メール送受信の認証強化へのJCA-NETとしての対処について

2024年4月17日
この間JCA-NET理事会は、JCA-NETサービスを委託している市民電子情報網(POEM)の技術的な提言を受けながら、メールの信頼性向上について検討してきました。以下のような対処をとりまとめましたので、お知らせします。

なお、会員の皆様には、お手数ですが、メールソフト(Thunderbird、Becky、Outlook
Expressなど)の送信サーバー(SMTP)が下記のように設定されているかどうか確認し、
もし異なる設定になっている場合は以下のように変更するようお願いします。

サーバー名:mail.jca.apc.org
ポート番号:587
接続の保護:STARTTLS
ユーザー名:JCA-NETに登録しているユーザーID

最新の情報については下記のサポートのページも参照してください。
https://support.jca.apc.org/
--------------------------------------------------
メール送受信の認証強化へのJCA-NETとしての対処について
JCA-NET (2024/4/17)
--------------------------------------------------

Table of Contents
-----------------

1. はじめに:メールの信頼性をめぐる厳しい環境

2. @jca.apc.org ドメインのメールアドレスの信用を守るために
.. 2.1. サーバー側での技術的対策
.. 2.2 JCA-NETでウエッブを運用している会員への注意事項

1 はじめに:メールの信頼性をめぐる厳しい環境
============================================

電子メールについては、なりすましやスパムなど様々な問題が指摘されて久しく、
これに対して様々な対策がとられるようになっています。基本的には、メール
の差出人の信頼性(なりすましではないこと)を確認できるような仕組みの導入
が進んでいます。

JCA-NETでは、古くから電子メールサービスを会員の皆さんに提供してきた
こともあり、皆さんの電子メールの利用方法を極力壊さないことに重きを置いて、
大らかで性善説に基づいたポリシーにてサービスを運用して参りました。その
結果、近年ではJCA-NETのシステム運用者を不正に名乗ったメールをそのまま
会員の皆様に届けてしまうなどの行為を許してしまっております。

こうした時代の変化の中で、JCA-NETでも @jca.apc.org というドメインの
メールアドレスの信用を守るために、会員の皆さんにメールの利用方法について
いくつかのお願いをすることが必要になりました。

2. @jca.apc.org ドメインのメールアドレスの信用を守るために
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

JCA-NETとして @jca.apc.org のメールアドレスのなりすましを防ぐためには、
送信者が@jca.apc.org であるようなメールの受信者側で受信したメールに対し、
それが本当に @jca.apc.org のメールアドレスの持ち主からのメールであるか
どうかを確認する手段が必要となります。そのための手段として、送信者ドメイン
認証と呼ばれている一連の技術があります。これは基本的には送信者のメール
アドレスのうち、@より右の部分、組織を表すドメインの部分に関してその組織の
責任において正しい送信者メールアドレスであることを保証し、受信者がその
正しさを確認できるための仕組みです。JCA-NETでは SPF という仕組みによって、
@jca.apc.org のメールアドレスを送信者とするメールを送信する可能性のある
サーバーを宣言して公開しております。現在は JCA-NET の送信用メール
サーバーとして mail.jca.apc.org の他 Web サーバーもその宣言に含めて
おります。

ただし、送信者ドメイン認証では一般には @ の左の部分、その組織の個人や役割を
識別するIDの部分(ローカルパート)については第三者から見て正しいメール
アドレスであるかまでを保証するものではありません。このため、組織として正しく
メールアドレスを使っていることを保証するには、正しいサーバーから送信されて
いるというだけでは足りず、正しいサーバーから送信されているメールの送信者の
ローカルパートは正しいものであると第三者から信用される状態を作らなければ
なりません。

2.1 サーバー側での技術的対策
------------------------------

一言で言いますと、メール送信サーバーでの認証につかう利用者IDを元に、正しい
送信者としてメールを送信することを保証する、あるいは正しくないメール送信者
としてメールを送ることを禁止する、ということです。

より厳密に説明しますと以下の通りです。

メールを送信する側のプロバイダーは、同一ドメイン内、あるいは同じメール送信
サーバーを共有しているドメインとの間でのなりすましがされないようにするために、
ある契約者が占有的に使用しているメールアドレスに対し、その契約者以外がその
メールアドレスを送信者アドレスとして使用できないようにすること、あるいは
その契約者以外の者がそのメールアドレスを送信者アドレスと使用したメールに
対しては正当なものであるという証明を与えないことが必要になります。

これを実現するために、JCA-NETのメールサーバーではSMTP認証を行い、その際に
用いたJCA-NETのIDで利用が許可されているメールアドレス(利用者ID@jca.apc.org,
およびその他サービス利用に付随して許可されたメールアドレス)以外のメール
アドレスをエンベロープ送信者として利用できないように致します。

また、送信者を示す From: ヘッダあるいは Sender: ヘッダの検査を行って
先に正当な利用者のメールアドレスであることが保証されているエンベロープ送信者
アドレスと一致していない場合には送信を許可しない、あるいはDKIMの署名を
行わないことにより、正当であるという証明ができないように致します。

また、エンベロープ送信者のアドレスとヘッダの送信者が一致していないメールの
送信を許可する場合についてはSPFの宣言を行っていないメールサーバーを経由して
送ることにより、JCA-NETとして正当な検証を行っているメールとの区別をつけます。

2.2 JCA-NETでウエッブを運用している会員への注意事項
-----------------------------------------------------

以下は、JCA-NET上でウエッブ(ブログ)を設置し、フォームによりメールの送信が
できるような設定をされている皆さんへの注意事項です。

Webページからフォーム等の入力を行ない、この入力内容からメールを作成し
て送信するようなCGIやスクリプト、CMSの機能などにおいては、その仕組み上
SMTP認証等の利用者認証を行わない限り、そのメールの送信者を配送する時の
メール送信者の宣言(エンベロープ送信者)が正しくそのWebページの管理者の
ものであるかを確認することができず、また、その送信者が正しくメールのヘッ
ダー送信者をセットしているかどうかも検査できないため、Webサーバーから
送られるメールになりすましがないことを保証することができません。このた
め、Webシステム上で任意でプログラムを実行させることが可能な者は任意の
メール送信者アドレスを名乗って外部へとメールを送ることが可能となります。

このように、Webからのメール送信は、なりすましメールの温床であり、何ら
かの対処が必要と考えています。少なくとも、現行のままのメール送信については
JCA-NETとして正当なメールの証明を与えることは大きなリスクであると言えます。
この件については、別途事前にお知らせをする予定です。

問い合わせ先
JCA-NETサポート
080-2054-7704
または
JCA-NET 理事
小倉利丸
toshi@jca.apc.org
070-5553-5495