SMTPのセキュリティ対策(メールインフラを保護する方法)

SMTPのセキュリティ対策(メールインフラを保護する方法)

この記事は SMTP Security and Authentication: How to Protect Your Email Program の抄訳です。

もし赤の他人があなたのブランドを偽装してメールを送信したり、メールインフラにダメージを与えたりしたら?想像するだけでもゾッとしませんか?適切なセキュリティ対策を取らないと、スパマーによってこれらは現実のことになってしまうかもしれません。

今回セキュリティ対策についてご紹介するSMTP (Simple Mail Transfer Protocol) は、オンプレミスのメールサーバからメールサービスプロバイダ (ESP) によるリレーサービスに移行する最も手軽な方法の1つであり、また、最も一般的なメール送信方法です。(SMTPについての詳細はこちらをご覧ください)

スパマーは、セキュリティが弱いサーバを見つけてはアカウントを乗っ取ることを繰り返してきました。そのため、メールサーバのセキュリティは常に高いレベルにしておく必要があるのです。

メールをセキュアに送信するためには、送信者とサービスプロバイダが対策を取る必要があります。そこで利用するのがSMTP認証です。

SMTP認証は、サービスプロバイダが提供する拡張機能を使うために利用されるだけでなく、メールインフラやアカウントの不正利用から保護する点でも役立っています。

今回は、SMTP認証とは何か、なぜ重要なのか、そしてTwilio SendGridがSMTPリレーを安全に保つためにどのような対策をとっているのかをご紹介します。

SMTP認証とは?

SMTP認証とは、SMTPサーバへメール送信依頼を行う際に認証を行うことで、セキュアにメールを送信する仕組みです。

一般的なメール送信サービスはSMTPリレーの機能を持っているため、認証情報を書き換えるだけで他のサービスに切り替えることができます。

Twilio SendGridのアカウントにおけるSMTP認証

Twilio SendGridでSMTP送信を行う際は、APIキーによる認証が必要です。

親アカウントとサブユーザはそれぞれ別のAPIキーで認証を行うため、Twilio SendGridサーバは、どのアカウントからの送信リクエストであるかを特定することができます。したがって、マーケティングメール用とトランザクションメール用、あるいは本番環境用と開発環境用、といった具合にサブユーザを分けて送信することで、メール送信に関するイベント情報をそれぞれ分けて管理することができます。

Twilio SendGridのSMTPでメールを送信する方法についてはドキュメントをご覧ください。

もしSTMP認証の仕組みがなかったら?

SMTP認証がないと、送信依頼を受けるサーバは、正当な送信者によるリクエストなのか、あるいはスパマーや悪質業者によるものなのかを判断することができません。そのため、スプーフィングなどの被害を受ける恐れがあります。スプーフィングとは、悪意のある人物が送信元アドレスを偽装してメールを送信することです。

SMTP認証がないと、スパマーや悪質な業者のターゲットになってしまいます。

Twilio SendGridはどのようにSMTPをセキュアに保っているのか?

信頼できるコミュニケーションチャネルとしてメールを利用し続けられるよう、Twilio SendGridはセキュアなメール送信方法の提供に努めています。ここでは、そのための取り組みをいくつか紹介します。

Secure SMTP

Twilio SendGridは、SMTPS(TLSを使用したSMTP)に対応しており、ポート番号25、587、2525でTLS接続を受け付けます。SSLによる接続も可能です(ポート番号465)。

各ポートの違いについては、こちらをご覧ください。

Domain Authentication

Domain Authenticationは、Twilio SendGridから送り出されるメールの「送信者が誰であるかを証明する」ための機能です。

Twilio SendGridは送信リクエストと送信者のアカウントの紐付けを行い、設定されたドメインでSender Policy Framework (SPF)Domain Key Identified Mail (DKIM)の署名を行います。

SPFは、あるドメインからのメール送信に利用されるIPアドレスのリストをDNSレコードとして登録しておき、それを受信サーバが参照することで、メールが正当なものであるかを判断する仕組みです。一方、DKIMは、送信するメールに署名を付与する暗号化技術で、メールが正当な送信者から送られたものであることを保証する仕組みです。

Domain Authentication設定を行うことで、宛先サーバからなりすましメールだと判断される可能性を低減させることができます。つまり、メールがスパム判定されるリスクを抑えることができるのです。

二要素認証

2020年より、Twilio SendGridは全てのアカウントに対して二要素認証を必須化しました。それに伴い、すべてのSMTPリクエストにおいて、Basic認証(ユーザ名とパスワードによる認証)ではなく、APIキー認証を行う必要があります。

APIキー認証は、認証情報の文字列が長くなるだけではなく、パーミッションの制御や削除が容易にできるため、Basic認証よりもはるかに安全に利用することができます。

IP Access Management

IP Access Management機能は、アカウントへのアクセス元IPアドレスを制限する機能です。この機能の詳細については、ドキュメントをご覧ください。

Twilio SendGridの最新のセキュリティアップデートやメールのベストプラクティスについて知りたい方は、月刊のニュースレター「The Scoop」をご購読ください。

SMTPサーバのセキュリティ

セキュアなSMTPサーバを利用すれば、メールインフラをスパマーやスプーフィング攻撃から確実に保護することができます。SMTPサービスプロバイダを選ぶ際には、セキュリティ、柔軟性、導入のしやすさに注目してみてください。ぜひFreeアカウントを取得して、Twilio SendGridのSMTPをお試しください。

SMTPについては以下もご覧ください:

メールを成功の原動力に

開発者にもマーケターにも信頼されているメールサービスを利用して、
時間の節約、スケーラビリティ、メール配信に関する専門知識を手に入れましょう。