SMTP認証の重要性と、SendGridのセキュリティ対策
- 2023年10月19日
- by SendGrid
- Category: ベストプラクティス 技術ネタ
この記事は SMTP Authentication & Security: How to Protect Your Email Program の抄訳です。
もし赤の他人があなたになりすましてメールを送信したり、メールインフラにダメージを与えたりしたら?想像するだけでもゾッとしませんか?適切なセキュリティ対策を行わないと、スパマーによってこれらは現実になるかもしれません。
今回は、SMTP(Simple Mail Transfer Protocol)のセキュリティ対策についてご紹介します。SMTPは、最も一般的なメール送信方法であり、オンプレミスのメールサーバからTwilio SendGridのようなリレーサービスに移行した場合であっても使われ続けるものです。
スパマーは通常、セキュリティが弱いサーバを見つけてはアカウントを乗っ取ることを繰り返します。メールサーバのセキュリティは常に高いレベルにしておかねばなりません。また、メールをセキュアに送信するためには、送信者とサービスプロバイダの双方が対策を取る必要があります。
そこで利用されるのがSMTP認証です。
SMTP認証は、サービスプロバイダが提供する拡張機能を活用できるだけでなく、メールインフラやアカウントの不正利用から保護する点でも役立っています。
SMTP認証とは何か、なぜ重要なのか、そしてTwilio SendGridがSMTPリレーを安全に保つためにどのような対策をとっているのかについて詳しく見ていきましょう。
SMTP認証とは?
SMTP認証とは、SMTPサーバへメール送信を依頼する際に認証を行うことで、セキュアにメールを送信する仕組みです。
一般的なメール送信サービスはSMTPリレーの機能を持っているため、認証情報を書き換えるだけで他のサービスに切り替えることができます。
Twilio SendGridのアカウントにおけるSMTP認証
SendGridでSMTP送信を行うには、APIキーによる認証が必要です。
親アカウントとサブユーザはそれぞれ固有のAPIキーで認証を行うため、SendGridサーバは、どのアカウントからの送信リクエストであるかを特定することができます。したがって、マーケティングメール用とトランザクションメール用、あるいは本番環境用と開発環境用など用途に応じてサブユーザを分けることで、メール送信に関するイベント情報やレピュテーションを分けて管理できます。
SendGridのSMTPでメールを送信する方法についてはドキュメントをご覧ください。
もしSTMP認証の仕組みがなかったら?
SMTP認証がないと、送信依頼を受けるサーバは、正当な送信者によるリクエストなのか、あるいはスパマーや悪質業者によるものなのかを判断できません。そのため、悪質なメールも通過させてしまい、受信者がスプーフィングなどの被害を受ける恐れがあります。スプーフィングとは、悪意のある人物が送信元アドレスを偽装してメールを送信することです。
SMTP認証がないと、スパマーや悪質な業者のターゲットになってしまいます。
Twilio SendGridはどのようにSMTPをセキュアに保っているのか?
信頼できるコミュニケーションチャネルとしてメールを利用し続けられるよう、SendGridはセキュアなメール送信方法の提供に努めています。ここでは、そのための取り組みをいくつか紹介します。
Secure SMTP
SendGridはSMTPS(TLSを使用したSMTP)に対応しており、ポート番号25、587、2525でTLS接続を受け付けます。SSLによる接続も可能です(ポート番号465)。
各ポートの違いについては、こちらをご覧ください。
Domain Authentication
Domain Authenticationは、SendGridから送り出されるメールの「送信者が誰であるかを証明する」ための機能です。
SendGridは送信リクエストと送信者のアカウントとの紐付けを行い、Domain Authenticationで設定されたドメインでSender Policy Framework(SPF)とDomain Key Identified Mail(DKIM)の署名を行います。
SPFは、あるドメインからのメール送信に利用されるIPアドレスのリストをDNSレコードとして登録しておき、それを受信サーバが参照することで、メールが正当なものであるかを判断する仕組みです。一方、DKIMは、送信するメールに署名を付与する暗号化技術で、メールが正当な送信者から送られたものであることを保証する仕組みです。
Domain Authenticationを設定することで、メールがスパム判定されるリスクを抑えることができます。
二要素認証
2020年より、SendGridは全てのアカウントに対して二要素認証を必須化しました。それに伴い、全てのSMTPリクエストにおいて、Basic認証(ユーザ名とパスワードによる認証)ではなく、APIキー認証を行う必要があります。
APIキー認証は、認証情報の文字列が長くなることでセキュリティが高まるだけではなく、パーミッションの制御や削除が容易にできるため、Basic認証よりもはるかに安全です。
IP Access Management
IP Access Managementは、接続元IPアドレスに基づいてアカウントへのアクセスを制限できるセキュリティ機能です。この機能の詳細はドキュメントをご覧ください。
SMTPサーバのセキュリティ
セキュアなSMTPサーバを利用すれば、メールインフラをスパマーやスプーフィング攻撃から確実に保護することができます。SMTPサービスプロバイダを選ぶ際には、セキュリティ、柔軟性、導入のしやすさに注目してみてください。ぜひ無料アカウントを取得して、SendGridのSMTPをお試しください。
SMTPや認証については以下もご覧ください。