自宅サーバーのMailサーバーセキュリティを強化

先日、自宅サーバーをFedora42にアップグレードしましたが、ついでにMailサーバーのセキュリティを強化しておきました。

日本の電子メールセキュリティは数年遅れているという記事も書きましたが、やっとGmailもSPF、DKIM、DMARCが付いていないメールは受け取らないことになりました。Microsoftも同様に対応しており、メール送信に要求されるセキュリティ要件が今後も上がっていくことは確実です。ですので、先回りして対応しておこうというわけです。

まずはMTA-STSに対応しました。MTA-STSはメール受信側が送信側にSTARTTLSとTLS1.2を強制するものです。いままでのSTARTTLSは送信側と受信側の合意のもとで通信を暗号化していましたが、それだと確実に通信が暗号化されないので意味がありませんでした。MTA-STSにするとSTARTTLSに対応しないメールを受け取れないことになりますが、そもそもマトモなメールサーバーならTLSに対応しているはずです。

次がARC。これはメール送信時にサーバーを中継する場合に、SPFやDKIMの認証が失敗するのを防ぐためのものです。いまの自宅サーバーでは、プロバイダがOP25B(Outbound Port 25 Blocking)対応しているため、必ずプロバイダのメールサーバーを中継してメールを送信しているはずです。そういう場合に認証が外れないようにするという規格です。

これでかなり強固になりました。さらにセキュリティを強化するならDNSSECの導入が確実です。ウチではドメインの管理とDDNSとしてVALUE DOMAINを利用しているのですが、最近このVALUE DOMAINがDNSSECに対応しました。

このDNSSECも一癖あって、VALUE DOMAINにIPv6とDNSSECを同時に設定するとLet's Encryptの証明書が発行されないことがわかりました。自宅サーバーはIPv6では公開していないので、Let's EncryptだとIPv6で接続できないため矛盾するのでしょう。でもそのうち、IPv6で公開する時代が来るかも知れません。