危機管理室の吉本です。

Cloudflare Area1の機能でEmail Link Isolationという機能があります。受信したメール中の不審なURLを書き換え、URLを展開した画面だけを転送するというものです。どうしてもメール中のURLをクリックしてしまうのはメールセキュリティの課題だと思っている部分だったのでどのように動作するかを試してみました。

Email Link Isolationとは

ヒューマンエラーがあるという前提で、メール中の不審なURLをクリックしてしまう可能性をなくすのではなく減らすという発想のメールセキュリティ機能です。Cloudflare Area1でこの機能を有効化するだけで受信したメールURLが評価され、不審なものは変換されて隔離されたブラウザでリンク先を表示するオプションが表示されます。

設定方法

Cloudflare Area1の基本設定

事前にCloudflare Area1の基本的な設定が完了している必要があります。以前にGmailでの設定方法とテストメールでの検証方法をまとめているので下記のブログを参照ください。

Email Link Isolationの設定

Cloudflare Area1のダッシュボードよりEmail Configuration→Link Actions→Email Link Isolationより有効化するだけで完了です。逆にいうと一発でArea1を適用しているすべてのドメインに反映されてしまいます。このため今回の検証では検証用のドメインを使用しています。

テスト

テスト内容

下記の3パターンでテストメールを送信し、どのような条件で分離されるかと分離された場合の挙動を確かめました。

1. Cloudflare Area1で不審なメールと判定されるメールヘッダーを付与

   メールを悪意のある、または疑わしいと判定させるためX-Area1Security-Request-Disposition にMALICIOUSとSUSPICIOUSの2パターンの値を入れて送信します。

   x_header = "MALICIOUS"
   msg["X-Area1Security-Request-Disposition"] = x_header

2. メール本文へ不審なURLを付与

   Cloudflare Area1でフィッシングと判定されたURLをメール本文に挿入して送信します。

3. メール本文へ特定のURLを付与

   URLが変換されると思われる特定のURLをメール本文に記載して送信します。URLの詳細は省きます。

テスト結果

1. Cloudflare Area1のメール判定結果だけではブラウザ分離の判定をしていない

   悪意のある(MALICIOUS)や疑わしい(SUSPICIOUS)と判定されるメールヘッダーをつけたメールを受信したところ、URLは変換されておらず直接アクセスできました。ブラウザ分離の判定はメール自体の判定結果によらないようです。

2. 不審なURLはGmailでブロックされることがある

   Cloudflare Area1で実際にフィッシングと判定されたURLを本文中に付与したメールを送信したところ、Gmail側で隔離されてしまい受信することができませんでした。ブラウザ分離されることを期待しましたが、Gmailとしては当然の挙動かと思います。

3. 特定のURLは受信した際に書き換えられる

   特定のURLを付与したメールを受信するとリンクが変換され、直接開かずにブラウザ分離を推奨するページが表示されます。これによりメール本文中のURLを直接評価し不審かどうかを判定していることがわかりました。また、不審なURLがブラウザ分離用のリンクに変換され、直接アクセスしないよう強く促せることがわかりました。

まとめ

Email Link Isolationは受信したすべてのメールのURLを分離するわけではなく、URL自体を高度に分析した結果に応じて変換していることがわかりました。通常のメール判定に加えてこの機能を有効にすることでメールセキュリティをさらに底上げできそうです。