現在最も人気のある 7 つの電子メール セキュリティ プロトコル

電子メール セキュリティ プロトコルは、ユーザーの電子メールを外部の干渉から保護する構造です。電子メールには追加のセキュリティ プロトコルが必要な理由があります。Simple Mail Transfer Protocol (SMTP) にはセキュリティが組み込まれていません。衝撃的なニュースですね。

多くのセキュリティ プロトコルは SMTP で動作します。これらのプロトコルと、それらが電子メールをどのように保護するかを次に示します。

電子メールのセキュリティ プロトコルについて学ぶ

• 1. SSL/TLS が電子メールの安全を保つ仕組み
  • 便宜的 TLS と強制 TLS
• 2. デジタル証明書
• 3. Sender Policy Framework によるドメイン スプーフィングからの保護
• 4. DKIM が電子メールを安全に保つ方法
• 5.DMARCとは何ですか?
• 6. S/MIMEによるエンドツーエンド暗号化
• 7. PGP/OpenPGP とは何ですか?

1. SSL/TLS が電子メールの安全を保つ仕組み

Secure Sockets Layer (SSL)とその後継である Transport Layer Security (TLS) は、インターネット上を移動する電子メールを保護するための最も一般的な電子メール セキュリティ プロトコルです。

SSL と TLS はアプリケーション層プロトコルです。インターネット通信ネットワークでは、アプリケーション層がエンドユーザー サービスの通信を標準化します。この場合、アプリケーション層は、SMTP (アプリケーション層プロトコルでもある) と連携してユーザーの電子メール通信を保護するセキュリティ フレームワーク (一連のルール) を提供します。

前身である SSL は 2015 年以降非推奨になっているため、記事のこの部分では TLS についてのみ説明します。

TLS は、コンピュータ プログラムとの「通信」に追加のプライバシーとセキュリティを提供します。この場合、TLS は SMTP にセキュリティを提供します。

ユーザーの電子メール アプリケーションは、メッセージを送受信するときに、伝送制御プロトコル (TCP - トランスポート層の一部であり、電子メール クライアントはこれを電子メール サーバーへの接続に使用します) を使用して、電子メール サーバーとの「ハンドシェイク」を開始します。

ハンドシェイクは、電子メール クライアントと電子メール サーバーがセキュリティと暗号化の設定を確認し、電子メールの送信を開始する一連の手順です。基本レベルでは、ハンドシェイクは次のように機能します。

1. クライアントは、「hello」メッセージ、暗号化タイプ、および互換性のある TLS バージョンを電子メール サーバー (電子メール サーバー) に送信します。

2. サーバーは、TLS デジタル証明書とサーバーの公開暗号化キーで応答します。

3. クライアントは証明書情報を検証します。

4. クライアントは、サーバーの公開キーを使用して共有秘密キー (プレマスター キーとも呼ばれます) を生成し、それをサーバーに送信します。

5. サーバーは秘密共有キーを復号化します。

6. この時点で、クライアントとサーバーは秘密共有キーを使用してデータ送信 (この場合はユーザーの電子メール) を暗号化できます。

TLS は、ほとんどの電子メール サーバーと電子メール クライアントがユーザーの電子メールに基本レベルの暗号化を提供するために TLS を使用しているため、重要です。

便宜的 TLS と強制 TLS

Opportunistic TLS は、電子メール クライアントが既存の接続を安全な TLS 接続に変更したいことを電子メール サーバーに通知するプロトコル コマンドです。

場合によっては、ユーザーの電子メール クライアントは、安全な接続を作成するために上記のハンドシェイク プロセスに従う代わりに、プレーン テキスト接続を使用することがあります。 Opportunistic TLS は、TLS ハンドシェイクを開始して「トンネル」を作成しようとします。ただし、ハンドシェイクが失敗した場合、Opportunistic TLS はプレーン テキスト接続に戻り、暗号化せずに電子メールを送信します。

強制 TLS は、すべての電子メール「トランザクション」に安全な TLS 標準の使用を強制するプロトコル構成です。電子メールが電子メール クライアントから電子メール サーバーに到達できず、さらに電子メール受信者に到達できない場合、メッセージは配信されません。

2. デジタル証明書

デジタル証明書は、電子メールを暗号的に保護するために使用できる暗号化ツールです。デジタル証明書は公開キー暗号化の一種です。

認証を使用すると、あらかじめ決められた公開暗号キーで暗号化された電子メールを送信したり、他の人に送信するメッセージを暗号化したりすることができます。デジタル証明書はオンライン ID に関連付けられたパスポートのように機能し、その主な用途はその ID を認証することです。

デジタル証明書を取得すると、暗号化されたメッセージを送信したい人は誰でも公開キーを利用できるようになります。彼らはあなたの公開鍵を使って文書を暗号化し、あなたはあなたの秘密鍵を使ってそれを復号化します。

デジタル証明書は、個人、企業、政府機関、電子メール サーバー、およびその他のほぼすべてのデジタル エンティティがオンラインで ID を認証するために使用できます。

3. Sender Policy Framework でドメインのなりすましを防止する

Sender Policy Framework (SPF) は、理論的にはドメイン スプーフィングから保護する認証プロトコルです。

SPF では、メッセージがドメインから送信されているかどうか、または誰かが本当の身元を隠すためにドメインを使用しているかどうかをサーバーが判断できるようにする追加のセキュリティ チェックが導入されています。ドメインは、一意の名前を持つインターネットの一部です。たとえば、Quantrimang.com はドメインです。

ハッカーやスパマーは、ドメインから場所や所有者を追跡したり、少なくともそのドメインがリストに載っているかどうかを確認したりできるため、システムに侵入したりユーザーを詐欺しようとしたりするときに、ドメインを隠すことがよくあります。悪意のある電子メールを「健全な」アクティブ ドメインとして偽装することで、ユーザーが悪意のある添付ファイルをクリックしたり開いたりするときに、不審に思うことがなくなる可能性が非常に高くなります。

Sender Policy Framework には、フレームワーク、認証方法、情報を伝達する特殊な電子メール ヘッダーという 3 つのコア要素があります。

4. DKIM が電子メールを安全に保つ方法

DomainKeys Identified Mail (DKIM) は、送信されたメッセージが送信中に安全であることを保証する改ざん防止プロトコルです。 DKIM はデジタル署名を使用して、電子メールが特定のドメインから送信されたことを確認します。さらに、ドメインでメールの送信が許可されているかどうかもチェックします。 DKIM は SPF の拡張機能です。

実際には、DKIM を使用すると、「ブラックリスト」と「ホワイトリスト」の作成が容易になります。

5.DMARCとは何ですか?

次の電子メール セキュリティ プロトコルは、Domain-Based Message Authentication, Reporting & Conformance (DMARC) です。 DMARC は、SPF および DKIM 標準を検証して、ドメインに起因する不正行為から保護する認証システムです。 DMARC は、ドメイン スプーフィングとの戦いにおいて重要な機能です。しかし、採用率が比較的低いということは、偽造が依然として横行していることを意味します。

DMARC は、ユーザーのアドレスからのヘッダーの偽造を防止することによって機能します。これは次のようにして行われます。

• ドメイン名「header from」とドメイン名「envelope from」を一致させます。 「エンベロープ元」ドメインは SPF テスト中に特定されます。
• ドメイン名「envelope from」と DKIM 署名にある「d= ドメイン名」を照合します。

DMARC は、受信メールの処理方法をメール プロバイダーに指示します。電子メールが SPF テストおよび DKIM 認証基準を満たしていない場合、その電子メールは拒否されます。 DMARC は、あらゆる規模のドメインがドメイン名をスプーフィングから保護できるようにするテクノロジーです。

6. S/MIMEによるエンドツーエンド暗号化

Secure/MultiPurpose Internet Mail Extensions (S/MIME) は、長年使用されているエンドツーエンド暗号化プロトコルです。 S/MIME は、電子メール ヘッダーの送信者、受信者、またはその他の部分を除いて、電子メールの内容を送信前にエンコードします。受信者のみが送信者のメッセージを復号化できます。

S/MIME は電子メール クライアントによって実装されますが、デジタル証明書が必要です。最新の電子メール クライアントのほとんどは S/MIME をサポートしていますが、ユーザーはアプリケーションと電子メール プロバイダーの特定のサポートを確認する必要があります。

7. PGP/OpenPGP とは何ですか?

Pretty Good Privacy (PGP) も、長年使用されているエンドツーエンド暗号化プロトコルです。ただし、ユーザーはオープンソースの OpenPGP に遭遇し、使用したことがある可能性が高くなります。

OpenPGP は、PGP 暗号化プロトコルのオープン ソース バージョンです。定期的に更新が行われ、ユーザーは多くの最新のアプリケーションやサービスでそれを見つけることができます。 S/MIME と同様に、サードパーティは電子メールの送信者や受信者の情報などの電子メールのメタデータに引き続きアクセスできます。

ユーザーは、次のアプリケーションのいずれかを使用して、電子メール セキュリティ設定に OpenPGP を追加できます。

• Windows: Windows ユーザーは Gpg4Win.org を検討してください。
• macOS: macOS ユーザーは Gpgtools.org をチェックしてください。
• Linux: Linux ユーザーは GnuPG.org を選択する必要があります。
• Android: Android ユーザーは OpenKeychain.org をチェックしてください。
• iOS: iOS ユーザーは PGP Everywhere を選択する必要があります。 (pgpeverywhere.com)

各プログラムでの OpenPGP の実装は若干異なります。各プログラムには、電子メール暗号化を使用するように OpenPGP プロトコルを設定する異なる開発者がいます。ただし、これらはすべて、ユーザーがデータを信頼できる信頼性の高い暗号化プログラムです。

OpenPGP は、さまざまなプラットフォームに暗号化を追加する最も簡単な方法の 1 つです。

電子メール セキュリティ プロトコルは、ユーザーの電子メールにセキュリティ層を追加するため、非常に重要です。基本的に、電子メールは攻撃に対して脆弱です。 SMTP にはセキュリティが組み込まれておらず、特に機密情報が含まれている場合、電子メールをプレーン テキストで送信する (つまり、保護が何もなく、傍受すれば誰でも内容を読み取ることができます) ことは非常に危険です。

正しい選択が見つかることを願っています。

続きを見る：

• メールを安全に保護するための 7 つのヒント
• 電子メールを保護する 4 つの簡単な方法
• 8 つの最高の安全な電子メール サービスでプライバシーを確​​保