DANE を使用して電子メール通信のセキュリティを保護します。
デフォルトでは SMTP が暗号化されていないため、悪意のある攻撃者が電子メール通信を傍受できる可能性があります。DANE および TLSA レコードにより、 メール交換サーバの ID を確認することで SMTP 電子メールのセキュリティが保護されます。
SMTP に関する問題
SMTP は複数の DNS リゾルバおよび複数の メール交換サーバに依存しています。複雑に絡む DNS リゾルバとメール サーバの接続は、DNS 攻撃 (キャッシュ ポイズニングなど) およびネットワーク攻撃 (中間者攻撃など) にさらされたままになります。
- MX レコード、A レコード、およびその他の DNS リソース レコードが偽装される可能性があります。
- SMTP は暗号化および認証されないため、悪意のある攻撃者は電子メール通信を簡単に傍受できます。
SMTP の暗号化はオプションですが、送信側と受信側で有効にする必要があります。その場合でも、中間者は暗号化されていない DNS サーバになりすまし、悪意のあるドメインにトラフィックをリダイレクトすることで、暗号化を回避できてしまいます。
DANE および DNSSEC による SMTP に関する問題の解決
DNSSEC は DNS のセキュリティを保護し、DANE はネットワークのセキュリティを保護します。DANE は正しいサーバから正しい証明書に問い合わせていることを保証します。
- DNSSEC により、メール交換サーバを信頼でき、TLSA レコードが正しい証明書を正確に指していることが信頼できます。
- DANE の TLSA レコードにより証明書または CA が識別されます。
- 電子メール通信全体にセキュリティが適用されます。