<< クリックして目次を表示 >> ナビゲーション: セキュリティ > なりすまし対策:

署名メールの検証

この画面では、SecurityGatewayで受信メールのDomainKey Identified Mail(DKIM)の検証を行うための設定が行えます。この機能が有効で、受信メッセージが暗号署名されている場合、SecurityGatewayは署名サーバのDNSレコードから公開鍵を取得し、そのキーを使用してメールのDKIM署名の正当性のテストを行います。 DKIM署名が検証テストを通過すると、メールは通常の配信処理における次のステップへ進み、メッセージスコアを適宜調節します。

メッセージに署名がない場合や署名が無効だった場合、SecurityGatewayはFromヘッダのドメインのAuthor Domain Signing Practices(ADSP)レコードから、対象ドメインのメールが署名対象なのかどうかを判断します。ADSPレコードで正しい署名を必須としていてパブリックキーで署名の正当性が確認できなかった場合、メールは「Fail」結果として処理されます。デフォルトで、メールは拒否されますが、SecurityGatewayでは拒否する代わりに隔離又はメッセージスコアを調整へと処理内容を変更できます。

最後に、SecurityGatewayは　DKIM Author Domain Signing PracticesのInternet-Draft 06に対応しています。サイトの ADSPレコードが古いドラフトの構文を使用していたり、ADSPレコードが存在していなかったり、下記ADSPオプションが無効だったりしたために、署名がなかったり不正な署名が使われているメールはドメインがメールの一部にのみ署名していたものとして処理します。この時メールは「疑わしくはないもの」として処理されます。 Internet-Draft 06 of the DKIM Author Domain Signing PracticesのInternet-Draft 06 については次のURLを参照してください。: tools.ietf.org

DKIMの詳細については次のURLを参照してください。： www.dkim.org

暗号の検証

DomainKeys Identified Mail (DKIM)を使用し生成された署名を検証する

デフォルトでSecurityGatewayは、DKIMを使用して署名されたメッセージを照合します。メッセージでDKIM署名を照合しない場合、このチェックボックスを解除します。

検証でPASSを返す場合:

...メッセージスコアへ指定ポイントを追加 [xx] ポイント

メッセージがDKIM検証からPASS結果を受信する場合メッセージスコアを調整する場合、このオプションを使用します。デフォルトでこのオプションの値は、0.0に設定され、スコアの調整をしないことを意味します。これらのメッセージのスコアを調整する選択をする場合、このオプションで負の数を使用し、メッセージスコアに有益な調整を提供します。例えば、このオプションで-0.5を使用して、.5ポイント最終スコアを下げます。

除外

ホワイトリストIPからのメッセージを除外する

デフォルトで、ホワイトリストIPアドレスから到着しているメッセージは、DKIM検証から免除されます。差出人がIPアドレスホワイトリストにある場合でもDKIM署名を照合する場合、このチェックボックスを解除します。

認証されたセッションからのメッセージを除外する

認証されたSMTPセッションにわたって到達しているメッセージは、デフォルトでDKIM/DK検証から除外されます。SMTPセッションが認証される時にもDKIM/DK署名を照合したい場合、このチェックボックスを解除します。

ドメインメールサーバからのメッセージを除外する

ドメインメールサーバのうちの1台から到着しているメッセージは、デフォルトでDKIM検証から除外されています。それらのサーバから到着しているメッセージでDKIM署名を照合したい場合、このチェックボックスを解除します。

DKIM検証オプション(全ドメイン)

Verifierはbody length count ("l=" tag)を受け入れる

このオプションが有効な場合、受信メッセージのDKIM署名で見つけ出される時、SecurityGatewayはbody length count tagを受け取ります。実際のbody length countがこのタグで含まれている値より大きい場合、SecurityGatewayはタグで指定されている値を照合するだけです。メッセージの残りは、未検証のままです。これはある物がメッセージに追加されたことを示し、結果的に、その未検証の一部は疑わしいものと見なされます。実際のbody length countがこのタグで含まれている値未満の場合、署名は検証(すなわち、"FAIL"結果を受信します)を通過しません。これはメッセージの一部の一部が削除されたことを示します。そして、タグで指定されている値未満のbody length countを生じます。このオプションはデフォルトで無効です。

VerifierはSubjectヘッダを保護するために署名が必要

受信メッセージのDKIM署名が件名を保護する必要がある場合、このオプションを有効にします。このオプションはデフォルトで無効です。

例外 - ドメイン

これらの設定を構成する時、ページ上部のドメイン:ドロップダウンリストボックスで特定のドメインを選択する場合、そのドメインの設定を保存後に、この一覧にドメインが表示されます。DKIM検証を見直し編集するには、対応するドメインの表示/編集リンクをクリック、あるいはデフォルトの全体の設定値をドメインの設定にリセットするには、リセットをクリックします。