TwoFive メールセキュリティ Blog 第9回 もうひとつのレガシー「メール自動転送機能」は生き残るべきかどうか | ScanNetSecurity
2024.06.15(土)

TwoFive メールセキュリティ Blog 第9回 もうひとつのレガシー「メール自動転送機能」は生き残るべきかどうか

以前は便利に使われていたメール自動転送機能は、テクノロジーの進化の中で、現在では、より良い代替手段が提供されるようになっているのです。もしかしたら、もはや必要ないかもしれません。

特集
(イメージ画像)
  • (イメージ画像)
  • 図1.サービスの用途によって問題解決が困難に
  • 図2.SPF送信ドメイン認証で自動転送で認証が失敗する問題

 インターネットの初期から使い続けられている電子メールのネットワークは、現在も改良や拡張が行われ続け、また、大規模メールボックスプロバイダーの登場や企業メールのクラウドサービスへの移行、大量メール送信業者の登場など、そのトポロジーも変化しています。

●電子メールの進化の中で廃止された機能たち

 電子メールの長い歴史の中で、利便性はあるもののセキュリティに問題がある構成や機能などは、利用廃止や別手段での代替が行われています。例えば、オープンリレー構成はスパムの踏み台とされるため早い時期から問題視され禁止されています。各種の認証方法、例えば POP3 before SMTP認証もセキュリティリスクが高いことから廃止されました。

 そうした観点で、メールボックス配送時の「メール自動転送」という機能について考えてみたいと思います。メール自動転送機能は、現在のネット環境でも必要でしょうか?

●メール自動転送とは

 どういう機能かピンと来ない方もいるかもしれないので簡単に説明しますと、自分のメールの受信箱にメールが届いたら、事前に指定した別のメールアドレスにそのメールをサーバー上で自動的に転送する機能です。自動転送する時にオリジナルのコピーは受信箱に保存するというオプションがついている場合が多いです。複数アドレスに自動転送する機能、送信者や件名や本文の内容などについて条件を設定し、その条件に合ったメールだけを転送する機能もあります。

 メール自動転送機能は、受信者がメールアプリを使って手動でメールを転送するのとは違います。また、ここで問題にするのは、メールの転送先が、最初にメールを受信したメールボックスを管理している組織の管理が及ばない他のメールサービスになっているケースです。管理主体が同一のメールシステム間で転送する場合は対象外です。

 例えば、会社のメールアドレスにメールが届いたとき、それを自分の携帯電話のメールアドレスへ自動転送することで、携帯電話の通知機能でメールの着信をリアルタイムに知ることができ、また、出張先などでもメールを読むことができます。また、複数のメールアドレスを持っていて、それらに配送されるメールを 1 つのメールアドレスに自動転送するよう設定し一カ所で参照する、というように利用されてきました。

●モバイルデバイス普及の今、まだ転送機能が必要か…

 ところが、現在では、ほとんどの人がスマートフォンを持っています。スマートフォンにはメールアプリもあれば VPN の機能もありますから、直接会社のメールボックスにアクセスできますし、着信通知の機能もあります。スマートフォンでも PC でもメールアプリは複数のメールボックスにアクセスできるので、メール自動転送機能が必要なユースケースは限られてきています。以前は便利に使われていたメール自動転送機能は、テクノロジーの進化の中で、現在では、より良い代替手段が提供されるようになっているのです。もしかしたら、もはや必要ないかもしれません。

●ウィルス、迷惑メールやフィッシングメールも自動転送

 セキュリティの観点から見るとこの機能にはどういう問題があるでしょうか?条件に合ったメールだけ自動転送するような機能も実装されてはいますが、例えば無条件の転送であった場合、頻繁に送られてくる迷惑メールやフィッシングメールも自動転送されてしまいます。また、会社の機密に関する内容を含んだメールも自動的に他のメールサービスへ転送される可能性もあります。

 また、通信事業者や大手のフリーメールのプロバイダーなどでは、最近、アカウントの不正アクセスの問題も発生しており、気がつかないうちに悪意のある攻撃者に、迷惑メールやフィッシングメールを転送するために悪用されているケースも報告されています。

 特に、ウィルス感染メールや迷惑メール、フィッシングメールを転送してしまった場合、転送した組織のメールサーバーの IPアドレスが迷惑メール送信者としてブラックリストに登録されてしまう場合があります。ブラックリストに登録されると、その組織のメールサーバーから送信されるメールは、正常なメールも含めてすべて、相手のメールサーバーにおいて受信拒否されてしまいます。

●サービスの用途によって問題解決が困難に

 送受信されるメールに強めのコントロールが行える企業のメールサーバーでは、転送されようとしているメールが迷惑メールだったら、出口で廃棄するなどの対応が可能です。ところが、通信の秘密を遵守することが求められている通信事業者では、どういうメールが転送されているか調べることが難しいため、そうした“強めの対応”が許されません。結果、その通信事業者のメールサーバーの IPアドレスがブラックリストに登録され、その通信事業者からのメールは、正当なメールであってもインターネット上の他の組織で受信拒否されるという問題も発生しています。(図1)

●なりすましメール対策と相性が悪い

 更に、メール自動転送機能は、現在、なりすましメール対策技術として世界的に官民で普及を勧めている DMARC をはじめとする送信ドメイン認証技術とも相性が非常に悪いです。SPF では自動転送メールは多くの場合で認証失敗し(図2)、DKIM では ARC(Authenticated Received Chain)という転送時に再署名する技術が必要となります。今後、電子メールネットワークにおいてメール自動転送機能を引き続き利用したいのであれば、ARC の運用が必要といえます。

※ARCについて知りたい方は、なりすまし対策ポータル「ナリタイ」をご参照ください。

●電子メールの信頼性とセキュリティのため、存続させるか否かを考えるとき

 メール自動転送機能が使われると、送信側のメール管理者は、メールがどこに自動転送されているのかを把握できず、転送された先で、前述の送信ドメイン認証が失敗し、送信元ドメインの信頼性に悪影響がおきる場合もありえます。大手のフリーメールプロバイダなどでは、送信ドメイン認証が成功しないため、自動転送メールを受信拒否するという対策を講じている場合も多く、そもそも、自動転送は、通信としての信頼性が低くなっています。

 電子メール関連技術の識者の間では、以上のようにセキュリティの観点からはデメリットが多く、ユースケースも限定されているメール自動転送機能は、原則として廃止することが望ましいという意見が大勢を占めています。今まで、長きにわたり存在していた機能であるだけに、廃止に踏み切るのはなかなか難しいところではありますが、少なくとも、メールサービスの管理者としては、自分の管理しているメールシステムにおいて本当に必要なのか見直す時期にきていると感じています。

著者プロフィール
株式会社TwoFive 社長 末政 延浩(すえまさ のぶひろ)
 大学で通信工学を学び、1980 年代に某通信会社の研究所で開発に従事し、UNIX 4.2BSD の sendmail を使い電子メールと出会う。2000 年より Sendmail日本法人で、技術責任者を務め、2008 年に代表取締役に就任。その後、2014 年に株式会社TwoFive を創設。長年蓄積した技術力とノウハウ、国内外のネットワークを活かして、安全・安心なコミュニケーションを護るために闘い続けています。

株式会社TwoFive
 国内大手 ISP / ASP、携帯事業者、数百万~数千万ユーザー規模の大手企業のメッセージングシステムの構築・サポートに長年携わってきた日本最高水準のメールのスペシャリスト集団。メールシステムの構築、メールセキュリティ、スレットインテリジェンスを事業の柱とし、メールシステムに関するどんな課題にもきめ細かに対応し必ず顧客が求める結果を出す。

《株式会社TwoFive 末政 延浩》

編集部おすすめの記事

特集

TwoFive メッセージングのセキュリティ課題に挑むリーディングカンパニー

メールセキュリティ

特集 アクセスランキング

  1. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  2. ソリトンシステムズのサイバーセキュリティ 第5回 「理解されないデジタル・フォレンジック(前編) - お願いだから端末に触らないで!」

    ソリトンシステムズのサイバーセキュリティ 第5回 「理解されないデジタル・フォレンジック(前編) - お願いだから端末に触らないで!」

  3. ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話

    ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話

  4. 日本プルーフポイント 内田浩一が魅せられたサイバー攻撃の超絶技巧

  5. TwoFive メールセキュリティ Blog 第15回「RUA の宛先を増やすと DMARCレポートが受け取れない?!? ~ DMARCレコードの RUAタグに入れられる宛先数の制限について調べてみた」

  6. IDSを使った侵入検知(6)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×