検索
ニュース

「安全」なメールサーバは1%、デージーネットが調査6つの安全条件から判定

デージーネットはメールサーバの安全性に関するレポートを発表した。「安全」と判断されたメールサーバは全体の1%にとどまり、61%に改善が必要という内容だ。暗号化通信やDNSSECへの対応が課題だとしている。

Share
Tweet
LINE
Hatena

 デージーネットは2019年2月7日、メールサーバの安全性に関する課題の傾向や考察をまとめた統計レポートを発表した。

 これは、同社が2017年1月〜2018年12月に205個のドメインに対して、メールサーバに対する同社のセキュリティチェックツール「MSchecker」を使って実施したセキュリティ診断の結果に基づいたもの。同社によると、メールサーバ全体の61%に改善が必要だとしている。


メールサーバを4段階に総合評価した場合の比率(出典:デージーネット

 デージーネットでは、メールサーバを運用する上で、「メールの不正中継対策」と「DNSBL(DNSブラックリスト)の登録」の2つを必ず実施しなければならないとしている。

 また、実施すべき対策としては、メール通信の暗号化(メール送受信時のSSL/TLS処理)や、SPF(Sender Policy Framework)チェック、DKIM(DomainKeys Identified Mail)チェックといった送信元ドメインの認証、送信元DNSの逆引きを挙げた。

 さらに、DNSSEC(DNS Security Extensions)への対応を今後メールサーバに求められる対策としている。DNSSECは、DNSのデータ偽装を検知するための仕組みである。

DNSSEC対策を施していないサーバが98%

 今回の同社の調査によると、必ず実施しなければならない2つの対策をしていないメールサーバの割合は、いずれも2%だった。

 また、実施すべきとしている、メール通信の暗号化や、送信元ドメインの認証、送信元DNSの逆引きについて未設定だったメールサーバの割合は、それぞれ40%以上、25%、7%だった。さらに、DNSSECへの対応については98%が未設定の状態だった。

 これらの内容の実施状況を基にデージーネットでは、「安全」「見直しを推奨」「改善が必要」「危険」という4段階でメールサーバを総合評価した。

 「安全」と評価した基準は次の7つの対策を全て実施していた場合である。

  1. メールの不正中継対策
  2. SPFチェックまたはDKIMチェックのどちらか
  3. メール送信時のSSL/TLS処理
  4. メール受信時のSSL/TLS処理
  5. 送信元のDNS逆引き
  6. DNSSEC対応
  7. DNSBL登録

 また、「見直しを推奨」の判断基準は、DNSSECへの対応とDNSBLの登録がどちらも実施されていないこと。「改善が必要」の判断基準は、SPFチェックとDKIMチェック、メール送受信時のSSL/TLS処理、送信元のDNS逆引きをいずれも実施していないこと。そして「危険」はメールの不正中継対策が実施されていないことである。


SPFチェックとDKIMチェックへの対応状況(出典:デージーネット

 その結果、「安全」と判断されたメールサーバは全体の1%にすぎなかった。これに対して37%が「見直しを推奨」、60%が「改善が必要」、1%が「危険」と判断された。

40%の企業がメールでSSL/TLS処理の対策なし

 デージーネットでは、メール送受信時のSSL/TLS処理について、Googleがメールの送受信時にTLS接続を必須にしたことで普及率が上がりつつあるとしている。それにもかかわらず40%以上の企業が対策をしておらず、メールの送受信時に暗号化処理をしないと企業の機密情報や個人情報の漏えいにつながる危険性があると警鐘を鳴らしている。

 一方、DNSの応答が正式な発行元のデータかどうかを検証するDNSSECについては98%が対応しておらず、今後対策を進めていくべき課題だとしている。

 DNSSECに対応していないと、利用しているDNSサーバの情報が改ざんされてしまった場合、接続したいサイトとは全く別のサイトへ誘導されるという被害を受けてしまう。

Copyright © ITmedia, Inc. All Rights Reserved.