メールセキュリティ トレイルマップ ～DMARCやその先にある世界～

Transcript

1. Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティ トレイルマップ ～DMARCやその先にある世界～

   株式会社クオリティア 平野善隆 <[email protected]>

2. Copyright© QUALITIA CO., LTD. All Rights Reserved. 会社紹介 社 名

   株式会社クオリティア 本 社 東京都中央区日本橋茅場町 3-11-10 資本金 8,500万円 設 立 1993年10月 代 表 松田 賢 ⚫ メッセージング関連ソリューションの開発・販売 ⚫ コミュニケーションの効率化とセキュリティの強化を支援 ⚫ メッセージ関連のクラウド型サービス・ソフトウェアで提供 「コミュニケーション」「セキュリティ」の未来をお客様やパートナーと共創する Q U A L I T Y M A K E S F U T U R E

3. Copyright© QUALITIA CO., LTD. All Rights Reserved. 自己紹介 名前 平野

   善隆 所属 株式会社クオリティア チーフエンジニア 資格等 Licensed Scrum Master Certified Scrum Developer 主な活動 M3AAWG JPAAWG IA Japan 迷惑メール対策委員会 迷惑メール対策推進協議会 メッセージング研究所(MRI) Audax Randonneurs Nihonbashi

4. Copyright© QUALITIA CO., LTD. All Rights Reserved. 開発の様子 新製品研究開発の チームです

   チームメンバー 募集中！ 開発チームTwitterアカウント

5. Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティって どこまでやったらいいの？

6. Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティ技術 SPF DKIM

   誤送信 防止 無害化 Password ZIP Anti Phishing Anti SPAM DNS SEC SMTP AUTH DANE MTA- STS START TLS BIMI ARC DMARC TLS- RPT Anti Virus Virus Filter Sand box 安心 マーク なんかいろいろあって よく分からない

7. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何を何から守りたいのか

8. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか クオリティア メール

   サーバ メール サーバ なりすまし 乗っ取り 盗聴 改ざん 盗難 漏洩 ウィルス メール サーバ フィッシング

9. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台

   •盗聴 •スパム・マルウェア・フィッシング •情報漏洩

10. Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざん から守る

11. Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざんから守る クオリティア メール

    サーバ メール サーバ メール サーバ なりすまし 改ざん

12. Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざんから守る •SPF •DKIM

    •DMARC •ARC •BIMI

13. Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがないとき 192.0.2.1 203.0.113.1

    Env From: [email protected] From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ 振り込みね。ポチっと。 × クオリティア なりすまし・改ざんから守る

14. Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあるとき 192.0.2.1 Env

    From: [email protected] From: [email protected] Subject: お振り込みください AR: spf=pass いつもお世話になっております。 ・・・・ qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” Envelope FromからIPをチェック ◦ 本物だな。振り込みっと。 クオリティア なりすまし・改ざんから守る

15. Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあるとき 192.0.2.1 203.0.113.1

    Env From: [email protected] From: [email protected] Subject: お振り込みください AR: spf=fail いつもお世話になっております。 ・・・・ qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” 偽物っぽいなぁ × クオリティア なりすまし・改ざんから守る

16. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし なりすまし・改ざんから守る

17. Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあっても 192.0.2.1 203.0.113.1

    Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=none いつもお世話になっております。 ・・・・ ◦◦会社.example txt “v=spf1 ip4:192.0.2.1 –all” 振り込みね。ポチっと。 クオリティア なりすまし・改ざんから守る

18. Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 192.0.2.1 203.0.113.1

    Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass いつもお世話になっております。 ・・・・ 悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” 振り込み、ポチっと。 クオリティア なりすまし・改ざんから守る

19. Copyright© QUALITIA CO., LTD. All Rights Reserved. SPF •Envelope FromとIPアドレスが正しいか

    どうかを確認できる •RFC4408 (2006/04) 送信元IP = Envelope From = Header From ? なりすまし・改ざんから守る

20. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM なりすまし・改ざんから守る

21. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMがないとき From: [email protected]

    Subject: お振り込みください AR: dkim=none いつもお世話になっております。 ・・・・ 振り込みね。ポチっと。 クオリティア なりすまし・改ざんから守る

22. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp;

    s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ DKIMがあるとき 署名して送ります s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 暗号化 Public Key Private Key hash クオリティア なりすまし・改ざんから守る

23. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp;

    s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass いつもお世話になっております。 ・・・・ DKIMがあるとき 安心して振り込みね。ポチっと。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash ◦ クオリティア なりすまし・改ざんから守る

24. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp;

    h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ DKIMがあるとき 署名できない！ 暗号化 Private Key hash × クオリティア なりすまし・改ざんから守る

25. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp;

    s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: 泥棒にお振り込みください いつもお世話になっております。 ・・・・ DKIMがあるとき 署名したものを 改ざんします s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Public Key Private Key クオリティア なりすまし・改ざんから守る

26. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp;

    s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: 泥棒にお振り込みください AR: dkim=fail いつもお世話になっております。 ・・・・ DKIMがあるとき 改ざんされてるかも？！ s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash × クオリティア なりすまし・改ざんから守る

27. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし なりすまし・改ざんから守る

28. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMがあっても From: [email protected]

    Subject: お振り込みください AR: dkim=none いつもお世話になっております。 ・・・・ 振り込みね。ポチっと。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Private Key DKIMがないときと 変わらない クオリティア なりすまし・改ざんから守る

29. Copyright© QUALITIA CO., LTD. All Rights Reserved. もしかしたら？ From: [email protected]

    Subject: お振り込みください AR: dkim=none いつもお世話になっております。 ・・・・ あれ？クオリティアさん 普段、署名付いてるよね s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Private Key DKIMがないときと 変わらない クオリティア なりすまし・改ざんから守る

30. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example;

    s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ DKIMがあっても 署名して送ります aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 暗号化 悪徳グループの Private Key Private Key hash クオリティア なりすまし・改ざんから守る

31. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example;

    s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass いつもお世話になっております。 ・・・・ DKIMがあっても ポチっと。 複合化 悪徳グループの Public Key Private Key hash ◦ aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 悪徳グループの Private Key クオリティア なりすまし・改ざんから守る

32. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM •ヘッダや本文に署名して改ざんを防止できる なりすまし・改ざんから守る

33. Copyright© QUALITIA CO., LTD. All Rights Reserved. SPF DKIM の問題点

    •SPFは第三者がEnvelope Fromをなりすま してもspf=passしてしまう •DKIMは第三者が署名してもdkim=passして しまう なりすまし・改ざんから守る

34. Copyright© QUALITIA CO., LTD. All Rights Reserved. DMARC なりすまし・改ざんから守る

35. Copyright© QUALITIA CO., LTD. All Rights Reserved. DMARCなら •Header Fromを基準に確認

    •Header From Envelope From DKIM署名者 が一致することを確認 なりすまし・改ざんから守る

36. Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 (dmarc p=none)

    192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass, dmarc=Fail いつもお世話になっております。 ・・・・ 悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” _dmarc.qualitia.co.jp txt “v=DMARC1; p=none” dmarc=failだわ。 × クオリティア なりすまし・改ざんから守る

37. Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 (dmarc p=reject)

    192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass, dmarc=Fail いつもお世話になっております。 ・・・・ 悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” × 届かない _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject” × クオリティア なりすまし・改ざんから守る

38. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example;

    s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass, dmarc=fail いつもお世話になっております。 ・・・・ 悪徳グループのDKIM署名 悪徳グループの Public Key aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 悪徳グループの Private Key × _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject” ×届かない クオリティア なりすまし・改ざんから守る

39. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし なりすまし・改ざんから守る

40. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp;

    s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: [◦◦ML:1234]久しぶりの投稿 AR: dkim=fail こんにちは。おひさしぶりです。 ・・・・ DKIM + メーリングリスト 大丈夫なのかなぁ。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash × クオリティア なりすまし・改ざんから守る

41. Copyright© QUALITIA CO., LTD. All Rights Reserved. ARC なりすまし・改ざんから守る

42. Copyright© QUALITIA CO., LTD. All Rights Reserved. ARCがあれば arc=passですね。 Private

    Key クオリティア メーリングリスト サーバ ml.example.jp ARC-Seal: i=1; cv=none; d=ml.example.jp;... ARC-Message-Signature: i=1; d=ml.example.jp; h=from:subject:dkim-signature:... ARC-Authentication-Result: i=1; ml.example.jp; dkim=pass; spf=pass; dmarc=pass DKIM-Signature: v=1; d=qualitia.co.jp; b=abcdef・・・・ From: [email protected] Subject: [◦◦ML:1234]久しぶりの投稿 AR: dkim=fail, arc=pass こんにちは。おひさしぶりです。 ・・・・ なりすまし・改ざんから守る

43. Copyright© QUALITIA CO., LTD. All Rights Reserved. ARC •The Authenticated

    Received Chain Protocol •RFC8617 (2019年7月) •メーリングリストサーバが受信したときに DKIM=passやARC=passであれば、 ARCとして連番付きで再署名 なりすまし・改ざんから守る

44. Copyright© QUALITIA CO., LTD. All Rights Reserved. 運用 なりすまし・改ざんから守る

45. Copyright© QUALITIA CO., LTD. All Rights Reserved. 最近のDKIM事情 •RFC8301: Cryptographic

    Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) (2018/1月) ・署名も検証もrsa-sha256を使いましょう(MUST) ・rsa-sha1はやめましょう(MUST) ・署名は1024bit以上(MUST)、2048bit以上(SHOULD) ・検証は1024bit～4096bit(MUST) ※ しかし、2048bitはDNSに書けるサイズ255バイトを超えてしまう なりすまし・改ざんから守る

46. Copyright© QUALITIA CO., LTD. All Rights Reserved. 最近のDKIM事情 •RFC8463: A

    New Cryptographic Signature Method for DomainKeys Identified Mail (DKIM) (2018/9月) ・署名側は実装しましょう(SHOULD) ・検証側は実装必須(MUST) ・後方互換性のために署名はEd25519-SHA256と RSA-SHA256(1024bit以上)を2つ記述する Ed25519-SHA256を使いましょう BASE64後のサイズが44バイトしかないのでDNSの問題もない なりすまし・改ざんから守る

47. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMのKey Rotation •DKIMキーの

    ローテーション も必要 なりすまし・改ざんから守る https://www.m3aawg.org/sites/default/files/m3aawg-dkim-key-rotation-bp-2019-03.pdf

48. Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMの運用 •新しい暗号方式への追従がめんどくさい •Key

    Rotationめんどくさい DKIM署名サービス絶賛開発中 近日公開予定！ 注目 なりすまし・改ざんから守る

49. Copyright© QUALITIA CO., LTD. All Rights Reserved. BIMI なりすまし・改ざんから守る

50. Copyright© QUALITIA CO., LTD. All Rights Reserved. BIMI •DMARCがpassしたら、 送信ドメインの

    管理者が指定した ロゴを表示する ロゴを表示 注目 なりすまし・改ざんから守る

51. Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざんから守る （まとめ） •SPF

    •DKIM •DMARC •ARC •BIMI なりすまし・改ざんから守る

52. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台

    •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 乗っ取り・踏み台から守る

53. Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取り・踏み台 から守る 乗っ取り・踏み台から守る

54. Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取り・踏み台から守る クオリティア メール

    サーバ メール サーバ 乗っ取り 乗っ取り・踏み台から守る

55. Copyright© QUALITIA CO., LTD. All Rights Reserved. POP before SMTP

    乗っ取り・踏み台から守る

56. Copyright© QUALITIA CO., LTD. All Rights Reserved. POP before SMTP

    POP3で認証が成功した場合のみ、 SMTPで送信できる メールサーバ 乗っ取り・踏み台から守る

57. Copyright© QUALITIA CO., LTD. All Rights Reserved. SMTP AUTH 乗っ取り・踏み台から守る

58. Copyright© QUALITIA CO., LTD. All Rights Reserved. SMTP AUTH SMTPでID/パスワード認証が成功した場合のみ、

    送信できる メールサーバ RFC2554 (1999) → RFC4954 (2007) 乗っ取り・踏み台から守る

59. Copyright© QUALITIA CO., LTD. All Rights Reserved. OP25B 乗っ取り・踏み台から守る

60. Copyright© QUALITIA CO., LTD. All Rights Reserved. OP25B •SMTP(Port587)でID/パスワード認証が 成功した場合のみ送信できる

    •PCからPort25はブロックする メールサーバ 乗っ取り・踏み台から守る

61. Copyright© QUALITIA CO., LTD. All Rights Reserved. Multi Factor Authentication

    多要素認証 乗っ取り・踏み台から守る

62. Copyright© QUALITIA CO., LTD. All Rights Reserved. Multi Factor Authentication

    SMTP AUTH、デバイス認証、生体認証などを 複数組み合わせて、認証できれば送信できる メールサーバ デバイス認証 + 顔認証 OK 乗っ取り・踏み台から守る

63. Copyright© QUALITIA CO., LTD. All Rights Reserved. デモ 作ってみた 注目

    乗っ取り・踏み台から守る

64. Copyright© QUALITIA CO., LTD. All Rights Reserved. デモ メールサーバ デバイス認証

    + 顔認証 OK 乗っ取り・踏み台から守る

65. Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証

    送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る メールを送信

66. Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証

    送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る スマホへ認証依頼

67. Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証

    送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る 顔認証

68. Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証

    送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る 認証中

69. Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証

    送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る 認証・送信完了

70. Copyright© QUALITIA CO., LTD. All Rights Reserved. 多要素認証 SMTPの生体認証サービス βユーザー募集！

    注目 なりすまし・改ざんから守る

71. Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取り・踏み台から守る（まとめ） •POP before

    SMTP •SMTP AUTH •OP25B •Multi Factor Authentication 乗っ取り・踏み台から守る

72. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台

    •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 盗聴から守る

73. Copyright© QUALITIA CO., LTD. All Rights Reserved. 盗聴 から守る 盗聴から守る

74. Copyright© QUALITIA CO., LTD. All Rights Reserved. 盗聴から守る クオリティア メール

    サーバ メール サーバ 盗聴 改ざん 盗難 盗聴から守る

75. Copyright© QUALITIA CO., LTD. All Rights Reserved. ZIP暗号化 盗聴から守る

76. Copyright© QUALITIA CO., LTD. All Rights Reserved. ZIP暗号化 クオリティア メール

    サーバ メール サーバ 盗聴 改ざん 盗難 パスワード 盗聴から守る

77. Copyright© QUALITIA CO., LTD. All Rights Reserved. STARTTLS 盗聴から守る

78. Copyright© QUALITIA CO., LTD. All Rights Reserved. STARTTLS クオリティア メール

    サーバ メール サーバ 盗聴 改ざん メールサーバー間を暗号化する 盗聴から守る

79. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 盗聴から守る

80. Copyright© QUALITIA CO., LTD. All Rights Reserved. STARTTLS非対応の場合 クオリティア メール

    サーバ メール サーバ2 盗聴 改ざん サーバーやクライアントが対応 していなければ暗号化なしで 配送される メール サーバ1 盗聴から守る

81. Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取られた場合 クオリティア メール

    サーバ メール サーバ 暗号化に対応していても無意味 メール サーバ ARP BGP ・・・ 盗聴から守る

82. Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STS 盗聴から守る

83. Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STS •STARTTLSを必ず使って配送する •TLS1.2以上を必ず使う

    •証明書が有効でなければ配送しない •RFC8461 (2018/09) 盗聴から守る

84. Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STSがあるとき クオリティア メール

    サーバ メール サーバ 暗号化に対応 していなければ送らない _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt ＝盗まれない 盗聴から守る ポリシー

85. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 届かなかったことを知りたい 盗聴から守る

86. Copyright© QUALITIA CO., LTD. All Rights Reserved. TLS-RPT 盗聴から守る

87. Copyright© QUALITIA CO., LTD. All Rights Reserved. TLS-RPTがあるとき クオリティア メール

    サーバ メール サーバ 暗号化に対応していなければ レポートを送る RFC8460 (2018/09) _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]" 盗聴から守る

88. Copyright© QUALITIA CO., LTD. All Rights Reserved. 注意！ クオリティア メール

    サーバ メール サーバ _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]" 暗号化に対応して いないので レポートが送れない！ 盗聴から守る

89. Copyright© QUALITIA CO., LTD. All Rights Reserved. Report Using HTTPS

    クオリティア メール サーバ メール サーバ _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=https://api.qualitia.co.jp/v1/tlsrpt" HTTPSも使えます https://api.qualitia.co.jp.jp/v1/tlsrpt POST 盗聴から守る

90. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 盗聴から守る

91. Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSハイジャッキング クオリティア メール

    サーバ メール サーバ MTA-STSを無効化 メール サーバ DNS 盗聴から守る

92. Copyright© QUALITIA CO., LTD. All Rights Reserved. 不正な認証局 クオリティア メール

    サーバ メール サーバ メール サーバ ARP BGP ・・・ 公開鍵証明書認証局(CA) 署名 qualitia.co.jp qualitia.co.jp 署名 問題のある 公開鍵証明書認証局(CA) 送信者からは正しく見える 信頼 盗聴から守る

93. Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE 盗聴から守る

94. Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE •公開鍵証明書認証局(CA)を利用しない •使用してもよい

    •オレオレ証明書でもOK •DNSSECを利用する •RFC7672 (2015/10) 盗聴から守る

95. Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE クオリティア メール

    サーバ メール サーバ CAの代わりにDNSSECを利用 DNSSEC 公開鍵証明書認証局(CA) 不要 ルートDNS DNSSEC 信頼 盗聴から守る _25._tcp.mx1.qualitia.co.jp. IN TLSA 3 0 1 2B73BB905F…" mx1.qualitia.co.jp

96. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 設定や運用が大変！ 盗聴から守る

97. Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STS TLS-RTP DANEの運用

    •DNSSECの運用が大変 •そもそもDNSSECが使えない •Key Rotationめんどくさい •レポート解析したくない メール利用者のための 権威DNSSECサービス絶賛開発中 近日公開予定！ 注目 盗聴から守る

98. Copyright© QUALITIA CO., LTD. All Rights Reserved. 盗聴から守る (まとめ) •暗号化ZIP

    •STARTTLS •MTA-STS •TLS-RPT •DANE-TLS •DNSSEC •DANE-S/MIME (おまけ) 盗聴から守る

99. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台

    •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 スパム・マルウェア・フィッシングから守る

100. Copyright© QUALITIA CO., LTD. All Rights Reserved. スパム・マルウェア・ フィッシング から守る

     スパム・マルウェア・フィッシングから守る

101. Copyright© QUALITIA CO., LTD. All Rights Reserved. スパムやマルウェアなどから守る メール サーバ

     メール サーバ なりすまし スパム ウィルス フィッシング スパム・マルウェア・フィッシングから守る

102. Copyright© QUALITIA CO., LTD. All Rights Reserved. 受信メールのセキュリティ •スパムフィルタ •ウィルスフィルタ

     スパム・マルウェア・フィッシングから守る

103. Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし ウィルスが暗号化されている！ スパム・マルウェア・フィッシングから守る

     ウィルスフィルタで検知できない！

104. Copyright© QUALITIA CO., LTD. All Rights Reserved. パスワードで解凍してウィルスチェック パスワードで解凍 ウィルスチェック

     サンドボックスで チェック 安全なもののみ ダウンロード 注目 スパム・マルウェア・フィッシングから守る

105. Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台

     •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 情報漏洩から守る

106. Copyright© QUALITIA CO., LTD. All Rights Reserved. 情報漏洩 から守る 情報漏洩から守る

107. Copyright© QUALITIA CO., LTD. All Rights Reserved. 誤送信防止 •メール一時保留 •To,

     Cc → Bcc変換 •パスワード付きZIP 情報漏洩から守る

108. Copyright© QUALITIA CO., LTD. All Rights Reserved. WebDownload クオリティア メール

     サーバ メール サーバ 分離 添付ファイル 注目 情報漏洩から守る

109. Copyright© QUALITIA CO., LTD. All Rights Reserved. EMAILを守るための技術 •なりすまし・改ざん •乗っ取り・踏み台

     •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 SPF DKIM DMARC ARC BIMI POP before SMTP SMTP AUTH MFA STARTTLS MTA-STS TLS-RPT DANE DNSSEC AntiSPAM AntiVirus SandBox Active! zone 一時保留 PasswordZIP WebDownload Active! gate

110. Copyright© QUALITIA CO., LTD. All Rights Reserved. 紹介した製品・サービス •BIMI対応ウェブメール 製品

     •DKIM署名 サービス •SMTPの生体認証 製品・サービス •権威DNSSEC+メール設定支援 サービス •TLSレポート解析 サービス •パスワード付きファイルのウィルスチェック 製品 •誤送信防止用 添付ファイル分離 製品・サービス βユーザ募集！

111. Copyright© QUALITIA CO., LTD. All Rights Reserved. ご清聴ありがとうございました • BIMI対応ウェブメール

     製品 • DKIM署名 サービス • SMTPの生体認証 製品・サービス • 権威DNSSEC+メール設定支援 サービス • TLSレポート解析 サービス • パスワード付きファイルのウィルスチェック 製品 • 誤送信防止用 添付ファイル分離 製品 ご清聴ありがとうございました アンケートお願いします