらず、修正の必要があるものもありました。

今後：日和見暗号で十分でしょうか？ご安心ください。エンドツーエンドでの暗号化について近々ご紹介しますので、しばらくお待ちください。