ソフトウェア大手のマイクロソフトは、年末までにDNSベースの名前付きエンティティの認証(DANE)とDNSSECを自社の電子メールシステムに追加すると公約した。
「本日、Exchange Online が SMTP トラフィックに特化した 2 つの新しいインターネット標準のサポートを追加することを発表します」と、Microsoft の Exchange トランスポート チームは今週のブログ投稿で述べています。「これらの標準とは、DNSSEC (Domain Name System Security Extensions) と DANE for SMTP (DNS ベースの名前付きエンティティ認証) です。」
DANEプロトコルは10年近く前から提案されています。例えば、ドイツ政府は2016年にその使用を義務付けました。しかし、関連するDNSSECプロトコルが普及するまでに長い時間を要したのと同様に、DANEの普及は遅れています。
このプロトコルの実装には、設定ミスが障害を引き起こす可能性があるため、多大な時間と労力がかかります。Microsoftは、DANEの追加には「Microsoftインフラストラクチャへの投資とアーキテクチャの変更が必要になる」と述べています。しかし、既存のプロトコルのセキュリティが不十分であることが主な理由で、この取り組みは価値があると判断しました。広く普及しているSMTP電子メールプロトコルは、「メッセージ配信がセキュリティよりも重要と考えられていた時代、はるか昔に設計された」とMicrosoftチームは述べています。
Salesforceはマルチ署名DNSSECを採用し、実行に移す
続きを読む
SMTPは安全ではありません。SMTP over TLSは暗号化によってセキュリティを強化しますが、それでも潜在的な脆弱性が存在します。ネットワークパス上の盗聴者は、ユーザーと接続先のSMTPサーバーの間にサーバーを挿入し、この中間マシンが正規のサービスを装い、独自のTLS暗号化証明書を提示する可能性があります。この中間者攻撃者は、ユーザーが送信したメッセージが悪意のある中間ノードを経由して目的の宛先に届くまで、その内容を盗聴することができます。ソフトウェアは正規のSMTPサーバーと安全に通信していると思っていても、実際には偽のサーバーと通信しているのです。
しかし、DANEでは、メールシステムがTLSA DNSリソースレコードを使用して、メッセージデータを送信する前にSMTPサーバーが本物であるかどうかを判断できます。これらのリソースレコードは、特定のSMTPサーバーのTLS証明書の形式を指定します。例えば、mail.example.comに接続する場合、そのドメイン名のDNSレコードは、証明書のフィンガープリントとして機能するハッシュ値など、そのサーバーのTLS証明書の要素を定義します。
誰かが SMTP サーバーを偽装して接続を中間者攻撃しようとした場合、提示される TLS 証明書はサーバーのドメイン名の DNS レコードの仕様と一致しないため、接続は破棄される必要があります。
Microsoftの説明は次のとおりです。「DANEはDNS TLSAリソースレコードの存在を利用してTLSサポートを安全に通知し、送信サーバーが正当な受信メールサーバーを正常に認証できるようにします。これにより、ダウングレード攻撃や中間者攻撃に対する安全な接続が実現します。」
要するに、これは安全な電子メールであり、Microsoft はこれを Office 365 Exchange Online に追加する予定です。
2つのフェーズ
大規模システムへのDANE導入の難しさを浮き彫りにするため、Windowsの巨人である同社は、これを2段階に分けて展開する。2020年末までに完了予定の第1段階では送信メールをカバーし、その後、2021年末までに受信メールをカバーする予定だ。
この発表は、デンマークの支持者たちから歓喜に近い反応を呼んだ。「デンマークのSMTPコミュニティへようこそ。お祝いと感謝を申し上げます」と、このプロトコルの開発に携わり、長年にわたりその採用を推進してきたヴィクトル・ドゥホヴニ氏は述べた。
「もしこれが実現したら、みんなヴィクトルにビール一杯おごることになるだろう」と、インターネットのベテラン、ポール・ヴィクシーはコメントした。「これがインターネットセキュリティの未来に何を意味するのか、簡単には説明できない。芝居がかったセキュリティではなく、真のセキュリティだ。ヴィクトルはまるでワンマンバンドのように、この件を一人でこなしていた」
DANEを提供しているメールプロバイダーは数多く存在し、中でもComcastが最大手と言えるでしょう。しかし、MicrosoftがDANEに加わったことは、業界にとって大きな転換点となる可能性があります。DNSプロトコルの進化は、他のプロバイダーが新しいプロトコルを採用するまでは意味がないため、常にゆっくりと進んでいます。まさに卵が先か鶏が先かという状況です。
DANEはDNSSECを基盤としており、ドメインがDNSSEC署名されている必要があります。幸いなことに、DNSSECレコードを含むドメインは増加していますが、署名されていないドメインとの間で送受信されるメールをどう扱うかという問題もあります。さらに、ネットワークのいたるところに、設定ミスが無数に存在します。
Microsoft のような大企業が DANE を採用すると表明したことで、他の企業も DANE を採用してドメインに署名し、構成を確認するきっかけが生まれます。®
