テンプレート
1. メールサーバを構成するソフトウェア・マシン・OS 2. メールサーバーを利用するユーザーの範囲 3. ログ管理ポリシー 4. アカウント管理ポリシー 5. セキュリティ対策 6. サーバ・ネットワークの環境構成 7. 送信時の送信ドメイン認証オプション ご希望の場合は□を■に書き換えてください。 □ SPF (Sender Policy Framework) □ DKIM (Domainkeys Identified Mail) □ DMARC (Domain-based Message Authentication, Reporting, and Conformance)
テンプレートの説明
メールサーバを構成するソフトウェア・マシン・OS
メールサーバを構成するソフトウェア・マシン・OS をバージョンを含めてご回答ください。
サポート切れのプロダクトは原則としてご申請は認められません。
メールサーバーを利用するユーザーの範囲
最小限の範囲でご回答ください(研究室主宰教員と研究室配属学生のみ等)。
不必要に広い範囲を指定すると、ご申請が却下される可能性があります。
また、不特定は原則としてご申請は認められません。
ログ管理ポリシー
少なくとも管理対象(メール送受信ログ・システム監査ログなど)、保存場所、保存期間をご回答ください。
保存期間は1か月以上を目安としてください。保存期間があまりにも短い(数日程度)場合は、ご申請が却下される可能性があります。
アカウント管理ポリシー
アカウント発行ポリシーや、ユーザー認証方式がパスワード認証であればパスワードポリシーなど、十分なアカウント管理が実施されていることが分かるようご回答ください。
当センターのパスワードポリシー(パスワード – 京都工芸繊維大学 情報科学センター (kit.ac.jp))より緩和されたパスワードポリシーは認められません。
アカウント管理ポリシー例
- アカウント管理権限は研究室主宰教員のみ持つ
- アカウントは研究室所属の本学構成員にのみ発行する
- パスワードポリシーは○文字以上で英数記号それぞれ1文字以上含むこととする
- パスワードは他のサービス・システムで利用していないものを選択する
- アカウント所有者が発行対象から外れたとき、直ちに該当アカウントを無効化する
セキュリティ対策
導入している、あるいは導入予定のセキュリティ対策をご回答ください。
セキュリティ対策例
- 不正アクセス試行の自動 ban
- SSL/TLS 暗号化によるセキュアなメール受付・配送
- 送信ドメイン認証(SPF, DKIM, DMARC など)
- 多要素認証
- セキュリティ対策ソフトの導入
- システムやソフトウェアの定期的なセキュリティアップデート
- ホストファイアウォールのアクセス制限設定(不必要なポートを開放していない等)
サーバ・ネットワークの環境構成
サブドメインサーバと通信するホスト(メールを送受信するクライアントデバイス、メールゲートウェイなど)、経由するホスト(LANルータ、LANファイアウォールなど)の関係とネットワーク構成をご回答ください。図式が望ましいですが、関係・構成が網羅されている箇条書きや文章でも問題ございません。
DNS サーバ、NTP サーバなどの必須ネットワークサービスのホストは省いていただいて結構です。
図式のサンプルをご用意しておりますので、作成の際にご参考ください:https://info.cis.kit.ac.jp/wiki/download/attachments/125570944/%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BB%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E7%92%B0%E5%A2%83%E6%A7%8B%E6%88%90%E5%9B%B3%E3%82%B5%E3%83%B3%E3%83%97%E3%83%AB.pdf?api=v2
なお、構成によっては、セキュリティ対策のご回答で必要になる項目がございます。
たとえば、サンプルのケースでは、メールサーバと学内情報ネットワークとの間で境界防御(ファイアウォール、NAT ルータなど、境界で接続制限などのセキュリティ対策が実施可能なネットワーク機器の設置)が構成されておりません。
この場合、メールサーバーで防御する必要があるため、セキュリティ対策のご回答内容に "ホストファイアウォールのアクセス制限設定" が必要になります。
送信時の送信ドメイン認証オプション
送信方向の送信ドメイン認証をメールゲートウェイ・大学 DNS サーバで設定いたします。
メールサーバでの設定は不要です。
SPF (Sender Policy Framework)
第三者メールサーバからのメール送信を防ぎます。
ご希望の場合、以下のサブドメイン DNS レコードを追加いたします。
サブドメイン IN TXT "v=spf1 include:_spf.kit.ac.jp ip4:メールサーバIPアドレス ~all
次のメカニズムで認証が実施されます。
- メールゲートウェイからの配送であれば認証成功 (include:_spf.kit.ac.jp)
- メールサーバからの配送であれば認証成功 (ip4:メールサーバIPアドレス)
- それ以外は認証失敗とするが、直ちに SPAM 判定、もしくは配送拒否しない (~all)
メールゲートウェイの技術的制約上、メールサーバからの直接配送を認めるメカニズムを挿入しておりますが、実際にメールサーバから学外に直接配送できることを保証するものではございません。
予めご了承ください。
DKIM (Domainkeys Identified Mail)
メールが送信元メールサーバから送信先メールサーバに配送されるまでの間にメールが改ざんされていないことを保証します。
ご希望の場合、以下のサブドメイン DNS レコードを追加いたします。
DKIMセレクター名._domainkey.サブドメイン IN TXT "v=DKIM1; k=rsa; t=s; p=<DKIM 公開鍵の BASE64 文字列>"
サブドメイン発、学外宛のメールがメールゲートウェイを通過する際、自動的に DKIM 電子署名が付加されます。
DKIM セレクター名はデフォルトでは、selector1-(サブドメインの . を - に置き換えたもの) になります。
DKIM 鍵ペアは当センターにて生成、管理いたします。
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
SPF および DKIM の結果にもとづき、メールの取り扱いを決定します。
現在、本学のすべてのサブドメインには、デフォルトでは DMARC ポリシー none が適用されています。
ご希望の場合、以下のサブドメイン DNS レコードを追加いたします。
サブドメイン IN TXT "v=DMARC1; p=<DMARC ポリシー>; rua=mailto:dmarc-reports-rua@kit.ac.jp; ruf=mailto:dmarc-reports-ruf@kit.ac.jp"
DMARC ポリシーは以下の中からお選びください。
- none: DMARC 送信ドメイン認証に失敗しても、そのメールの取り扱いを変更しません。取り扱いは受信したメールサーバのポリシーに依存します。
- quarantine: DMARC 送信ドメイン認証に失敗したら、そのメールを隔離します。
- reject: DMARC 送信ドメイン認証に失敗したら、そのメールを受信拒否します。