2024年4月17日
この間JCA-NET理事会は、JCA-NETサービスを委託している市民電子情報網(POEM)の技術的な提言を受けながら、メールの信頼性向上について検討してきました。以下のような対処をとりまとめましたので、お知らせします。
なお、会員の皆様には、お手数ですが、メールソフト(Thunderbird、Becky、Outlook
Expressなど)の送信サーバー(SMTP)が下記のように設定されているかどうか確認し、
もし異なる設定になっている場合は以下のように変更するようお願いします。
サーバー名:mail.jca.apc.org
ポート番号:587
接続の保護:STARTTLS
ユーザー名:JCA-NETに登録しているユーザーID
最新の情報については下記のサポートのページも参照してください。
https://support.jca.apc.org/
————————————————–
メール送受信の認証強化へのJCA-NETとしての対処について
JCA-NET (2024/4/17)
————————————————–
Table of Contents
—————–
1. はじめに:メールの信頼性をめぐる厳しい環境
2. @jca.apc.org ドメインのメールアドレスの信用を守るために
.. 2.1. サーバー側での技術的対策
.. 2.2 JCA-NETでウエッブを運用している会員への注意事項
1 はじめに:メールの信頼性をめぐる厳しい環境
============================================
電子メールについては、なりすましやスパムなど様々な問題が指摘されて久しく、これに対して様々な対策がとられるようになっています。基本的には、メールの差出人の信頼性(なりすましではないこと)を確認できるような仕組みの導入が進んでいます。
JCA-NETでは、古くから電子メールサービスを会員の皆さんに提供してきた
こともあり、皆さんの電子メールの利用方法を極力壊さないことに重きを置いて、大らかで性善説に基づいたポリシーにてサービスを運用して参りました。その結果、近年ではJCA-NETのシステム運用者を不正に名乗ったメールをそのまま会員の皆様に届けてしまうなどの行為を許してしまっております。
こうした時代の変化の中で、JCA-NETでも @jca.apc.org というドメインの
メールアドレスの信用を守るために、会員の皆さんにメールの利用方法についていくつかのお願いをすることが必要になりました。
2. @jca.apc.org ドメインのメールアドレスの信用を守るために
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
JCA-NETとして @jca.apc.org のメールアドレスのなりすましを防ぐためには、送信者が@jca.apc.org であるようなメールの受信者側で受信したメールに対し、それが本当に @jca.apc.org のメールアドレスの持ち主からのメールであるかどうかを確認する手段が必要となります。そのための手段として、送信者ドメイン認証と呼ばれている一連の技術があります。これは基本的には送信者のメールアドレスのうち、@より右の部分、組織を表すドメインの部分に関してその組織の責任において正しい送信者メールアドレスであることを保証し、受信者がその正しさを確認できるための仕組みです。JCA-NETでは SPF という仕組みによって、@jca.apc.org のメールアドレスを送信者とするメールを送信する可能性のあるサーバーを宣言して公開しております。現在は JCA-NET の送信用メールサーバーとして mail.jca.apc.org の他 Web サーバーもその宣言に含めて
おります。
ただし、送信者ドメイン認証では一般には @ の左の部分、その組織の個人や役割を識別するIDの部分(ローカルパート)については第三者から見て正しいメールアドレスであるかまでを保証するものではありません。このため、組織として正しくメールアドレスを使っていることを保証するには、正しいサーバーから送信されているというだけでは足りず、正しいサーバーから送信されているメールの送信者のローカルパートは正しいものであると第三者から信用される状態を作らなければなりません。
2.1 サーバー側での技術的対策
——————————
一言で言いますと、メール送信サーバーでの認証につかう利用者IDを元に、正しい送信者としてメールを送信することを保証する、あるいは正しくないメール送信者としてメールを送ることを禁止する、ということです。
より厳密に説明しますと以下の通りです。
メールを送信する側のプロバイダーは、同一ドメイン内、あるいは同じメール送信サーバーを共有しているドメインとの間でのなりすましがされないようにするために、ある契約者が占有的に使用しているメールアドレスに対し、その契約者以外がそのメールアドレスを送信者アドレスとして使用できないようにすること、あるいはその契約者以外の者がそのメールアドレスを送信者アドレスと使用したメールに対しては正当なものであるという証明を与えないことが必要になります。
これを実現するために、JCA-NETのメールサーバーではSMTP認証を行い、その際に用いたJCA-NETのIDで利用が許可されているメールアドレス(利用者ID@jca.apc.org,およびその他サービス利用に付随して許可されたメールアドレス)以外のメールアドレスをエンベロープ送信者として利用できないように致します。
また、送信者を示す From: ヘッダあるいは Sender: ヘッダの検査を行って
先に正当な利用者のメールアドレスであることが保証されているエンベロープ送信者アドレスと一致していない場合には送信を許可しない、あるいはDKIMの署名を行わないことにより、正当であるという証明ができないように致します。
また、エンベロープ送信者のアドレスとヘッダの送信者が一致していないメールの送信を許可する場合についてはSPFの宣言を行っていないメールサーバーを経由して送ることにより、JCA-NETとして正当な検証を行っているメールとの区別をつけます。
2.2 JCA-NETでウエッブを運用している会員への注意事項
—————————————————–
以下は、JCA-NET上でウエッブ(ブログ)を設置し、フォームによりメールの送信ができるような設定をされている皆さんへの注意事項です。
Webページからフォーム等の入力を行ない、この入力内容からメールを作成して送信するようなCGIやスクリプト、CMSの機能などにおいては、その仕組み上SMTP認証等の利用者認証を行わない限り、そのメールの送信者を配送する時のメール送信者の宣言(エンベロープ送信者)が正しくそのWebページの管理者のものであるかを確認することができず、また、その送信者が正しくメールのヘッダー送信者をセットしているかどうかも検査できないため、Webサーバーから送られるメールになりすましがないことを保証することができません。このため、Webシステム上で任意でプログラムを実行させることが可能な者は任意のメール送信者アドレスを名乗って外部へとメールを送ることが可能となります。
このように、Webからのメール送信は、なりすましメールの温床であり、何らかの対処が必要と考えています。少なくとも、現行のままのメール送信についてはJCA-NETとして正当なメールの証明を与えることは大きなリスクであると言えます。この件については、別途事前にお知らせをする予定です。
問い合わせ先
JCA-NETサポート
080-2054-7704
または
JCA-NET 理事
小倉利丸
toshi@jca.apc.org
070-5553-5495