TwilioSendGridアカウントとレピュテーションの送信を保護するための7つのベストプラクティス

Twilio SendGridでは、お客様とそのブランドの保護を最優先事項としています。 世界で最も強力でパフォーマンスの高い電子メールプラットフォームの構築はまだ始まったばかりです。アカウントを保護し、悪意のある人物の手に渡らないようにするテクノロジーも構築しました。

セキュリティは、安全で信頼できる通信ソリューションを確保する責任を共有し、お客様と一緒に取り組む旅であることを私たちは知っています。 また、クレデンシャルの侵害に関する最近の傾向に伴い、アカウントの保護に役立ついくつかのベストプラクティスをまとめることを決定しました。

アカウントをより安全に保つための7つの方法を次に示します。

1.パスワードのセキュリティ

他のWebサイト間で共有されておらず、アカウントに固有の強力なパスワードを使用していることを確認してください。 今日、強力なパスワードは、覚えにくい文字のシーケンスである必要はありません。 14文字を超え、覚えやすいパスワードを選択する必要があります。 ここにいくつかのヒントがあります。

上記のガイドラインに従わない場合は、パスワードを更新することをお勧めします。 Twilio SendGridコンソールでパスワードを更新するには、ユーザー名とパスワードのリセットを参照してください。

2.2要素認証

二要素認証は、パスワードが盗まれたりハッキングされたりした場合でも、不正アクセスを防ぐのに役立ちます。一部の推定では、自動攻撃に対して99.9％の効果があります。 二要素認証は、アカウントにセキュリティの追加レイヤーを追加します。

有効にすると、ユーザーは、登録済みの安全な電話にテキストメッセージで送信されるコードを入力するように求められます。 このコードがないと、要求されたWebサイト、アプリ、または情報にアクセスできません。 完璧なセキュリティを実現するための特効薬ではありませんが、2要素認証はセキュリティ体制を大幅に強化します。 この機能を実装する方法を学びます。

3.APIキーの環境変数

APIキーをハードコーディングしないでください。 その場合、コードをリポジトリにプッシュするたびに、プロジェクト内の他のすべてのユーザーとAPIキーを共有します。 一人で作業している場合でも、コードを見た人は誰でもあなたの秘密情報にアクセスできるため、問題が発生する可能性があります。

この問題を回避するには、APIキーを環境変数として保存する必要があります。 これははるかに安全な方法であり、使用されているすべての場所でそれらを追い詰める代わりに、一度変更できるという追加の利点があります。 それを行う方法を示すオンラインのドキュメントはたくさんありますので、それらをチェックすることを強くお勧めします。

4.APIキーの範囲を制限します

ユーザーは「最小特権」アプローチを採用し、必要最小限の権限レベルでのみAPIキーを作成することをお勧めします。 すべての権限を持つ1つのAPIキーではなく、より少ない権限を持つ複数のAPIキーを作成してみてください。

APIキーが危険にさらされた場合、新しいAPIキーを削除して作成し、新しいキーで環境変数を更新するのは簡単です。 アカウント全体へのアクセスを提供せずに、アカウントのさまざまな機能へのアクセスを提供するようにAPIキーのアクセス許可を設定できます。

5.IPアクセス管理

一部のお客様は、IPアクセス管理機能を使用してアカウントを保護する場合があります。 この機能を使用すると、使用しているIPアドレスに基づいて、TwilioSendGridアカウントにアクセスできるユーザーを制御できます。

これは、既知の指定されたIPアドレスからのあなたとあなたのチームだけがアカウントにアクセスできるようにする強力なツールです。 注意しなければならないことの1つは、許可されたアドレスのリストから自分のIPアドレスを削除して、自分のアカウントへのアクセスをブロックすることができるということです。

アクセスを復元することはできますが、アカウントのIDと所有権を完全に証明する必要があります。 私たちはあなたのアカウントのセキュリティを非常に真剣に受け止めており、「悪意のある人物」が悪意を持ってあなたのアカウントにアクセスするのを防ぎたいと考えています。

現在のIPは、許可されたアドレスから誤って削除するのを防ぐために明確に表示されます。 この機能とその実装方法の詳細については、「IPアクセス管理」を参照してください。

6.送信者認証

次に、SPFとDKIMを設定するために、ドメインの送信者認証を設定して、ブランドのセキュリティについて詳しく説明します。 この機能を使用すると、業界標準の電子メール認証テクノロジーを使用して、TwilioSendGridアカウントでドメインを認証できます。

これにより、ISPの観点からの評判が高まり、信頼が構築され、ブランドの一貫性と配信可能性が向上するだけでなく、送信ドメインの保護にも役立ちます。 完全な電子メール認証構成には3つのコンポーネントがあります。 3つのテクノロジーすべてに精通し、ブランドや顧客を保護し、最終的には受信トレイをすべての人にとってより安全な場所にするために、それらを検討する必要があります。

SPF （Sender Policy Framework）は、電子メール認証の元の形式です。 SPFはDNSのテキストレコードであり、送信IPとドメインの間に関連付けを作成します。 SPF自体は完全な証拠ではありませんが、Gmailなどのメールボックスプロバイダーが送信者のレピュテーションを確立するために使用する追加のデータポイントです。 送信者認証を完了すると、SPFが自動的に処理されます。 SPFの詳細については、 SPFレコードの説明を参照してください。

DKIM （Domain Key Identified Mail）は、公開鍵と秘密鍵のペアを利用して、電子メールに一意の識別子と署名を割り当てます。 DKIMを使用すると、電子メールメッセージの受信者は、配信中にメッセージが改ざんされていないことを確認できます。 送信者認証を完了すると、DKIMが自動的に処理されます。 DKIMについて詳しく説明しているすばらしいブログ投稿があります：ドメインスプーフィングを防ぐためにDKIMを使用する方法。

DMARC – SPFとDKIMに加えて、DMARC（ドメインベースのメッセージ認証、レポート、適合性）を使用すると、ドメイン所有者は、メッセージがSPF、DKIM、またはその両方に失敗した場合の対処方法について、Gmailなどのドメインを受信するためのポリシーを公開できます。

誰かがDMARCを有効にしているドメインになりすまそうとすると、DMARCを検証およびチェックするドメインからフォレンジックレポートを通じて通知されます。 これにより、悪意のある送信者があなたをスプーフィングしたり、送信者の評判を傷つけたりするのを防ぐことができます。

SPFとDKIMの設定は、DMARCの前提条件です。 最近、Valimailと提携して、これをはるかに簡単にし、DMARCレポートの分析と監視を可能にしました。 DMARCを設定する人は、p=quarantineまたはp=rejectの強制フラグを使用することを強くお勧めします。

7.サブドメインを使用してメールを送信します

親ドメインの代わりにサブドメインを使用します。 マーケティングメールと非マーケティングメールを分離することで、各サブドメインでの送信レピュテーションと配信可能性に影響を与えているものをより簡単に分離できます。 ただし、電子メールドメインが侵害され、メールボックスプロバイダーによって不正な送信者としてフラグが付けられた場合でも、親ドメインは侵害されません。

エンドユーザーはこれらのタイプの電子メールを異なる方法で表示し、CAN-SPAMでは異なる方法で処理されるため、マーケティング電子メールをトランザクション電子メールから分離することも常に良い習慣です。 マーケティングメールのレピュテーションがトランザクションメールよりも低くなることは珍しくありません。出荷通知をスパムとしてマークする頻度はどれくらいですか。

メールストリームをメールタイプごとに、またトップレベルの企業ドメインから分離することで、きめ細かいレポートと柔軟な制御が可能になり、そのうちの1つでレピュテーションヒットが必ずしもすべてのトラフィックに影響を与えるとは限りません。

電子メール配信のパートナーとして、私たちはセキュリティ慣行を継続的に監視および改善しており、SendGridアカウントを保護するためのすべての方法を認識して最新の状態に保つことを望んでいます。 アカウントのセキュリティに関するその他の推奨事項については、 11ステップのSendGridセキュリティチェックリストをご覧ください。