オープンソース

サーバー構築のデージーネットTOP > OSS情報 > デージーネットのOSS > SaMMA

next up previous contents
Next: 2. 準備 Up: SaMMA Previous: 目次


1. SaMMA(SAfety Mail gateway with Milter Api)とは

SaMMA(SAfety Mail gateway with Milter Api)は、MTAと連携してメールの添付ファイルを自動的に安全化するソフトウェアです。
添付ファイルZIP暗号化モード、添付ファイル削除モード、無害化モードの3つのモードがあります。
暗号化モードでは、メールの添付ファイルはZIP形式に暗号化します。そのため、一般的なウィンドウズクライアントで簡単に解凍することができます。
削除モードでは、メールの添付ファイルを削除して、削除した添付ファイルのファイル名のリストを添付して受信者に通知するモードです。
無害化モードはメールの各マルチパートを様々な形式に変換したり、暗号化や削除をおこなう多機能なモードです。
将来的には、暗号化モードと削除モードの機能を無害化モードに取り込んでいくことを視野に入れています。
MTAとの連携にはmilterアプリケーションを使用します。

1.1 SaMMAでできること

1.1.1 暗号化モード

組織内(内部ドメイン)から外部へ送る添付ファイル付きメールを暗号化することができます。また、メールの宛先によって個別に暗号化パスワードを設定することができます。
パスワードを指定していない宛先へ送る場合、暗号化パスワードが自動的に作成され、パスワード通知メールが送信者に送られます。
外部ドメインから送信されたメールは暗号化しません。

図: SaMMA(暗号化モード)利用イメージ
Image example

上図[*]の例は社外メール受信者へ送信するメールを自動的に生成したパスワードで暗号化する設定を行った場合のメールの流れです。
(1)〜(3)では以下のような動作を行っています。

(1)メール受信者に添付ファイル付きメールを送信する
(2)添付ファイルを暗号化して社外メール受信者に送信する
(3)解凍パスワードが記載されたパスワード通知メールを送信者に送信する

1.1.2 削除モード

指定した条件にマッチするアドレスへ配送されるメールから、添付ファイルを除去することが出来ます。
除去したファイルのファイル名一覧テキストが自動的に作成され、新たに添付されます。
暗号化モードとは異なり、送信元によらず、単に宛先をもとに削除処理が実行されます。 これは本機能が標的型攻撃への対策として使われる場合に、送信者のなりすましを防ぐための仕様です。

図: SaMMA(削除モード)利用イメージ
Image del_example

上図[*]の例は、削除処理対象者へのメールの添付ファイルが除去される様子を示しています。

1.1.3 無害化モード

指定した条件にマッチするアドレスへ配送されるメールから、メールのマルチパートを解析して、様々な形式への変換や、暗号化、削除を行うことが出来ます。
システム管理者は、メールのマルチパートの変換処理、暗号化処理、削除処理を施す順番を設定することができます。
また、変換処理の細かいルールについても設定することができます。

無害化の対象は、削除モードと同様に宛先をもとに決定されます。

図: SaMMA(無害化モード)利用イメージ
Image del_example

上図[*]の例は、無害化処理対象者へのメールが無害化される様子を示しています。

1.2 システム構成

SaMMAが前提とするシステム構成は、LDAPを利用する構成(図[*])と LDAPを利用しない構成(図[*])があります。 LDAPを利用すると、ユーザ個別に暗号化ポリシーの設定を行うことができます。

削除モードでは、LDAPを利用しない構成のみが利用できます。

図: システム構成(LDAPを利用したユーザ個別設定を行わない場合)
Image noldapsystem

図: システム構成(LDAPを利用したユーザ個別設定を行う場合)
Image ldapsystem

図: システム構成(削除モードの場合)
Image noldapsystem

図: システム構成(LDAPを利用したユーザ個別設定を行わない場合)
Image harmlesssystem

1.3 SaMMAを利用するメリット

SaMMAを利用すると次のようなメリットがあります。

1.3.1 暗号化モード

  • メールサーバと連携するため、暗号化の設定に沿って添付ファイルをもれなく暗号化することができます。
  • 添付ファイルを自動的に暗号化ZIP形式に変換するため、ZIPファイルの作成やパスワードの作成の手間がありません。
  • メールクライアントによらず添付ファイルを暗号化をすることができます。
  • 複雑な設定の必要がありませんので、手軽に導入することが可能です。
  • 暗号化ポリシー情報をLDAPで管理することで、暗号化対象の受信者情報をユーザ個別に設定することができます。
  • 暗号化ポリシー情報をLDAPで管理する場合、postLDAPadminとSaMMAadminを併用することで、ユーザ情報と暗号化ポリシー情報を一括して管理することができます。
    • postLDAPadmin
      https://osdn.jp/projects/postldapadmin/
    • SaMMAadmin
      https://osdn.jp/projects/sammaadmin/
  • 指定したルールに則って、関係者などのメールアドレスをBCCに自動追加することができます。

1.3.2 削除モード

  • メールサーバと連携するため、設定に沿って添付ファイルをもれなく削除することができます。
  • 設定を組み合わせることで、削除する受信者・しない受信者を細かく決められます。
  • メールクライアントによらず添付ファイルを自動的に削除することができます。
  • 削除ファイル名の一覧が通知されるため、どのような添付ファイルが存在したかを簡単に確認できます。
  • 大量の添付ファイルスパム攻撃を受けたとしても、ディスク容量を圧迫せずにすみます。
  • 複雑な設定の必要がありませんので、手軽に導入することが可能です。

1.3.3 無害化モード

  • メールサーバと連携するため、設定に沿って添付ファイルをもれなく暗号化、削除、形式変換することができます。
  • メール送信ドメインの認証を行い、標的型メールだと思われる怪しいメールをシステムで見分けて、無害化することが可能です。
  • 送信者のIPアドレスを認証し、不正な送信元からの添付ファイルに、無害化を実施することができます。
  • 暗号化モードと同様の隔離ZIPを行うことができます。パスワードはメール本文には書かれませんので、受信者が悪意ある添付ファイルを不用意に開く事故を予防します。
  • 送信者が不明な疑わしいメールについて、添付ファイルを削除してしまうことで、標的型メールをシャットアウトできます。
  • HTMLメールのテキスト化など、メールのマルチパートの変換ができます。
  • メールのマルチパートの変換には外部プログラムを使用することが可能です。


next up previous contents
Next: 2. 準備 Up: SaMMA Previous: 目次

2017年3月28日