メールサーバーのセキュリティ設定
独自ドメインのメールサーバーとして使用している「さくらのメールボックス」さんからメールサーバーセキュリティ(送信側)の強化のお知らせが来たので、調べながら対処することにしました。大した手間はかかりませんでした。
その後、しばらくしてGmail宛にメールが届かないという騒動が起きたみたいでちょっと話題になってますね。ウチは先に対応済みだったのでGmailに届かないってことはありません。大丈夫です。
さくらインターネットが出している情報を元にメールサーバーの設定を行い、SPFは当然ですが(これはかなり前から対応させておいた)、DKIM、DMARC、そしてBIMIにも対応させられました。但しBIMIで表示させるロゴマークのVMC電子証明書が有料でコストがかかることもあり、個人事業レベルでは電子証明は非導入という形になります。
コストの関係で電子証明書を導入出来ないのでオレオレ・ロゴという感じになってしまいますが、DNSを乗っ取られない限りは容易には改ざんできないハズですし、そもそも個人事業レベルをターゲットにロゴマークを偽装しても意味がないですから十分でしょう。こういうセキュリティ意識は重要なので、お金を稼いでいる企業さんはきちんとお金を払ってVMC電子証明書付きのBIMIロゴを導入した方が良いです。
個人でもメールサーバーとWebサーバーを運用していて、DNSを触れるのであれば、送信サーバーのセキュリティ対策としてやっておく価値は十分にあります。
BIMIに対応できたか確認する方法
残念なことに私が使っているメーラー(Thunderbird)には、送信メール機能をBIMIに対応させる実装がまだされてない様です。そもそもメーラーがMIBIに対応してるという確認はどうやって取れば良いのか?(MIBI対応しているメーラーがどれか分からない状態で、メールサーバーの確認をどうやって行うか?)
受信したメールについては、アドオン「DKIM Verifier」をインストールしてやれば表示される様になります。例えばGoogleやMicrosoft、Yahoo!から受信したメールの場合、メールアドレス横にBIMI対応のロゴマークが表示されます。これは非常にわかりやすいので便利です。是非入れておきたいアドオンです。
Gmailだけでなく、Yahoo!メールもMIBI対応していました。企業ロゴマークがきちんと表示されるメールがあります。しかしVMC電子証明書が備わっていないと信頼できるメールと判定されない様です。
そこで、視点を変えて、自分のメールサーバー(SMTP)がセキュリティ的にきちんと対応できているか?を確認する為に、下記サービスを使わせていただき診断することにしました。
結果、マイドメインのメールサーバーは「SPF」「DKIM」「DMARC」「BIMI」に対応していることを確認できました。但し、先述の通り想定内の1項目だけチェックにひっかかってしまい、BIMIのロゴマークが認証されてないといわれてしまいます。証明書の取得には費用がかかるので個人レベルでは証明書付きのロゴマークは気軽には使えません。
Note: While your BIMI record is compliant, it doesn’t include a Verified Mark Certificate that may be required by some mailbox providers.
注: BIMI レコードは準拠していますが、一部のメールボックス プロバイダーで必要とされる検証済みマーク証明書は含まれていません。
SVGファイル作成に躓いた
さて今回作業をしてみて、MIBIに使用するSVGファイルはVer 1.2に準拠とか、ドメイン名埋め込みなどのルールがあるとわかりました。そこで手っ取り早くJPEG画像ファイルなどをアップロードしてMIBI対応のSVGに変換してくれる「image2svg.com」さんが親切だなと感じました。最初に自分でInkscapeで作ったSVG画像を配置して診断してみたところ、SVGのバージョンが1.0で準拠しておらず、他にも基準を満たしてない項目があってエラーが出まくりでした。
DMARCポリシーについて
さくらのメールボックスでは、DMARCポリシーとして下記の3つから選べますが、報告のみ行う(none)ではダメです。隔離を意味する(quarantine)、拒否を意味する(reject)のいずれかにしなければなりません。報告のみで受信してしまうとセキュリティ的に意味がないというのが理由です。
- 報告のみ行う (none)
- 迷惑メールフォルダに保存する (quarantine)
- 受信させない (reject)
この辺りについては、上記の「bimi generator」サービスの診断機能を使わせてもらいながら自身でメールサーバーの設定を試すと理解が深まります。英語での診断結果になりますが翻訳ツールで十分理解できる内容の指摘を受けられます。
BIMI対応の詳しい手順
今回、BIMIよるブランドロゴ(ドメインロゴ)をメーラーに表示させる仕組みは、カゴヤさんの記事を参考にさせていただきました。情報が多くかつ整理されていて要点が汲み取りやすかったです。こういう記事を書ける人は素晴らしく頭が良いと思います。(オススメ)
個人的メモ(要点)としては
- 自ドメインのメールサーバーをSPF/DKIM/DMARCに対応させる
- ロゴをsvg形式で作成してhttpsで公開する(自自前サーバーが理想)
- ロゴのVMC証明書を取得する(お金がかかる/必須ではない)
- DNSに下記の様なTXTレコードを追加する
※本来はこうしたいところ・・
default._bimi.s-fact.biz IN TXT "v=BIMI1; l=https://www.s-fact.biz/sf_log.svg; a=https://www.s-fact.biz/vmc.pem"Code language: JavaScript (javascript)※VMC証明書は有料で当サイトでは置けないので端折った
default._bimi.s-fact.biz IN TXT "v=BIMI1; l=https://www.s-fact.biz/sf_log.svg; a=;"Code language: JavaScript (javascript)その結果として診断サイトによって指摘されましたがこれは致し方ないです。BIMIが普及して一般化すればVMC証明書の価格も下がるだろうからその時に対応するか考えることにします。
ThunderbirdのBIMIサポート(対応)に期待したい
個人的にThunderbirdには期待していて、大した額ではありませんが時々寄付して愛用させてもらっているので、なるだけ早く標準機能としてBIMIに対応させて欲しいと思ってます。現状、GmailやYahoo!メール位しかBIMIにしっかり対応させてないんじゃないかと思うので(知らないだけかも知れないが)、現状はお金のかかるVMC証明書が取れない個人では送信メール側にBIMI対策する意味があまり無いです。
Thunderbirdにはアドオンで機能追加という余地があるので、頭の良い人が追加実装してくれるかも知れません。既存のアドオン「DKIM Verifier」に設定項目が増えて、VMC証明書のチェックをゆるくする事ができれば現実的です。
HTTPSの時もそうでしたがGoogleはITの標準ルールをどんどん牽引して行ってくれる力を持っています。BIMIについてはまだ普及まで時間がかかりそうですが、その内企業メールでは当たり前になるのでしょう。何年かかるかは誰にも分からないですがそう遠い未来ではなさそうです。
コメント