DNS MX Record Misconfiguration
DNS MXレコードの設定ミス
説明
DNSのMX(Mail Exchanger)レコードは、電子メールのルーティングと配信に不可欠です。MXレコードの設定ミスは、電子メールの配信の失敗、電子メールスプーフィングに対する脆弱性の増大、および非効率的なメールルーティングにつながる可能性があります。以下の領域は、MXレコード構成における主要な懸念事項です。
-
レコードのフォーマット: MXレコードは、「優先度 完全修飾ホスト名.ドメイン.tld」という標準フォーマットに準拠している必要があります。フォーマットが正しくないと、電子メールサーバーやDNSリゾルバによって誤って解釈される可能性があります。優先度の値は有効な整数である必要があり、ホスト名は適切にフォーマットされている必要があります。
-
優先度の値: MXレコードの優先度は、0〜65535の有効な範囲内にある必要があります。値が最も低いものが、最も優先されるメールサーバーを示します。優先度が不適切に構成されていると、非効率的な電子メールルーティングにつながる可能性があります。
-
重複レコード: 重複するMXレコードは避ける必要があります。これらはDNS解決において混乱を引き起こし、メールサーバーによる不要な処理につながる可能性があります。重複が存在しないことを確認するために、MXレコードを定期的に監査することが重要です。
-
ホスト名の有効性: MXレコードで指定されたホスト名は有効であり、IPアドレスに解決可能である必要があります。存在しないホスト名や到達できないホスト名は、電子メールの配信の失敗を引き起こす可能性があります。これらのホスト名が、AまたはAAAAレコードのルックアップを通じてアクティブなメールサーバーを指していることを確認することが重要です。
-
SPFレコードとの整合性: MXレコードのホスト名は、ドメインのSPF(Sender Policy Framework)レコードに含まれている必要があります。MXレコードとSPFレコードの間に不整合があると、電子メールスプーフィングに対する脆弱性が高まり、電子メールの到達性に悪影響を及ぼす可能性があります。
これらの設定ミスは、電子メールの配信の遅延または失敗、電子メールベースの攻撃に対する感受性の増大、および組織の電子メールインフラストラクチャの信頼性の全体的な低下をもたらす可能性があります。その影響は、軽微な不便からビジネスコミュニケーションの深刻な中断まで多岐にわたります。
推奨事項
MXレコードの設定ミスに対処するには、以下を実施します。
-
正しいレコードのフォーマット: すべてのMXレコードが正確な「優先度 ホスト名.ドメイン.tld」フォーマットに従っていることを確認します。
-
例:
10 mail.example.com.
-
-
優先度の値の検証: 優先度は0〜65535の範囲の整数で設定し、優先するサーバーには低い値を設定します。
-
例:
10 primary-mail.example.com.6553 secondary-mail.example.com.
-
-
重複レコードの管理: 重複するレコードがないことを確認します。
-
例:
- 誤り:
10 mail1.example.com.10 mail1.example.com.
- 正しい:
10 mail1.example.com.20 mail2.example.com.
- 誤り:
-
-
ホスト名の解決可能性の検証: すべてのMXホスト名がアクティブなメールサーバーの有効なIPアドレスに解決されることを確認します。
-
例:
10 mail.example.com.の場合、ドメインが有効なIPアドレスに解決可能であることを確認します。例:mail.example.com. IN A 203.0.113.1
-
-
SPFレコードとの連携: ドメインのSPFレコードにすべてのMXホスト名を含めます。
-
例:
- MXレコード
10 mail.example.com.は、SPFレコードに含まれる必要があります。例:v=spf1 MX ip4:203.0.113.1 -all。ここで、MXレコードのドメインを解決すると、IP203.0.113.1が得られます。
- MXレコード
-
リンク
標準
- PCI_STANDARDS:
- REQ_1_3
- REQ_4_1
- REQ_12_2
- GDPR:
- ART_25
- ART_32
- SOC2_CONTROLS:
- CC_4_1
- CC_6_1
- CC_6_6
- CC_7_1
- CC_7_2
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213