Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリテ...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for HIRANO Yoshitaka HIRANO Yoshitaka
March 12, 2024
Research
870
1

Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリティの変化とは

Gmailの「メール送信者のガイドライン」の概要について話します。
また、今後予想されるメールセキュリティの変化について、なりすましのない世界の観点でお話しします。

Avatar for HIRANO Yoshitaka

HIRANO Yoshitaka

March 12, 2024

More Decks by HIRANO Yoshitaka

See All by HIRANO Yoshitaka
DMARCは「p=rejectがゴール」ではない ~ none放置もreject即設定も危険
Avatar for HIRANO Yoshitaka hirachan
1
100
DMARCは導入したんだけど・・・現場のつぶやき 〜 BIMI?何それ美味しいの?
Avatar for HIRANO Yoshitaka hirachan
1
280
次世代のメールプロトコルの斜め読み
Avatar for HIRANO Yoshitaka hirachan
4
740
そのメール、ちゃんと届いていますか?DMARC・DKIM・SPFをしっかり運用管理してドメインの信頼を守る
Avatar for HIRANO Yoshitaka hirachan
2
210
MIMEと文字コードの闇
Avatar for HIRANO Yoshitaka hirachan
3
1.8k
メールとAIシリーズ:プライバシー保護のための次世代技術~NLPの未来と大規模言語モデル活用術
Avatar for HIRANO Yoshitaka hirachan
2
130
Whoisの闇
Avatar for HIRANO Yoshitaka hirachan
3
870
メール暗号化はSTART TLSで安心?!見落としがちな脆弱性と今すぐ取るべき対策
Avatar for HIRANO Yoshitaka hirachan
1
270
自由自在にカスタマイズ!Go言語で作る あなただけのメールサーバー
Avatar for HIRANO Yoshitaka hirachan
3
320

Other Decks in Research

See All in Research
討議:RACDA設立30周年記念都市交通フォーラム2026
Avatar for Traffic Brain trafficbrain
0
890
機械学習で作った ポケモン対戦bot で 遊ぼう!
Avatar for Yusuke Fukasawa fufufukakaka
0
210
「車1割削減、渋滞半減、公共交通2倍」を 熊本から岡山へ@RACDA設立30周年記念都市交通フォーラム2026
Avatar for Traffic Brain trafficbrain
1
1.1k
Apache Gravitinoで実現する Icebergカタログ統合とアクセスの一元化
Avatar for matsumooon matsumooon
0
220
【NICOGRAPH2025】Photographic Conviviality: ボディペイント・ワークショップによる 同時的かつ共生的な写真体験
Avatar for Chinatsu Ozawa toremolo72
0
240
定数整数除算・剰余算最適化再考
Avatar for herumi herumi
1
110
Using our influence and power for patient safety
Avatar for Helen Bevan helenbevan
0
340
AI Agentの精度改善に見るML開発との共通点 / commonalities in accuracy improvements in agentic era
Avatar for shimacos shimacos
6
1.6k
2026.01ウェビナー資料
Avatar for Elith elith
0
370
LOSの検討(λ Kansai 2026 in Winter)
Avatar for Motohiro Yakura motopu
0
130
PGDM: Physically Guided Diffusion Model for L Downscaling
Avatar for SatAI.challenge satai
0
160
Unified Audio Source Separation (Defense Slides)
Avatar for Kohei Saijo kohei_1979
1
600

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.7k
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
240
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
920
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
141
7.4k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
Avatar for Aleyda Solis aleyda
1
2k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.2k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
199
73k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
28
3.5k

Transcript

  1. Gmail の「メール送信者のガイドライン」 強化から 1 ヵ月、 今後予想されるメールセキュリティの変化とは Vade Japan 株式会社 平野善隆

  2. 2 自己紹介 名前 平野 善隆 所属 Vade Japan 株式会社 Hornetsecurity

    Principal Messaging Engineer 学歴 奈良先端科学技術大学院大学 情報科学研究科 自然言語処理学 趣味 長距離の自転車大会(1,200kmとか、2,000kmとか) バンド演奏 主な活動 M3AAWG JPAAWG

  3. はじめに

  4. 4 2023年10月3日 米Yahoo, Gmailが大量送信者に厳しくすると発表

  5. 5 • 現状のおさらい • 現状の対応方法 • なりすましのない世界 もくじ

  6. 現状のおさらい

  7. 迷惑メールとは?

  8. 8 ニセモノのメールは迷惑メール ニセモノのメール Amazonアカウント凍結のお知らせ 尊敬するお客様

  9. 9 迷惑メールとは? 毎日新製品のメールが来て 楽しいなぁ♪ 毎日毎日メールが来て もううんざりだよ=3

  10. 10 人によって定義がバラバラ 迷惑メール ではない 迷惑メール

  11. 11 • 偽者の可能性のあるメールは迷惑メールである • 0.3%以上「迷惑メール報告」がある送信者からのメールは、 迷惑メールである • 広告メールは「迷惑メール報告」されないように、 「登録解除」できるようにし、欲しい人だけが受信すればよい Gmailによる「迷惑メール」の再定義

  12. ニセモノでないことの証明

  13. 13 送信元IPの逆引きホスト名の正当性 192.0.2.5 example.com DNS 悪い人が管理 Received: from example.com (example.com.

    [192.0.2.5]) Receivedヘッダ に表示 exampleの ふりをするぞ

  14. 14 送信元IPの逆引きホスト名の正当性 192.0.2.5 example.com DNS 悪い人が管理 exampleの ふりをするぞ DNS 203.0.113.7

    example.com の人が管理 逆引きホスト名 のIPが元のIPと合 わない example.comがなりすまされている、とわかる

  15. 15 送信元IPの逆引きホスト名の正当性 203.0.113.7 example.com DNS DNS 203.0.113.7 203.0.113.42 example.com の人が管理

    逆引きホスト名 のIPが元のIPと 合っている example.comがなりすまされていない、とわかる 203.0.113.42

  16. 16 送信ドメイン認証 • SenderID RFC4406 2006年 • SPF RFC4408 2006年

    → RFC7208 2014年改訂 • DKIM RFC4871 2007年 → RFC6376 2011年改訂 • DMARC RFC7489 2015年 → draft-ietf-dmarc-dmarcbis-30 (近々改訂?) • ARC RFC8617 2019年 • BIMI draft-brand-indicators-for-message-identification-04 進行中 DMARCができてから9年 ➔ そろそろ機が熟した

  17. 17 17 実は突然厳しくしたわけではない 2023年3月のSender guidelinesのページ https://web.archive.org/web/20230322220545/https://support.google.com/a/answer/81126

  18. 22 • ヘッダFromのドメインとDKIMの署名者を一致させる + DKIM PASS • ヘッダFromとEnvelope Fromのドメインを一致させる +

    SPF PASS ヘッダFromドメインの正当性 アラインメントを 一致させる DMARCと同様だが、 SPF, DKIMの両方を要求する場合、 結果としてDMARCより厳しい

  19. 23 • 経路を暗号化することでメールサーバ間の改ざんが防がれる 経路の暗号化 Vade 改ざん できない START TLS

  20. 24 • 送信元IPのFCrDNS対応 • SPFをPassさせる • DKIMをPassさせる • ヘッダFromのアラインメント •

    DMARCの設定 • 経路の暗号化 ニセモノでないことの証明

  21. 登録解除

  22. 26 List-Unsubscribe-Post: List-Unsubscribe=One-Click List-Unsubscribe: <https://登録解除URL> 配信リストからの登録解除

  23. 27 登録解除に誘導される 迷惑メール報告しようとすると 登録解除を用意す ると、迷惑メール 報告されにくい

  24. 送信者の対応方法

  25. 29 A. メール送信者のガイドラインに対応させる ➔ なりすまされる心配がない B. Gmail以外のアドレスで受け取ってもらう • 送信ドメイン認証などに対応していない脆弱な環境のみに届く ➔

    受信者にとってなりすましが届くリスク C. ホワイトリストに入れてもらう • 悪い人に「なりすませますよ」と教えているようなもの ➔ 受信者にとってなりすましが届くリスク 送信者として (認証系)

  26. 30 A. 登録解除機能を付ける • 読みたくない人は登録解除できる → 迷惑メール報告されない → ただし、興味がないと登録解除されてしまう B.

    登録解除機能をつけない • 読みたくない人は迷惑メール報告する → 読みたい人にも届かなくなってしまう 送信者として (登録解除)

  27. なりすましのない世界へ

  28. 32 送信者は対応しないと届かない ISP 1 ISP 2 本物のメールだけ たぶん本物 たぶん本物 たぶん本物

    たぶん本物 届かないと困るので 対応する

  29. 33 ほとんどの送信者が対応する ISP 1 ISP 2 本物のメールだけ たぶん本物 たぶん本物 たぶん本物

    たぶん本物

  30. 34 攻撃者としては? ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ 届かないので 攻撃対象を変える

  31. 35 脆弱なところを狙う ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ 届かないので 攻撃対象を変える

  32. 36 受信者としては ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ このISP 嫌だ なりすましの問い 合わせが大変なの でGmailをオススメ

  33. 37 受信者はより安全なところへ移動する ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ 迷惑メール 来なくていいね

  34. 38 ISPとしては ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ 送信者は全員対応して るし、DMARCとかやっ てもいいんじゃない?

  35. 39 ISPも送信ドメイン認証等に対応 ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物のメールだけ

  36. 40 最終的に ISP 1 ISP 2 本物のメールだけ 本物のメールだけ 本物のメールだけ やべ

    なりすませない なりすましのない世界

  37. 41 • 送信者 • 送信ドメイン認証を設定し、登録解除の仕組みを提供 • 受信側ISPなど • 送信ドメイン認証等により本物のメールのみを受け取る •

    登録解除のUIを提供する ➔ 結果として不要なメールのを受信しなくてよくなる • 受信者 • 安全なサービスを見極めて使う 近い将来

  38. 42 突然の送信ドメイン認証 普及率の増加 インターネット協会 DMARC普及状況調査より

  39. 43 さっそくSoftBankが4月からDMARC対応

  40. なりすましのない世界では

  41. 45 SPF + アラインメント ➔ ヘッダFromのドメインなど DKIM + アラインメント ➔

    ヘッダFromのドメインなど DMARC ➔ ヘッダFromのドメイン 何に対してのなりすまし防止? なりすまされないのは、 ヘッダFromであって 送信者そのものではない

  42. 送信元ドメインが本物である世界 なりすましのない世界では

  43. 47 From: Security Days運営事務局 <[email protected]> Subject: 事前登録確認のお知らせ 以下のURLから登録内容を確認してください どちらがほんもののお知らせでしょうか From:

    Security Days運営事務局 <[email protected]> Subject: 事前登録確認のお知らせ 以下のURLから登録内容を確認してください DMARC PASS DMARC PASS

  44. 48 From: Security Days運営事務局 <[email protected]> Subject: 事前登録確認のお知らせ 以下のURLから登録内容を確認してください どちらがほんものでしょうか From:

    Security Days運営事務局 <[email protected]> Subject: 事前登録確認のお知らせ 以下のURLから登録内容を確認してください DMARC PASS DMARC PASS こちらは確実に本物だと分かる (f2ff.jpを知っていれば)

  45. 49 From: マイクロソフトサポート <[email protected]> Subject: アカウント確認のお知らせ 以下のURLから登録内容を確認してください Lookalike Domain From:

    Amazon <[email protected]> Subject: アカウント確認のお知らせ 以下のURLから登録内容を確認してください DMARC PASS DMARC PASS しかし、現実はそうではない

  46. 50 • そもそも使用しないのがよい • ブランド所有者と調整、同意を得る • WHOISのプライバシーサービスを使用しない • ブランド所有者は使用しているドメインの全リストを管理する •

    Lookalike Domainの所有権をブランド所有者に移管する Lookalikeドメインを使用する場合のベストプラクティス

  47. 51 • BIMI ブランドとドメインを紐付ける技術 これ

  48. 52 • DMARCがPASSしている • DMARCのポリシーがp=quarantine以上 • VMC証明書がPASSしている • 組織の存在証明 •

    担当者の存在証明 • ドメインとの紐付け証明 • ロゴの商標登録証明 BIMIの表示条件

  49. 53 • 送信者 • ブランドとドメインを紐付けるため、BIMIにロゴを登録 • 受信側ISPなど • BIMI認証が通ったものに対して、ロゴを表示し受信者に情報を提供する •

    送信元ドメインの評価をし、受信者に安全なメールを届ける • 受信者 • ロゴを見れば本物かどうかがわかる • 安全なサービスを見極めて使う 少し未来

  50. 54 JPドメインのBIMIの普及状況 インターネット協会 DMARC普及状況調査より

  51. 送信者のブランドが表示される世界

  52. 56 ロゴなりすましできないのか?

  53. 57 似たようなロゴは存在できる Minitt 立命館大学 Pandora 楽天 Meta PayPal

  54. 58 • 送信元ドメインがなりすまされていない世界ではドメインの評価ができる • ドメインが信頼できるかどうか見極める必要がある • ドメインとブランドの紐付け • 長年利用されているドメインは高評価 •

    スパム報告の少ないドメインは高評価 などなど ドメインの評価

  55. 59 Gmailユーザは自分の画像を変更できる これ

  56. 60 • BIMIのロゴは送信元ドメインに紐付いたもの • 送信者のアバターは送信者に紐付いたもの • 本来混在させるべきではない • これからWebMailを作る方や、BIMIを実装する方は、ぜひ考慮を BIMIのロゴと送信者のアバター

  57. さいごに

  58. 62 62 • ガイドライン・FAQの変更をチェックできるサイト • https://hirano.cc/no-auth-no-entry ガイドラインの変更について

  59. 63 今日帰ったらやること • 送信者 • DKIM, SPF + アラインメントを設定 ができるなら、

    DMARC p=reject, p=quarantine を書くことができます! • 受信側ISPなど • 送信者が希望するDMARCポリシー通りに動作するように検討しましょう • 登録解除のUIの提供を検討しましょう • 受信者 • 安全なサービスを見極めて使いましょう

  60. 64 Vade Japan ブースもお立ち寄りください

  61. 65 • Email sender guidelines https://support.google.com/a/answer/81126?hl=en • Email sender guidelines

    FAQ https://support.google.com/a/answer/14229414?hl=en • Gmailの送信者のガイドラインの強化がもたらす未来 https://qiita.com/hirachan/items/f668511783c6e0663cb2 • BIMIを使ってメールにロゴを表示する方法 https://qiita.com/hirachan/items/f904edd03abf25a83004 https://qiita.com/hirachan/items/4922ae25a3d0602a140a https://qiita.com/hirachan/items/85d0983ebfa0e5034041 参考文献