~FortiMail 技術ブログ~
【第1回】メールセキュリティの決定版!FortiMailとは何か
電子メールは、世界中の人々とメッセージや情報をやり取りできる有用なツールとして広く浸透しています。しかし、その一方で、PCがウイルスに感染したり、組織の情報が漏えいしたりする原因の多くはメールによるものとされています。
手軽で便利だからこそ、攻撃者に狙われる機会が多いのがメールです。ここでは、メールに関する様々なセキュリティ対策を提供するFortiMailについて詳しく説明します。
FortiMail(フォーティメール)って何?
FortiMailは、米フォーティネット社(Fortinet)が開発したメール専用のセキュリティアプライアンス製品です。メールに含まれる様々な脅威からメールサーバーを保護し、さらに後続のPCや内部ネットワークの安全性を確保するよう設計されています。
FortiMailで何ができる?
基本的には、メールを受信するメールサーバーに成り代わってSMTP通信を一次受けし、セキュリティ検査を行った上で安全なメールだけを内部のメールサーバーに配信します。
FortiGate(フォーティゲート)と機能が被ってる?
実際に、いくつかの機能は重複しています。基本的なウイルス対策やスパム(迷惑)メール対策は、FortiGateでも対応可能です。ただし、FortiGateの本業はあくまでも「ファイアウォール」であり、メールセキュリティ対策は最低限の機能にとどまります。
メールを使った攻撃手法は、今日ますます複雑化しており、従来のデータベース方式によるセキュリティ対策だけでは防げない攻撃も増えています。FortiMailには、従来のウイルスやスパム対策に加えて、FortiGateにはない機能が搭載されており、FortiMailはこれらを使ってメールの総合的な管理を行うことができます。
FortiMail
- メールシステムに特化したアプライアンス。
- ファイアウォール機能やメール以外のセキュリティ機能は搭載していません。
FortiGate
- ファイアウォールをメインとするアプライアンス。
- 一部でメールセキュリティに対応しますが、簡易的な機能のみとなります。
FortiGateと具体的に何が違う?
FortiMailはメールに特化した設計のため、FortiGateに比べてメールに関する機能の豊富さに圧倒的な差があります。下記の表は、両者の主な機能の違いを比較したものです。これらの多彩な機能を用いて、FortiMailは顧客のメールセキュリティを強力にサポートします。
システム
| 機能 | FortiMail | FortiGate | 解説 |
|---|---|---|---|
| SMTP/POP/IMAPの検査 | 〇/×/× | 〇/〇/〇 | FortiMailはSMTPの検査にのみ対応しています。POP3とIMAPの検査にも対応しているのはFortiGateです。 |
| 高度なウイルス検知 | 〇 | △ | ウイルスを防止し、様々なアクションを行います。 |
| 高度なスパム検知 | 〇 | △ | 迷惑メールを防止し、様々なアクションを行います。 |
| 高度なセッション処理 | 〇 | △ | SMTPセッションに対して接続制限をかけたり、メールのサイズを制限したりします。 |
| 高度なコンテンツ処理 | 〇 | △ | 特定の添付ファイルの拡張子(.zip/.bat等)を制限したり、HTMLメールをテキスト化したり、不正なURLを別のURLに変換したりします。 |
| HA (High Availability) |
〇 | 〇 | 複数の機器を使用してシステムを冗長化します。稼働中の機器でシステム障害が発生すると、残りの機器が通信処理を引き継ぎます。 |
| VDOM (Virtual Domain) |
× | 〇 | 1台の機器を複数の仮想的なデバイスに分割し、複数の機器に見せかけます。 |
| メールフィルタリング (オープンリレー /第三者中継防止) |
〇 | × | 特定のIP、ドメイン、メールアドレスからのメールをブロックします。第三者によるメールの不正中継をブロックします。 |
| メール経路指定 | 〇 | × | 特定のメールサーバーへのメールの転送を行います。 |
| メールアーカイブ | 〇 | × | 特定の条件に合致したメールのコピーを内蔵ディスクに作成します。 |
| メール隔離 | 〇 | × | 特定の条件に合致したメールを内蔵ディスクに隔離します。 |
| メール暗号化 | 〇 | × | メールを暗号化して、他のメールサーバーへ転送します。 |
| IP単位のポリシー作成 | 〇 | 〇 | IPアドレスごとにウイルスやスパムの処理ルールを適用します。 |
| ドメイン&メールアドレス単位のポリシー作成 | 〇 | × | メールアドレス・ドメインごとにウイルスやスパムの処理ルールを適用します。 |
| 受信者アドレス検証 (バックスキャッター対策) |
〇 | × | SMTPサーバーに対して、受信者が実在するか問い合わせてからメールを転送します。 |
| バウンスメール検証 (バックスキャッター対策) |
〇 | × | メールにFortiMail独自のヘッダーを付けて送信し、バウンスメールにそのヘッダーが無ければ受信をブロックします。 |
| Microsoft 365 /Google Workspace API |
〇 | × | Microsoft 365やGmailのメールボックスをリアルタイムで検査します。新たに発見された脅威の情報を基に、受信トレイ内にある既に開封済みのメールを削除することもできます。 |
| アダルト画像分析 | 〇 | × | Fortinet社独自の判定方式です。輪郭、四肢の検出、分割と配置解析などに基づいて、性的に露骨な画像か判定します。 |
| メールコンティニュイティ (Continuity) |
〇 | × | FortiMailの後続にあるメールサーバー(メールボックス)に障害が発生した時、メールサーバーに代わって一時的にメールを受信します。 |
FortiMailの対応プラットフォーム
3種類のプラットフォームから選択できます。
| 種類 | 解説 |
|---|---|
| ハードウェアアプライアンス | ハードウェアタイプのFortiMailです。ユーザーの規模に応じて機種を選択します。 |
| 仮想アプライアンス | 仮想化サーバー上にFortiMailの仮想マシンを構築します。ユーザーの規模に応じて機種を選択し、必要なCPUコア/メモリを割り当てます。 |
| クラウドサービス(SaaS) | FortiMailをクラウドサービスとして利用するタイプです。ユーザー単位で年間ライセンスを購入して利用します。 |
FortiMailのモード
2種類の動作モードを使い分けることができます。基本の動作モードは「ゲートウェイモード」ですが、既存の環境と共存させたい場合は「トランスペアレントモード」を選択することで、ネットワーク環境を変更することなくFortiMailを導入できます。
FortiMailをメールサーバーとして利用する「サーバーモード」も存在しますが、SCSKではサーバーモードをサポートしていません。
ゲートウェイモード(デフォルト)
サーバーの代わりにメールを一次受けする、一般的な構成です。
トランスペアレントモード
サーバーとクライアントの間に設置して、既存のネットワークを変えない構成です。
| ゲートウェイモード | トランスペアレントモード | |
|---|---|---|
| SMTPとしての役割 | MTA中継 | 透過プロキシ/中継 |
| FortiMailの存在を意識させない構成 | できない | できる |
| Eメールユーザーアカウント | 環境設定、受信者ごとの隔離設定にのみあり | 環境設定、受信者ごとの隔離設定にのみあり |
| DNSレコード変更の必要性 | あり | なし(受信者ごとの隔離を使わない、またはベイジアンスキャンを使わない場合) |
| SMTPクライアントの構成 または他のインフラ変更の可能性 |
あり | なし |
| 外部MTAと保護されたメールサーバーの間に 本体を設置する必要性 |
なし | あり |
| 保護されたメールサーバーとの関係 | 区別される | 区別される |
ウイルスだけじゃない!メール攻撃はこんなにも多種多様
メールは便利なコミュニケーション手段である一方、様々な攻撃の標的にもなっています。攻撃者は巧妙な手口を駆使して、情報を盗んだりシステムに侵入したりしようとします。ここでは、メールサーバーの管理者が日常的に遭遇するメール攻撃の手法と、FortiMailの対策を幾つか紹介します。
オープンリレー(第三者中継)対策
メールサーバーを運営する際に最も注意すべき問題の一つが、「オープンリレー」です。オープンリレーとは「第三者中継」とも呼ばれ、メールサーバーが誰でも自由に送信できる状態を指します。サーバーの設定がオープンリレーになっていると、スパムメールの「踏み台」として利用されてしまうため、早急な対策が必要です。
メールサーバーには毎日、数百から数千の迷惑メールが送られてきますが、その多くはオープンリレーを狙った攻撃です。オープンリレーを放置すると、サーバーはスパムメールを世界中にまき散らすことになり、スパム監視機構によってサーバーの評価が一気に下がります。その結果、あなたのサーバーから配信されるメールが全てスパムとみなされる可能性があります。
セキュリティの甘いメールサーバーは、
スパマーの格好の餌食にされてしまいます。
運用中のメールサーバーでは、オープンリレー対策が完了していることがほとんどですが、本来のメール処理以外にリソースを割くことはサーバーに大きな負担をかけます。
FortiMailは「アクセス制御ポリシー」によって、受信前に必要なメールを選別する「メールフィルタ」の役割を果たします。これにより、必要なメールだけを許可し、不要なメールを拒否して後続に配信するなど、柔軟なルール設定が可能です。
ビジネスメール詐欺対策
ビジネスメール詐欺(BEC: Business Email Compromise)とは、いわゆるメール版の「オレオレ詐欺」です。取り引き先や自社の経営者になりすまし、不正な口座への入金を促す詐欺を指します。「そんな単純な手口に引っかかるわけがない」と考える人も多いですが、名のある企業でも被害に遭い、大金を失うケースが報告されています。
この詐欺の狙いは、金銭だけではないこともあります。組織の機密情報を外部に漏らすことが目的の場合もあれば、不正なサイトへ誘導し個人情報を入力させたり、ウイルスをダウンロードしてPCに感染させたりと様々な手口があります。
FortiMailは、このような送信者を偽装したメールに対する「ビジネスメール詐欺対策」機能を搭載しています。メールの送信者の正当性を確認できない場合、ユーザーに警告を促します。また、業界で広く浸透している「SPF」「DKIM」「DMARC」にも対応しており、これらの技術を活用することで、より安全性の高いビジネス環境を整えることができます。
バックスキャッター対策
バックスキャッターとは、リフレクション(反射)攻撃の一種で、スパムメールの配信に利用されます。送信者(From)や返信先(Reply-to)の情報を偽装してスパムメールを送信し、差し戻しメール(バウンスメール)をスパムとして再利用します。
例えば、悪意のある第三者(スパマー)がAさんの名前を騙って「実在しないアカウント」にスパムメールを大量に送信します。宛先が実在しないため、メールサーバーは配信エラーのメール(バウンスメール)をスパマーではなくAさんに返信します。結果として、Aさんには身に覚えのない大量のバウンスメールが届くことになります。
FortiMailは「受信者アドレス検証」によって、メールを配信する前にSMTPサーバーに問い合わせを行い、目的のアカウントが実在していることを確認してからメールを送ることができます。これにより、メールサーバーがスパマーの踏み台として利用されることを防ぎます。
SCSKのFortiMailマニュアル紹介
SCSKでは、これまでのFortiMail導入の実績と知見を活かし、分かりやすい日本語の技術マニュアルを用意しています。初めてFortiMailを利用する方を対象に、構築から運用までを詳しく解説しています。FortiMailの導入に際しては、ぜひ窓口へご相談ください。
基本設定編
- はじめに
- FortiMailとは
- 1. 初期設定
- 2. ネットワーク
- 3. ライセンス
- 4. ロギング&アラート監視
- 5. バックアップ&リストア
- 6. アップグレード&初期化
- 7. 再起動&停止
- 8. クリーンインストール
セキュリティ設定編
- はじめに
- 1. ドメイン&リレーホスト
- 2. アクセス制御
- 3. IPベース&受信者ベースポリシー
- 4. アンチウイルス
- 5. アンチスパム
- 6. セッション
- 7. コンテンツ
- 8. アーカイブ&隔離
- 9. 暗号化
使いこなすためのテクニック編
- はじめに
- 1. メール不正中継防止の確認方法
- 2. ログの確認
- 3. メールキューイングの仕組み
- 4. Webツールの活用
- 5. バックスキャッター対策
- 6. パケットキャプチャ
- 7.【出荷前チェック】 設定上の注意点まとめ
- 8. よく使用するコマンド
HA設定編
- はじめに
- 1. HA(High Availability)概要
- 2. Active-Passive HA
- 3. Config-only HA
- 4. HA構成時のアップグレード手順
トランスペアレントモード編
- はじめに
- 1. トランスペアレントモード概要
- 2. ネットワーク
- 3. ドメイン
- 4. アクセス制御
- 5. プロキシ
- 6. トランスペアレントモード構成例
著者
関連製品
-
FortiMail/FortiMailCloudメールに必要なセキュリティ機能を1台のシステムに集約したソリューションです。- Cloud / SaaS
- Network Security