電子メール(「メール」)は、電子機器を使ってメッセージを届けるデジタル通信手段です。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
電子メールは一般に「メール」と略されますが、電子機器を使い、コンピューターネットワークを介してメッセージを届ける通信手段です。「メール」は、配信システムと送受信される各メッセージの両方を指す用語です。
メールは、プログラマーのRay Tomlinsonが、米国高等研究計画局ネットワーク(ARPANET)上にあるコンピューターシステム間のメール伝送の方法を考案した1970年代から何らかの形で存在していました。最新形式のメールが一般に普及したのは、メールクライアントソフトウェア(たとえばOutlook)とWebブラウザーが開発されてからです。Webブラウザーのおかげで、ユーザーはWebベースのメールクライアント(たとえばGmail)を使ってインターネット経由でメッセージを送受信できます。
現在、メールは最も人気のあるデジタル通信手段の一つです。しかし、その高い普及率とセキュリティ上の脆弱性が、メールをフィッシング、ドメインスプーフィング、ビジネスメール詐欺(BEC)といったサイバー攻撃の実行手段として魅力的なものにしています。
メールメッセージは、ソフトウェアプログラムからWebブラウザーへ送られます。その両者をまとめてメール「クライアント」と呼んでいます。各メッセージは複数のサーバーを経て受信者のメールサーバーへ届きます。手紙がいくつかの郵便局を経て受取人の郵便受けに届くのに似ています。
メールメッセージは、送信後いくつかの段階を経て最終的な宛先へ届きます。
再び郵便システムの例えで説明しましょう。AliceがBobへ令状を書くとします。Aliceは手紙を郵便配達員(MTA)に手渡し、郵便配達員はそれを郵便局へ持ち帰って仕訳します。郵便局では、処理係(SMTP)が封筒に書かれた宛先を検証します。宛先住所が正しく書かれていて、郵便の受け取りが可能な場所(MXサーバー)に対応しているようなら、別の郵便配達員が手紙をBobの郵便受けへ配達します。郵便を受け取ったBobは、手紙を机の引き出しにしまってその場にいればアクセスできるようにする(POP)かもしれませんし、ポケットに入れてどこでも読めるようにする(IMAP)かもしれません。
*POPプロトコルの現行バージョンは、POP3と呼ばれています。
各メールは、SMTPエンベロープ、ヘッダー、本文という3つの主要構成要素で成り立っています。
SMTP「エンベロープ」は、メール配信のプロセスでサーバー間で伝達するデータをいい、送信者のメールアドレスと受信者のメールアドレスから成ります。このエンベロープデータが、メールサーバーにメッセージの送り先を伝えます。手紙を正しい住所へ届けるために郵便配達員が封筒の宛先を照会するのと同じです。メール配信のプロセスでは、メールが別のサーバーへ転送されるたびにエンベロープの破棄・差し替えが行われます。
SMTPエンベロープと同様に、メールヘッダーも送信者と受信者に関する必須情報を提供します。ヘッダーはたいていSMTPエンベロープの情報と一致しますが、必ずしも一致するとは限りません。もしかしたら、スキャマーがメールヘッダーの正当なメールアドレスを使ってメッセージの出所を偽装しているかもしれません。受信者に見えるのはメールのヘッダーと本文だけで、エンベロープデータは見えませんので、メッセージに悪意があっても気づかないかもしれないのです。
また、ヘッダーは、受信者がメールに返信したり、転送、分類、アーカイブ、削除したりできるようにオプションフィールドをいくつか含んでいる場合があります。その他のヘッダーフィールドは以下などです。
メール本文には、送信者が送りたいあらゆる情報(テキスト、画像、リンク、動画、その他の添付ファイル)が、メールクライアントのサイズ制限以内で含まれています。もちろん、本文のフィールドに何ら情報を入れずにメールを送ることもできます。
メールクライアントが提供するオプションによって、メール本文の形式はプレーンテキストかHTMLになります。プレーンテキスト形式のメールには、特別な書式(黒でないフォント色など)もマルチメディア(画像など)も含まれません。あらゆるデバイス、メールクライアントとの互換性があります。HTML形式のメールなら、本文フィールド内の書式設定やマルチメディア使用が可能ですが、HTML要素の中にはメールフィルタリングシステムでスパムのフラグが立つものや、互換性のないデバイスやクライアントでは正しく表示されないものがあるかもしれません。
メールクライアントとは、ユーザーがメールを送信、受信、保存できるようにするソフトウェアプログラムまたはWebアプリケーション*をいいます。よく使われるメールクライアントには、Outlook、Gmail、Apple Mailなどがあります。
ソフトウェアベースのメールクライアントとWebベースのメールクライアントには、それぞれ利点と欠点があります。デスクトップ用メールクライアントは通常、比較的堅牢なセキュリティ機能を持ち、複数アカウントのメール管理が合理化され、オフラインアクセスが可能で、ユーザーは自分のコンピューターにメールをバックアップすることができます。対照的に、Webベースのクライアントはたいてい廉価で、ユーザーがどのWebブラウザーからでもアカウントにログインできるためアクセスしやすくなっています。ただ、インターネット接続に依存しているため、サイバー攻撃を受けやすいともいえます。
*「メール(email)」という用語は元々デスクトップ用メールクライアントのことをいい、Webベースのメールクライアントには「Webメール(webmail)」が使われていました。現在は、両システムに「メール」を使います。
メールアドレスは、メールアカウント(つまり、メッセージの送受信が可能な「メールボックス」)を識別する固有の文字列です。メールアドレスの書式は、「ローカル部」、@記号、「ドメイン」という3つの個別パーツでできています。
たとえばemployee@example.comというメールアドレスであれば、“employee”がローカル部、“example.com”がドメインを表しています。
手紙の宛名書きを想像してみてください。ドメインは受信者が住む市を表し、ローカル部が手紙の受け取りが可能な場所の通り名と戸番を示しています。
ローカル部は、メールメッセージの最終的な宛先をサーバーに伝えます。文字、数字、特定の記号(アンダースコアなど)の組み合わせが使えます。メールアドレス(ローカル部とドメインを両方含む)の文字数は最高320までですが、254文字を上限とするよう推奨されています。
ドメインは、example.comのようなドメイン名の場合もあれば、192.0.2.0.のようなIPアドレスの場合もあります。前者の場合は、次のサーバーにメッセージを配信する前に、SMTPプロトコルによってDNSでドメイン名からIPアドレスへの変換が行われます。
ローカル部と同様、ドメインもインターネット技術特別調査委員会(IETF)が定めた一定の書式要件に従わなければなりません。承認されるドメイン名には、大文字と小文字、数字、ハイフンの組み合わせが使えます。メールアドレスでも、ドメイン名の代わりに大括弧([ ])で括ったIPアドレスを使えますが、稀です。ドメイン名の文字数の上限は63です。
メールは機密情報のやりとりによく使われますが、安全なシステムとして設計されたものではありません。そのため、攻撃者にとっては魅力的な標的となり、暗号化されていないメッセージの傍受やマルウェアの拡散、正当な組織を騙るなりすましが起こる可能性があります。メールセキュリティ上の他の脅威には、ソーシャルエンジニアリング、ドメインスプーフィング、ランサムウェア、スパムなどがあります。
メールの最も重大な脆弱性の一つは、暗号化機能を組み込んでいないことで、メール内容が無許可の者にも見えるため、傍受などでメッセージにアクセスされる可能性があります。
メールをより安全なものにしようと、多くのメールクライアントが基本的な暗号化機能を提供しています。トランスポートレイヤーセキュリティ暗号化(「TLS暗号化」)か、エンドツーエンド暗号化(「E2EE」)のいずれかです。TLS暗号化では、メッセージを(ユーザーからサーバーへ、またはサーバーからユーザーへ)トランジット中に暗号化しますが、この暗号化のセットアップで使われる秘密鍵はメールサービスプロバイダーが保持します。そのため、メールサービスプロバイダーは暗号化されていないメールの内容を見ることができます。一方、エンドツーエンド(ユーザーからユーザーまで)の暗号化では、メッセージを復号化できるのはメールの送信者と受信者だけです。
メールセキュリティのベストプラクティスについての詳細説明は、メールセキュリティとは?をご覧ください。
Cloudflare Area 1 Email Securityは、フィッシング、マルウェア、ビジネスメール詐欺(BEC)、メールサプライチェーン攻撃など、さまざまなメール脅威の防止に役立つクラウドベースのメールセキュリティソリューションです。堅牢な機械学習モデルを用いて、リスクをユーザーの受信トレイに到達する前に特定し、一般的なクラウドメールプロバイダーと統合して既存の検出・軽減機能を強化します。
Cloudflare Area 1 がどのようにメールセキュリティを強化するのかを知ってください。