独自のプライベートメールサーバーをセットアップすると、メールインフラストラクチャを自分で管理できるようになります。
これは、データにアクセスして悪用する可能性のあるGmailやMicrosoft Outlookのような大手メールサービスプロバイダーを排除するため、プライバシーにとって素晴らしいことです。一方で、メールサーバーを正しくセットアップして維持しないと、セキュリティや配信の問題という深刻なリスクに身をさらすことになります。
巨大テック企業を利用することや独自のメールサーバーを作成すること以外に、3つ目の選択肢があります。それは、プライバシー重視のメールプロバイダーを利用することです。Proton Mailはエンドツーエンド暗号化でプライバシーを守りつつ、最新の技術を適用してメールの信頼性と速度を保ち、攻撃から安全に守ります。
この記事の後半で、独自のメールサーバーをホストすることに代わるいくつかの選択肢を取り上げます。しかし、DIYの道を進みたいと決めた場合は、この記事でサーバーをセットアップする手順を説明し、必要なことの概要をお伝えします。
プライベートメールサーバーとは?
利点
欠点
個人用メールサーバーをセットアップする方法
個人用メールサーバーのセットアップに代わる選択肢
Proton Mailがより良いプライバシーと信頼性を提供する仕組み
付録:メールシステムの比較
プライベートメールサーバーとは?
プライベートメールサーバーは、個人が運営するメールの送信、受信、保存のためのコンピューターハードウェアとソフトウェアのシステムです。「プライベートメールサーバー」の「プライベート」とは、単にお客様が所有しているという事実を指します。メールサーバーのハードウェアとソフトウェアは、多くのテックストアで購入できます。後のセクションでは、サーバースペースをレンタルするオプションについても説明します。
個人的な使用だけであれば、メールサーバーに必要なのは少量のRAMと20 GBのストレージだけです。つまり、より高度なハードウェアにお金をかけたくない場合は、専用のノートパソコンを使用することもできます。
プライベートメールサーバーをセットアップする利点
独自のプライベートメールサーバーをセットアップすることには利点があります。
- 主な利点は、GmailやMicrosoft Outlookのような大手メールサービスプロバイダーを回避できることです。つまり、広告のターゲティング、AIのトレーニング、または巨大テック企業が将来試したくなるその他の用途のために、メールデータがマイニングされることから保護できるということです。また、彼らがメールデータを政府機関やその他のサードパーティに渡すリスクも排除できます。
- 巨大テック企業からデータを保護すること以外にも利点があります。独自のプライベートメールサーバーをセットアップすることで、サーバーが接続されているネットワークを厳密に制御および制限でき、攻撃対象領域を減らすことができます。
- また、誰かが物理的にデバイスを押収した場合に備えて、デバイス全体を暗号化することもできます。
プライベートメールサーバーをセットアップする欠点
独自のプライベートメールサーバーをセットアップすることには重大な欠点があります。
- 第一に、ある程度の技術的知識が必要です。サーバーの構成方法やセキュリティ保護の方法をまだ知らない場合は、信頼できる情報源から学ぶためにかなりの時間を費やす必要があります。インターネット上には、お客様の最善の利益を考えていない、あるいは単に間違っているハウツーサイトがたくさんあります。
- 第二に、独自の安全なメールサーバーをセットアップするには、献身と継続的な作業が必要です。最新の脅威、セキュリティ勧告、利用可能なパッチについて常に最新情報を入手する必要があります。データの損失や100%未満の稼働率につながる可能性のあるハードウェアやソフトウェアの問題について、サーバーを監視する必要があります。
- 第三に、サーバーが故障したり修理が必要になったりした場合、メールへのアクセスを一時的に、あるいは永久に失うことになります。1台のサーバーだけに依存すると攻撃対象領域は減るかもしれませんが、インフラストラクチャの障害の可能性と影響は増大します。バックアップサーバーがあったとしても、大きなトラブルに巻き込まれる可能性があります。
- 第四に、メールの到達率は、ISPの稼働率とそこへのネットワーク接続に依存します。ひどい嵐でインターネット接続が1週間失われたら?この状況では、一部のメールを永久に失うことはほぼ確実です。また、多くのISPは、スパム防止策として、住宅用顧客向けにポート25での送信トラフィックをブロックしています。このポートはSMTP経由で送信メールを送るために使用されるため、これがないと住宅用メールサーバーをホストすることは全くできません。
- 第五に、全員からのメールを受信したい場合は、インターネット全体がポート25(デフォルトのSMTPポート)でメールサーバーに接続することを許可する必要があります。これにより、サーバーだけでなく、ホームネットワーク全体に多くのセキュリティリスクが生じます。携帯電話からのモバイルメールアクセスを有効にするには、さらに多くのポートを外部に開放する必要があります。ファイアウォールに詳しくない場合、これはホームネットワークと接続されているデバイスのセキュリティを著しく侵害する可能性があります。
- 第六に、IPとドメインの評判の両方がメールの到達率にとって重要です。そして特にIPの評判は、メールの量が少なく、既知の住宅用IP範囲では構築するのが困難です。送信メールの多くは、少なくとも最初のうちは迷惑メールに分類されるか、完全に拒否される可能性があります。
- そして最後に、自宅にプライベートメールサーバーを置くことは、物理的に最も安全な場所ではないかもしれません。物理的により細かく制御できるかもしれませんが、住居に保管することは、盗難、火災、洪水、好奇心旺盛なペット、騒がしい子供など、新たなリスクをもたらします。
個人用メールサーバーをセットアップする方法
以下は、独自のメールサーバーをホストするための大まかな手順です。プロジェクトを開始する前に、各ステップについて詳細なプランを立てる必要があります。
ハードウェアを購入する
ハードウェアの購入を検討し始める際には、まずいくつかの情報を集める必要があります。これには以下が含まれます:
- 使用例:メールサーバーを使用する人数は何人を想定していますか?また、成長する予定はありますか?
- 必要な可用性:サーバーは1台でいいですか、それとも複数必要ですか?電源は1つでいいですか、それとも複数必要ですか?
- ホスティング要件:どのような種類のサーバーが必要ですか?いくつのアップリンクが提供され、速度はどのくらいですか?どのネットワークカードが何枚必要ですか?
- 予算:独自のハードウェアを所有することは、交換や修理の可能性ももたらします。新しいハードウェアが必要な場合は、長期にわたるメールのダウンタイムを考慮に入れる必要があるかもしれません。機器の交換には、1件あたり数百ドルから数千ドルの費用がかかる可能性があります。
ハードウェアはオペレーティングシステムと互換性がある必要があることに留意してください。ほとんどのメールサーバーはLinux上で動作し、少数がWindows上で動作します。
ブロックされていないSMTPポートを持つ静的IPアドレスを取得する
通常の住宅用IPアドレスをメールサーバーに使用することはできません。これらは通常、ウイルスを撒き散らす感染した家庭用コンピューターからのファイアウォールの一種を作成するために、他のメールサーバーからブラックリストに登録されています。
インターネットサービスプロバイダに連絡して、ブラックリストに登録されていない静的パブリックIPアドレスが付属するプランを購入してください。メールサーバーを実行するにはSMTPポートが必要なので、IPアドレスにブロックされていないSMTPポートが付属していることを確認してください。
ドメインを購入してセットアップする
ドメインを販売しているサイトに行き、気に入ったものを選びます。カスタムメールドメインは、メールアドレスの末尾に表示されるものなので(プロキシを使用しない限り)、慎重に選んでください。メールアドレスは hello@exampledomain.com のようになります。
ドメインを購入したら、公開登録データベースで個人データを利用可能にしたくない場合は、プライバシー保護サービスを利用できます。ドメインを販売しているほとんどのサイトがこのサービスを提供しています。彼らは公開レジストラにあなたの情報の代わりにプロキシとして彼らの情報を掲載します。
次に、DNSサービスを有効にする必要があります。ドメインを販売しているほとんどのサイトでもDNSサービスを提供していますが、1回のハッキングでドメインとDNSの両方がダウンするのを防ぐために、別のプロバイダーを通じてセットアップすることをお勧めします。DNSプロバイダーが決まったら、ドメインのDNSフィールド(A、MX、TXTレコード)に入力します。(PTRレコードはIPアドレスに関連付けられており、他の場所で管理できます。)メールスプーフィングを防ぐために、TXTレコードフィールドにSPF、DKIM、DMARCレコードを必ず追加してください。
TLS証明書を取得する
TLS証明書は、インターネット経由で転送されるメールを暗号化するためのものです。この証明書は自己署名することはできません。自己署名されている場合、他のメールサーバーはあなたのサーバーからのメールを拒否します。Let’s Encryptなどの認証局から有効なTLS証明書を取得し、長期間有効であることを監視する必要があります。
メールサーバーソフトウェアを選択する
ネットワークの基本がセットアップできたので、次は使用するメールサーバーソフトウェアを選びます。
メールサーバーソフトウェアには、メールユーザーエージェント(MUA)、メール配信エージェント(MDA)、メール転送エージェント(MTA)の3つの一般的な役割があります。3つの役割すべてを処理するソフトウェアパッケージもあれば、異なる役割の一部をカバーするもの、1つの役割に含まれるサービスの一部のみを提供するものもあります。ニーズに合わせてメールサーバーソフトウェアを組み合わせるのはあなた次第です。
メールユーザーエージェント(MUA)
メールユーザーエージェントは、メールのユーザーインターフェースを提供するソフトウェアです。メールクライアントやメールリーダーとも呼ばれます。例としては、Thunderbird、Airmail、Outlookなどがあります。メールユーザーエージェントは、デバイスベースのアプリやウェブベースのアプリにすることができます。
選択したソフトウェアに応じて、ニーズに基づいて構成する必要があります。プライバシーとセキュリティの構成、およびMUAからの互換性要件に特に注意してください。
メール配信エージェント(MDA)
メール配信エージェント(メッセージ配信エージェント)は、メールメッセージをローカルの受信トレイに配信するものです。通常、POPプロトコルまたはIMAPプロトコルを使用してメールをフェッチするように構成できます。IMAPは通常、複数のデバイスから単一のメールボックスを管理および整理できるため好まれます。
プライベートメールサーバーのストレージが非常に限られている場合は、場所を取らないPOPを選択することをお勧めします(メールはサーバーではなくユーザーのデバイス上のMUAに保存されます)。
メール配信エージェントの役割をカバーするソフトウェアの例としては、Dovecot、Qpopper、Courier、Cyrus IMAPなどがあります。
メール転送エージェント(MTA)
メール転送エージェントは、SMTP(Simple Mail Transfer Protocol)を使用してメールを送信します。SMTPパラメータを構成する際は、システムや身元に関する詳細をブロードキャストしないように、バナーを制限することを検討してください。
MTAをセットアップする際は、DKIM、SPF、DMARCレコードがDNSで正しく構成されていること、およびDKIMについては対応するキーがMTAに正しくインストールされていることを確認してください。ソフトウェアのDKIM、SPF、DMARC機能によって作成されたデータでTXTフィールドを手動で更新するために、DNS設定に戻る必要がある場合があります。これは、送信メールが宛先プログラムによって迷惑メールとして拒否されないようにするために重要です。
受信メールについては、差出人からのDKIM、SPF、DMARCを確認するようにMTA構成を設定するか、受信メールをランク付けするためのしきい値を設定する必要があります。
メール転送エージェントの役割をカバーするソフトウェアの例としては、PostfixやEximがあります。
迷惑メールフィルターとウイルス対策をインストールする
メールサーバーソフトウェアのいずれにも迷惑メールフィルターやウイルス対策が付属していない場合は、それらをメールサーバーに追加する必要があります。
迷惑メールフィルターの例としては、SpamAssassinやRspamdのようなプログラムがあります。
ウイルス対策プログラムの例として、ClamAVをチェックしてみてください。
プライベートメールサーバーのセットアップに代わる選択肢
上記の内容が複雑すぎると感じる場合、はるかに少ない技術的専門知識と投資で済む、個人用メールサーバーのセットアップに代わる選択肢がいくつかあります。
ホスティングプロバイダーからレンタルする
ホスティングプロバイダーからプライベートメールサーバーをレンタルできます。これは、ハードウェアを家に持ち帰ってレンタルするという意味ではありません。サーバーの山でいっぱいの倉庫にあることが多いサーバーの使用権をレンタルするのです。可能であれば(このレベルの透明性が提供されないことも多いですが)、倉庫の物理的セキュリティが強力で、優れたプライバシー法のある国にあるホスティングプロバイダーを選ぶようにしてください。
メールサーバーをレンタルする利点は、お客様側の作業の一部を排除できることです。たとえば、サーバープロバイダーはすでにビジネスレベルのIPアドレスと、メールサーバー用にブロックされていないポートを用意している可能性が高いです。
フルサービスのホスティングプロバイダーからレンタルしている場合、彼らはセットアップとメンテナンスのすべてを全面的に行ってくれます。
もちろん、これらすべての欠点は、ある程度の制御を失うことです。たとえば、メールサーバーのIPアドレスに問題が発生した場合、インターネットサービスプロバイダと一緒に対処することはできません。ISPアカウントを所有するサーバープロバイダーだけがそれを行うことができます。
しかし、最大の欠点は、ほとんどのホスティングプロバイダーがメールのエンドツーエンド暗号化を提供していないことです。家主のように、ホスティングプロバイダーは鍵を提供しますが、彼ら自身も合鍵を持っています。これは、ビッグテックのメールサービスプロバイダーを使用するのと同様のデメリットがあります。
安全なメールプロバイダーの利用
すべての技術的な実装を専門家に任せつつ、サーバー上のメールデータを常に暗号化しておきたい場合、最良の選択肢はエンドツーエンド暗号化されたメールプロバイダーです。Tuta(旧Tutanota)やProton Mailなど、確立されたオプションがあります。Proton Mailは、1億以上のアカウントを持つ世界最大の暗号化メールプロバイダーです。
エンドツーエンド暗号化では、メールサーバーにアップロードされる前に、デバイス上で宛先の公開鍵を使用してメールが保護されます。つまり、メールプロバイダーを含め、他の誰(宛先以外)もいかなる時点でもデータにアクセスできません。仮にデータ侵害が発生したり、政府がプロバイダーにデータの提出を法的に強制したりしても、彼らが見ることができるのは解読不可能な暗号文だけです。
Proton Mailがより優れたプライバシーと信頼性を提供する仕組み
Proton Mailは、世界最大の暗号化メールプロバイダーです。2014年にProton Mailを立ち上げた際、私たちはメールのセルフホスティングが解決しようとしている多くの問題(データの所有権、プライバシー、ビッグテックの監視からの解放)の解決を目指しました。
具体的には、Proton Mailは、セルフホスティングや他のメールプロバイダーでは得られない独自のメリットを組み合わせて提供しています。
- エンドツーエンド暗号化 — 前述の通り、Proton Mailはサーバーに送信する前にデバイス上でデータを暗号化するため、私たちにはメッセージや添付ファイルを見ることができません。
- ゼロアクセス暗号化 — Gmailなどのプライベートではないメールサーバーからメールが届いた場合、即座にお客様の公開鍵を使用してメッセージを暗号化するため、復号化できるのはお客様のみとなります。ゼロアクセス暗号化の詳細はこちらをご覧ください。
- スイスのプライバシー — Protonはスイスを拠点としているため、お客様のデータは世界で最も強力なプライバシー法の一つによって保護されています。私たちは米国やEUの法的管轄下にありません。
- 信頼性 — サービス品質保証契約(SLA)により、業界最高水準の99.95%の稼働率を保証しています。さらに、地理的に離れたデータセンターにお客様のファイルのバックアップを複数作成しているため、万が一自然災害が発生してもデータを失うことはありません。
- カスタマーサポート — Proton Mailコミュニティのメンバーとして、稼働率の保証だけでなく、受賞歴のあるサポートチームによる問題解決の支援を受けることができます。独自のメールサーバーをホストする最大の欠点の一つはメンテナンスですが、Proton Mailなら、私たちのチームがすべて管理します。
- 高度なセキュリティ — Proton Mailは、アカウントのセキュリティから、私たちが所有・運営するサーバーの物理的セキュリティに至るまで、何層ものセキュリティでお客様の受信トレイを保護しています。Proton Accountにはハッカーから防御するための複数のツールが付属しており、楕円曲線暗号などの最先端の暗号化技術を実装しています。Proton Mailのセキュリティ詳細はこちら。(新しいウィンドウ)
- 透明性 — 多くのビッグテックのメールプロバイダーとは異なり、私たちのコードはすべてオープンソース(新しいウィンドウ)であり、セキュリティ専門家による独立した監査を受けています。科学者として、私たちは透明性とピアレビューを信じています。
最後に、Protonはコミュニティによって支えられています。私たちは広告ではなくサブスクリプションから収益を得ているため、私たちの唯一の義務は、お客様のデータを保護し、高品質なサービスを提供することです。1億人以上の方々がProton Accountを作成する中、私たちはカレンダー、クラウドストレージ、VPN、パスワードマネージャーを含むサービスを拡大してきました。これらはすべて、プライバシーがデフォルトとなるインターネットを構築するという私たちのミッションの一環です。
これらのサービスへのサインアップと利用開始は無料であり、数秒で完了します。無料のメールアカウントを作成して始めましょう。
付録:メールシステムの比較
以下は、異なるメールシステムにおけるデータの取り扱い方法を示した3つの図です。1つ目は、ビッグテック企業がいかにお客様のデータに容易にアクセスできるかを示しています。2つ目はProton Mailの実装で、サーバーに送信する前にローカルでメールメッセージを暗号化します。そして3つ目は、一般的なプライベートメールサーバーのセットアップで、メールがデフォルトでエンドツーエンド暗号化されないため、セキュリティを犠牲にしてプライバシーを保持しています。
| ビッグテック | プライベートメールサーバー | ホスティングプロバイダーからのレンタル | Proton Mail | |
| AI、ターゲティング広告、その他のデータ収集からデータを保護 | いいえ | はい | はい | はい |
| エンドツーエンド暗号化を使用 | いいえ | いいえ | いいえ | はい |
| 稼働率を保証するための大規模なサーバーインフラを保有 | はい | いいえ | いいえ | はい |
| ハードウェアが含まれており、すぐに使用可能 | はい | いいえ | はい | はい |
| セキュリティ更新を含むソフトウェアを最新の状態に維持 | はい | いいえ | 場合による | はい |
| ドメインの購入とセットアップが必要 | いいえ | はい | はい | いいえ* |
| 非住宅用IPアドレスとオープンポートが含まれる | はい | いいえ | はい | はい |
| 無料で使用可能 | はい | いいえ | いいえ | はい |
*Proton Mailはカスタムメールドメインをサポートしています
