ユーザーメールドメインの制限

コントロール名

ユーザーメールドメインの制限

推奨設定

ユーザーの [メール] 項目で許可されるメールドメインを制限する許可リストを定義します。[設定] > [承認済みメールドメイン] > [新規承認済みメールドメイン]。

制御の概要

ユーザーの [メール] 項目で許可されるメールドメインを制限する許可リストを定義して、使用されるドメインが信頼できることを確認します。承認されたメールドメインにメールアドレスを持つ新規ユーザーは、追加の検証なしでそのアドレスから Salesforce 経由でメールを送信できます。

この機能を使用するには、認証済みメールドメインを追加してから、ドメインの所有権を確認します。ドメイン検証には、ドメイン名の確認コードと同じ DNS TXT レコードが必要です。

設定されていない場合のセキュリティリスク

重要なセキュリティ アラートや企業情報が送信されるInboxへのアクセスを監視または取り消す機能を失うため、オフボーディング手順とデータ ガバナンスに大きなリスクが生じます。

脅威のシナリオ

悪意のあるユーザーは、Salesforce のメールアドレスを個人アドレスに変更して、パスワードのリセットによってアクセスを維持したり、会社の監視外で機密データのエクスポートやシステム通知を受信したりする場合があります。

推定 CVSS スコア範囲

重大 (9.0 ～ 10.0)。

リスクの影響に関する考慮事項

リスクの重要度は、ユーザーの種別、母集団の規模、プラットフォームメールの利用状況によって異なります。

より高いリスク

すべてのユーザーに付与される無制限の「メールを送信」権限。

Low or No Risk When (低リスクまたは無リスクの場合)

この制御は、次のいずれか 1 つ以上が実装されている場合は、低リスクとみなすことができます。

• 「メールの送信」権限を持つユーザー数の制限: 「メールの送信」権限のプロビジョニングルールは、最小限の権限を適用するように厳密に制限されています。
• IP ログイン制限: 設定を変更する権限を持つユーザーの IP ログイン制限
• MFA の適用: Salesforce ユーザーに MFA が適用されます。

ビジネスと統合に関する考慮事項

顧客は、「メールの送信」権限を持つユーザーとプロファイルごとにビジネスの正当性を評価する必要があります。

推奨される修復

「メールの送信」権限を承認されたプロファイルに制限し、使用できるドメインを制限します。

Security Health Review Guidance (セキュリティ状態レビューガイダンス)

ユーザーメールドメインの制限は、顧客が要件に基づいて設定するコントロールです。この変更は、新規ユーザーと既存のユーザーへの変更に影響します。変更のない既存のユーザーは影響を受けません。