security-literacy

Offline Gmail
同一デスクトップで複数のOffline Mail（Gmail, Google Apps）を作成すると、オンライン、オフライン状態とは無関係にログインの障害が発生しました。障害が発生しているブラウザではキャッシュなどの削除（ブラウザ・ＰＣの再起動）も無効でしたので、異なるブラウザからログインして、"Offline"をDisable、初期状態に戻したところ、復旧しました。

オフライン動作のためのWebアプリケーション「Gears」仕様からOSはWindows系ではXP/Vista
"Offline" Gmail を利用できるブラウザは IE 7.0+, Firefox 2.0+, Safari 3.0+, Google Chrome
　http://gmailblog.blogspot.com/2009/01/new-in-labs-offline-gmail.html

2009年1月27日(現地時間)、英国、米国のユーザーから順次、全世界１億アカウントで設定が行われました。予告どおり、2009年1月30日(日本時間)には、Gmail Settings 英語(US or UK)「Labs」内に "Offline" Gmail 選択可能となっていました。「Labs」内の "Offline"を"Enable"にします。Gmail POP接続が不安定であったのも解消しています。Google Appsの管理画面をペーストしました。

Google Apps for 独自ドメイン - Premier Edition
　　　　＋
Google Message Security & Discovery サービス (Powered by Postini )
運用時
　Mail Exchanger (MX) レコード
　Sender Policy Framework (SPF) レコード
は管理画面の指示に従い変更します。

DNS設定例　VALUE-DOMAIN.COM　(バリュードメイン)
　独自ドメイン名（例）： EXAMPLE.COM

mx EXAMPLE.COM.S7A1.PSMTP.COM. 10
mx EXAMPLE.COM.S7A2.PSMTP.COM. 20
mx EXAMPLE.COM.S7B1.PSMTP.COM. 30
mx EXAMPLE.COM.S7B2.PSMTP.COM. 40

現在のところ(2008-11-02）Google Apps Premier Editionであっても、送信ドメイン認証技術 DomainKeys Identified Mail (DKIM) は実装されていません（検証結果およびGoogle Apps チーム様のご回答）。

また、指示どおり SPFレコードを作成します。

txt @ v=spf1 include:spf.example.com -all
txt spf v=spf1 ip4:207.126.144.0/20 ip4:64.18.0.0/20 ip4:[IP割り当て your IP
allocations] -all

独自ドメインのDNS Aレコード設定のIPアドレスなどがTXTレコード内に必要です。省略すると、メール送信時、
Received-SPF: unknown (google.com: domain of [user]@example.com uses a mechanism not recognized by this client. unknown  mechanisms: )) client-ip=*.*.*.*;
と表示され、正しく認証されません。
参照ページ www.postini.com
　Setting Up Outbound Filtering
IP Range、CIDR Rangeなど。ページ内 Outbound Services Configuration Guide（下記PDF文書）にリンク。
　http://www.postini.com/webdocs/outbound/en/outbound_config_en.pdf

セキュリティとコンプライアンスから３つのPackageが準備されています。
　http://www.google.com/a/help/intl/ja/security/compare.html
概略は以下のとおりです。Standard Editionでは、これらのPostini によるサービスは推奨されていません。
Google Apps Standard Edition には、スパムフィルターおよびウイルスフィルターを有するGmail機能がありますので、メール セキュリティ サービス (powered by Postini) による Message Filtering は推奨しません。
なお、「Gmailでは、メッセージの受信時と、メッセージが開かれる際に自動的に添付ファイルがスキャンされます。また、ユーザーが送信する添付ファイルもスキャンされます。」
　http://mail.google.com/support/bin/answer.py?hl=jp&answer=25760
　http://mail.google.com/support/bin/answer.py?hl=jp&answer=8493

Google Apps Standard Edition は、outbound filtering をサポートしていないので、Postini によるMessage Security または Message Discovery を利用するとき、Google Apps Premier を推奨します。
　http://www.google.com/support/appsecurity/bin/answer.py?answer=91332
　http://www.google.com/support/appsecurity/bin/answer.py?answer=91333

PayPalからGmailへ送信されたメールなどのヘッダー情報
「Authentication-Results:」一覧
　http://phr.telementoring.biz/2008/10/dkim-domainkeys-gmail-paypal-google.html
をご覧下さい。

メールソフト、Webメールの受信メール
ヘッダー表示

　Received-SPF:
　Authentication-Results:
　DKIM-Signature:
　DomainKey-Signature:

を確認します。
Gmail および Yahoo!メールは、DKIM （ディーキム）、DomainKey、SPFの送信ドメイン認証に対応しています。
参照ページ：
　http://www.dkim.jp/
　http://www.dkim.jp/faq.html
　http://www.atmarkit.co.jp/fsecurity/special/89dkim/dkim01.html
ただし、
Google クラウドコンピューティング技術
　　Google Apps - Standard Edition
　　　（以前の名称　Google Apps for Your Domain 独自ドメイン）
のメール機能では、
　独自ドメイン運用による送信メールに DKIM認証、DomainKey認証のための電子署名は付きません（あらかじめDNSに公開鍵などを設置する必要があるため ※）。

Gmail から Google Appへメール送信すると、DKIM-Signature
　dkim=pass (test mode) header.i=@gmail.com
の判定については正しく行われ、表示されますので、未対応のメールサーバに比べて、なりすましメール対策として大変有用です。

2007年5月、IETF（Internet Engineering Task Force）は、メールの電子署名による送信ドメイン認証技術「DKIM」を初めて承認「RFC 4871」しました。
　http://www.ietf.org/rfc/rfc4871.txt
ITpro 　2008年7月9日
eBayとPayPal，フィッシング対策でGmailと協力
　http://itpro.nikkeibp.co.jp/article/NEWS/20080709/310403/
　出 典
　https://www.paypal-media.com/releasedetail.cfm?ReleaseID=320079
※「PostfixでDomainKeys/DKIM認証を実装しよう」
　http://mizushima.ne.jp/Linux/Postfix/Domainkeys_DKIM/Implementation.php

なお、メールソフト設定で SMTPサーバのポート 587を利用したり、Fromアドレス（MAIL FROM）を個別に設定したりすると、Google のメールサービス Gmail、Google Apps ともに、SPFレコードによる送信ドメイン認証（送信元IPアドレス使用）は pass しなくなりますので、ご注意下さい（ブログ投稿者自身による検証済）。

Google Apps for Your Domain (独自ドメイン) - Standard Edition

現在、Google Apps のメールサービスのみ利用しています。
　　Gmail容量は 6GB以上 / アカウント
有料版 Google Apps Premier Edition に移行できます。
　　メール容量 25 GB / アカウントなど

独自ドメイン例：example.com とすると、
　【ログイン】
ユーザー
　　http://mail.google.com/a／example.com/
　　（DNS CNAME設定後　http://ホスト名.独自ドメイン/ ）

管理者（コントロール パネル）
　　http://www.google.com/a／example.com/

管理者はユーザーの希望アカウント（=ユーザーのログイン名）と仮パスワードをコントロールパネルで作成し、ユーザに通知する。ユーザーはログイン後、アカウント設定で任意のパスワードに変更し利用する。POP設定を行うと、メールソフト利用可（メールアドレスは アカウント＠example.com ）。
メール転送設定 [転送先 アカウント＠example.com] を追加しておけば、パソコンがクラッシュしても、過去のメールをウェブ上で確認できる。
普通のメールを一日平均 15通送受信する利用条件であれば、約 100年分のメールを保存できます(複数のGmail利用経験による試算　容量 6,349MB /アカウント)。これまで、Google提供の無料メールサービス「Gmail」をメーリングリストなどに２年間利用し、稼動状態が安定していることなど確認した。また、Google Apps Premier Edition （期間限定の無料キャンペーン）を 2007年2月25日から先行利用した。
　Premier Editionに関するエントリー 「Google Apps Premier Edition - DNS設定」
　http://www.osbsd.net/2007/02/google_apps_pre_77d5.html

【注 意】
Googleさんのメールサーバ(SMTP over SSL、POP over SSL ともに)を利用するため、独自ドメインのDNS A設定とはIPアドレスが異なりますので、
　TXTレコード v=spf1
　v=spf1 mx ~all
　では　送信ドメイン認証　"softfail" となります。

　SPF "pass"　で応答するためには、
エントリー「送信ドメイン認証 SPF - DNS TXTレコード v=spf1」
　http://www.osbsd.net/2007/11/spf_dns_txt_vsp_3652.html
を参照して下さい。

本日、Google Apps Premier Edition （キャンペーン期間無料）を独自ドメインで利用できるように設定した。30分もかからず設定は完了し、SSLサーバによるPOPメール送受信も可能となった。
ニュースページ
　https://www.google.com/a/help/intl/ja/admins/premier.html
　http://headlines.yahoo.co.jp/hl?a=20070223-00000021-imp-sci

秀丸メールの POP/SMTP over SSL設定は
エントリー「Gmail - 秀丸メール」
  » http://www.osbsd.net/2006/05/gmail__3311.html
を参照して下さい。

DNS設定では、従来の MX設定を削除し、

mx aspmx.l.google.com. 5
mx alt1.aspmx.l.google.com. 10
mx alt2.aspmx.l.google.com. 10
mx aspmx2.googlemail.com. 20
mx aspmx3.googlemail.com. 20
mx aspmx4.googlemail.com. 20
mx aspmx5.googlemail.com. 20

と、小文字で正しく入力し、
（注 5, 10, 20は単に順位を決めるもの。）
ウェブを公開するとき、CNAME

cname *** ghs.google.com.

（注 *** はホスト／サブドメイン名で、ドット不要）
と設定する。
これら設定を行うと、
サービス
  メール - Gmail　アカウント＠独自ドメイン
  カレンダー -
  チャット -
  ドメイン向けウェブページ - http：//***.独自ドメイン

を簡単に利用できる。

[更新情報 2008/10/26]
エントリー「DKIM-Signature - Gmail Google App」
秀丸メールでGmailのSMTPサーバを利用するとき、ご一読下さい。
　http://www.osbsd.net/2008/10/dkim-signature.html

[更新情報 2008/09/19]
エントリー「TLS1.0のみ許可 - メールソフト」
　http://www.osbsd.net/2008/09/tls10---6330.html
秀丸メールでもセキュアなTLS1.0のみ使用して下さい。
　http://hide.maruo.co.jp/news/tk20080919.html

[更新情報 2007/10/8]
エントリー「Gmail - XREA Mail & Backup - メール配信障害」
» http://www.osbsd.net/2007/10/gmail_xrea_mail_d7b2.html

秀丸メール Ver4.83 OS Windows XP, Windows 2000Pro SP4
に置き換えて下記エントリーをご覧下さい。

ＰＣ環境など:
  » 秀丸メール Ver4.63
  » Gmail (Google 高機能ウェブメール)
  » OS Microsoft™ Windows Me

● 秀丸メールのメールサーバ設定等は、以下のとおりです。
Gmail 電子メールアドレス: (例) ***.***@gmail.com
「POP アクセス」 電子メール クライアントの設定
  » https://mail.google.com/support/bin/topic.py?topic=1555
から、最もセキュアな設定をお知らせします。
Gmail のSMTPサーバは【 STARTTLS 】とのことですが、送信先までの中継サーバ (他プロバイダ経由のとき）が STARTTLS に対応していなければ、GmailのSMTPサーバまでの通信暗号化です。
SSL対応POPサーバは、クライアントＰＣとGmailのPOPサーバ間のみ暗号化されます。

　秀丸メールでは、SMTPサーバのポート番号: 465 を利用するとき、[ STARTTLS を使用] のチェックを外します。 ポート 587 では、左画像のとおりです。



画像 (png 形式) をクリックしてご覧下さい。


メール送信に際して、SMTPサーバに Port 587 番 (SMTP over SSL)で接続し、starttls コマンド後から暗号化 (SSL2.0/RC4/128bit) 通信開始。

画像 (gif 形式) をクリックしてご覧下さい。

※ なお、Gmail 送信サーバ はデフォルトで送信ドメイン認証 (電子署名ベースの認証方式)を行います。メールヘッダー DomainKey-Signature 情報(例):

DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
      s=beta; d=gmail.com;
      h=received:from:to:subject:date:mime-version:content-type:content-transfer-encoding:x-mailer:message-id;
      b=YVsjEUxcA7HVdPR+/cda2z/3/7hMiTeM ……中 略…… //GIzPt2Wy24cqroC……中 略……OqFU=

送信先サーバでの検証時、「Authentication-Results:」や「DomainKey-Status:」が付加されるらしいが、現在、送信ドメイン認証に対応した ISP は少ない。
gmail.com のアカウント間でメール送受信を行うと、送信先のメール・ヘッダー情報:   DomainKey-Status: good (test mode)
となります。

また、PKI によるS/MIMEメール (暗号化, 電子署名) との同時使用が可能です (2006/5/7 確認済)。

参照ページ: 「ITmedia エンタープライズ：送信ドメイン認証の基礎知識 (3/4)」
  » http://www.itmedia.co.jp/enterprise/articles/0603/24/news006_3.html