Upgrade to Pro — share decks privately, control downloads, hide ads and more …

メールセキュリティ トレイルマップ ~DMARCやその先にある世界~

メールセキュリティ トレイルマップ ~DMARCやその先にある世界~

JPAAWG 2nd General Meeting / 迷惑メール対策カンファレンス の資料です。

送信ドメイン認証や暗号化など様々な技術があり、正直何から手を付けていいのか、どこまで行けばゴールが見えるのかわかりません。本セッションではどういった技術があり、どういう風に活かせるのかを解説しながら、将来のメールセキュリティのトレイルマップを描きます。

HIRANO Yoshitaka

November 14, 2019
Tweet

More Decks by HIRANO Yoshitaka

Other Decks in Technology

Transcript

  1. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    メールセキュリティ
    トレイルマップ
    ~DMARCやその先にある世界~
    株式会社クオリティア
    平野善隆

    View Slide

  2. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    会社紹介
    社 名 株式会社クオリティア
    本 社 東京都中央区日本橋茅場町 3-11-10
    資本金 8,500万円
    設 立 1993年10月
    代 表 松田 賢
    ⚫ メッセージング関連ソリューションの開発・販売
    ⚫ コミュニケーションの効率化とセキュリティの強化を支援
    ⚫ メッセージ関連のクラウド型サービス・ソフトウェアで提供
    「コミュニケーション」「セキュリティ」の未来をお客様やパートナーと共創する
    Q U A L I T Y M A K E S F U T U R E

    View Slide

  3. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    自己紹介
    名前 平野 善隆
    所属 株式会社クオリティア
    チーフエンジニア
    資格等 Licensed Scrum Master
    Certified Scrum Developer
    主な活動 M3AAWG
    JPAAWG
    IA Japan 迷惑メール対策委員会
    迷惑メール対策推進協議会
    メッセージング研究所(MRI)
    Audax Randonneurs Nihonbashi

    View Slide

  4. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    開発の様子
    新製品研究開発の
    チームです
    チームメンバー
    募集中!
    開発チームTwitterアカウント

    View Slide

  5. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    メールセキュリティって
    どこまでやったらいいの?

    View Slide

  6. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    メールセキュリティ技術
    SPF
    DKIM
    誤送信
    防止
    無害化
    Password
    ZIP
    Anti
    Phishing Anti
    SPAM
    DNS
    SEC
    SMTP
    AUTH
    DANE
    MTA-
    STS
    START
    TLS
    BIMI
    ARC
    DMARC
    TLS-
    RPT
    Anti
    Virus
    Virus
    Filter
    Sand
    box
    安心
    マーク
    なんかいろいろあって
    よく分からない

    View Slide

  7. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何を何から守りたいのか

    View Slide

  8. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何から守りたいのか
    クオリティア
    メール
    サーバ
    メール
    サーバ
    なりすまし
    乗っ取り
    盗聴
    改ざん
    盗難
    漏洩
    ウィルス
    メール
    サーバ
    フィッシング

    View Slide

  9. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何から守りたいのか
    •なりすまし・改ざん
    •乗っ取り・踏み台
    •盗聴
    •スパム・マルウェア・フィッシング
    •情報漏洩

    View Slide

  10. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    なりすまし・改ざん
    から守る

    View Slide

  11. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    なりすまし・改ざんから守る
    クオリティア
    メール
    サーバ
    メール
    サーバ
    メール
    サーバ
    なりすまし
    改ざん

    View Slide

  12. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    なりすまし・改ざんから守る
    •SPF
    •DKIM
    •DMARC
    •ARC
    •BIMI

    View Slide

  13. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SPFがないとき
    192.0.2.1
    203.0.113.1
    Env From: [email protected]
    From: [email protected]
    Subject: お振り込みください
    いつもお世話になっております。
    ・・・・
    振り込みね。ポチっと。
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  14. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SPFがあるとき
    192.0.2.1
    Env From: [email protected]
    From: [email protected]
    Subject: お振り込みください
    AR: spf=pass
    いつもお世話になっております。
    ・・・・
    qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all”
    Envelope FromからIPをチェック

    本物だな。振り込みっと。
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  15. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SPFがあるとき
    192.0.2.1
    203.0.113.1
    Env From: [email protected]
    From: [email protected]
    Subject: お振り込みください
    AR: spf=fail
    いつもお世話になっております。
    ・・・・
    qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all”
    偽物っぽいなぁ
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  16. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    なりすまし・改ざんから守る

    View Slide

  17. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SPFがあっても
    192.0.2.1
    203.0.113.1
    Env From: [email protected]悪徳グループ.example
    From: [email protected]
    Subject: お振り込みください
    AR: spf=none
    いつもお世話になっております。
    ・・・・
    ○○会社.example txt “v=spf1 ip4:192.0.2.1 –all”
    振り込みね。ポチっと。
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  18. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    悪徳グループのSPFで認証
    192.0.2.1
    203.0.113.1
    Env From: [email protected]悪徳グループ.example
    From: [email protected]
    Subject: お振り込みください
    AR: spf=pass
    いつもお世話になっております。
    ・・・・
    悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
    qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all”
    振り込み、ポチっと。
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  19. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SPF
    •Envelope FromとIPアドレスが正しいか
    どうかを確認できる
    •RFC4408 (2006/04)
    送信元IP = Envelope From = Header From
    ?
    なりすまし・改ざんから守る

    View Slide

  20. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM
    なりすまし・改ざんから守る

    View Slide

  21. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIMがないとき
    From: [email protected]
    Subject: お振り込みください
    AR: dkim=none
    いつもお世話になっております。
    ・・・・
    振り込みね。ポチっと。
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  22. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=qualitia.co.jp; s=s1;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: お振り込みください
    いつもお世話になっております。
    ・・・・
    DKIMがあるとき
    署名して送ります
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    暗号化
    Public Key
    Private Key
    hash
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  23. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=qualitia.co.jp; s=s1;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: お振り込みください
    AR: dkim=pass
    いつもお世話になっております。
    ・・・・
    DKIMがあるとき
    安心して振り込みね。ポチっと。
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    複合化
    Public Key
    Private Key
    hash

    クオリティア
    なりすまし・改ざんから守る

    View Slide

  24. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=qualitia.co.jp;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: お振り込みください
    いつもお世話になっております。
    ・・・・
    DKIMがあるとき
    署名できない!
    暗号化
    Private Key
    hash
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  25. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=qualitia.co.jp; s=s1;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: 泥棒にお振り込みください
    いつもお世話になっております。
    ・・・・
    DKIMがあるとき
    署名したものを
    改ざんします
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    Public Key
    Private Key
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  26. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=qualitia.co.jp; s=s1;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: 泥棒にお振り込みください
    AR: dkim=fail
    いつもお世話になっております。
    ・・・・
    DKIMがあるとき
    改ざんされてるかも?!
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    複合化
    Public Key
    Private Key
    hash
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  27. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    なりすまし・改ざんから守る

    View Slide

  28. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIMがあっても
    From: [email protected]
    Subject: お振り込みください
    AR: dkim=none
    いつもお世話になっております。
    ・・・・
    振り込みね。ポチっと。
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    Private Key
    DKIMがないときと
    変わらない
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  29. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    もしかしたら?
    From: [email protected]
    Subject: お振り込みください
    AR: dkim=none
    いつもお世話になっております。
    ・・・・
    あれ?クオリティアさん
    普段、署名付いてるよね
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    Private Key
    DKIMがないときと
    変わらない
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  30. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=悪徳グループ.example; s=aku;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: お振り込みください
    いつもお世話になっております。
    ・・・・
    DKIMがあっても
    署名して送ります
    aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...”
    暗号化
    悪徳グループの
    Private Key
    Private Key
    hash
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  31. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=悪徳グループ.example; s=aku;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: お振り込みください
    AR: dkim=pass
    いつもお世話になっております。
    ・・・・
    DKIMがあっても
    ポチっと。
    複合化
    悪徳グループの
    Public Key
    Private Key
    hash

    aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...”
    悪徳グループの
    Private Key
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  32. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM
    •ヘッダや本文に署名して改ざんを防止できる
    なりすまし・改ざんから守る

    View Slide

  33. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SPF DKIM の問題点
    •SPFは第三者がEnvelope Fromをなりすま
    してもspf=passしてしまう
    •DKIMは第三者が署名してもdkim=passして
    しまう
    なりすまし・改ざんから守る

    View Slide

  34. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DMARC
    なりすまし・改ざんから守る

    View Slide

  35. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DMARCなら
    •Header Fromを基準に確認
    •Header From
    Envelope From
    DKIM署名者
    が一致することを確認
    なりすまし・改ざんから守る

    View Slide

  36. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    悪徳グループのSPFで認証 (dmarc p=none)
    192.0.2.1
    203.0.113.1
    Env From: [email protected]悪徳グループ.example
    From: [email protected]
    Subject: お振り込みください
    AR: spf=pass, dmarc=Fail
    いつもお世話になっております。
    ・・・・
    悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
    _dmarc.qualitia.co.jp txt “v=DMARC1; p=none”
    dmarc=failだわ。
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  37. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    悪徳グループのSPFで認証 (dmarc p=reject)
    192.0.2.1
    203.0.113.1
    Env From: [email protected]悪徳グループ.example
    From: [email protected]
    Subject: お振り込みください
    AR: spf=pass, dmarc=Fail
    いつもお世話になっております。
    ・・・・
    悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
    × 届かない
    _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject”
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  38. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=悪徳グループ.example; s=aku;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: お振り込みください
    AR: dkim=pass, dmarc=fail
    いつもお世話になっております。
    ・・・・
    悪徳グループのDKIM署名
    悪徳グループの
    Public Key
    aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...”
    悪徳グループの
    Private Key
    ×
    _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject”
    ×届かない
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  39. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    なりすまし・改ざんから守る

    View Slide

  40. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIM-Signature: v=1;
    d=qualitia.co.jp; s=s1;
    h=From:Subject;
    b=abcdef・・・・
    From: [email protected]
    Subject: [○○ML:1234]久しぶりの投稿
    AR: dkim=fail
    こんにちは。おひさしぶりです。
    ・・・・
    DKIM + メーリングリスト
    大丈夫なのかなぁ。
    s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
    複合化
    Public Key
    Private Key
    hash
    ×
    クオリティア
    なりすまし・改ざんから守る

    View Slide

  41. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    ARC
    なりすまし・改ざんから守る

    View Slide

  42. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    ARCがあれば
    arc=passですね。
    Private Key
    クオリティア
    メーリングリスト
    サーバ
    ml.example.jp
    ARC-Seal: i=1; cv=none; d=ml.example.jp;...
    ARC-Message-Signature: i=1; d=ml.example.jp;
    h=from:subject:dkim-signature:...
    ARC-Authentication-Result: i=1; ml.example.jp;
    dkim=pass; spf=pass; dmarc=pass
    DKIM-Signature: v=1; d=qualitia.co.jp; b=abcdef・・・・
    From: [email protected]
    Subject: [○○ML:1234]久しぶりの投稿
    AR: dkim=fail, arc=pass
    こんにちは。おひさしぶりです。
    ・・・・
    なりすまし・改ざんから守る

    View Slide

  43. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    ARC
    •The Authenticated Received Chain Protocol
    •RFC8617 (2019年7月)
    •メーリングリストサーバが受信したときに
    DKIM=passやARC=passであれば、
    ARCとして連番付きで再署名
    なりすまし・改ざんから守る

    View Slide

  44. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    運用
    なりすまし・改ざんから守る

    View Slide

  45. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    最近のDKIM事情
    •RFC8301: Cryptographic Algorithm and Key Usage Update
    to DomainKeys Identified Mail (DKIM) (2018/1月)
    ・署名も検証もrsa-sha256を使いましょう(MUST)
    ・rsa-sha1はやめましょう(MUST)
    ・署名は1024bit以上(MUST)、2048bit以上(SHOULD)
    ・検証は1024bit~4096bit(MUST)
    ※ しかし、2048bitはDNSに書けるサイズ255バイトを超えてしまう
    なりすまし・改ざんから守る

    View Slide

  46. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    最近のDKIM事情
    •RFC8463: A New Cryptographic Signature Method for
    DomainKeys Identified Mail (DKIM) (2018/9月)
    ・署名側は実装しましょう(SHOULD)
    ・検証側は実装必須(MUST)
    ・後方互換性のために署名はEd25519-SHA256と
    RSA-SHA256(1024bit以上)を2つ記述する
    Ed25519-SHA256を使いましょう
    BASE64後のサイズが44バイトしかないのでDNSの問題もない
    なりすまし・改ざんから守る

    View Slide

  47. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIMのKey Rotation
    •DKIMキーの
    ローテーション
    も必要
    なりすまし・改ざんから守る
    https://www.m3aawg.org/sites/default/files/m3aawg-dkim-key-rotation-bp-2019-03.pdf

    View Slide

  48. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DKIMの運用
    •新しい暗号方式への追従がめんどくさい
    •Key Rotationめんどくさい
    DKIM署名サービス絶賛開発中
    近日公開予定!
    注目
    なりすまし・改ざんから守る

    View Slide

  49. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    BIMI
    なりすまし・改ざんから守る

    View Slide

  50. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    BIMI
    •DMARCがpassしたら、
    送信ドメインの
    管理者が指定した
    ロゴを表示する
    ロゴを表示
    注目
    なりすまし・改ざんから守る

    View Slide

  51. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    なりすまし・改ざんから守る (まとめ)
    •SPF
    •DKIM
    •DMARC
    •ARC
    •BIMI
    なりすまし・改ざんから守る

    View Slide

  52. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何から守りたいのか
    •なりすまし・改ざん
    •乗っ取り・踏み台
    •盗聴
    •スパム・マルウェア・フィッシング
    •情報漏洩
    乗っ取り・踏み台から守る

    View Slide

  53. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    乗っ取り・踏み台
    から守る
    乗っ取り・踏み台から守る

    View Slide

  54. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    乗っ取り・踏み台から守る
    クオリティア
    メール
    サーバ
    メール
    サーバ
    乗っ取り
    乗っ取り・踏み台から守る

    View Slide

  55. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    POP before SMTP
    乗っ取り・踏み台から守る

    View Slide

  56. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    POP before SMTP
    POP3で認証が成功した場合のみ、
    SMTPで送信できる
    メールサーバ
    乗っ取り・踏み台から守る

    View Slide

  57. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SMTP AUTH
    乗っ取り・踏み台から守る

    View Slide

  58. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    SMTP AUTH
    SMTPでID/パスワード認証が成功した場合のみ、
    送信できる
    メールサーバ
    RFC2554 (1999) → RFC4954 (2007)
    乗っ取り・踏み台から守る

    View Slide

  59. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    OP25B
    乗っ取り・踏み台から守る

    View Slide

  60. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    OP25B
    •SMTP(Port587)でID/パスワード認証が
    成功した場合のみ送信できる
    •PCからPort25はブロックする
    メールサーバ
    乗っ取り・踏み台から守る

    View Slide

  61. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    Multi Factor Authentication
    多要素認証
    乗っ取り・踏み台から守る

    View Slide

  62. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    Multi Factor Authentication
    SMTP AUTH、デバイス認証、生体認証などを
    複数組み合わせて、認証できれば送信できる
    メールサーバ
    デバイス認証
    + 顔認証
    OK
    乗っ取り・踏み台から守る

    View Slide

  63. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デモ
    作ってみた
    注目
    乗っ取り・踏み台から守る

    View Slide

  64. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デモ
    メールサーバ
    デバイス認証
    + 顔認証
    OK
    乗っ取り・踏み台から守る

    View Slide

  65. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デバイス + 顔認証








    乗っ取り・踏み台から守る
    メールを送信

    View Slide

  66. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デバイス + 顔認証








    乗っ取り・踏み台から守る
    スマホへ認証依頼

    View Slide

  67. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デバイス + 顔認証








    乗っ取り・踏み台から守る
    顔認証

    View Slide

  68. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デバイス + 顔認証








    乗っ取り・踏み台から守る
    認証中

    View Slide

  69. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    デバイス + 顔認証








    乗っ取り・踏み台から守る
    認証・送信完了

    View Slide

  70. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    多要素認証
    SMTPの生体認証サービス
    βユーザー募集!
    注目
    なりすまし・改ざんから守る

    View Slide

  71. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    乗っ取り・踏み台から守る(まとめ)
    •POP before SMTP
    •SMTP AUTH
    •OP25B
    •Multi Factor Authentication
    乗っ取り・踏み台から守る

    View Slide

  72. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何から守りたいのか
    •なりすまし・改ざん
    •乗っ取り・踏み台
    •盗聴
    •スパム・マルウェア・フィッシング
    •情報漏洩
    盗聴から守る

    View Slide

  73. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    盗聴
    から守る
    盗聴から守る

    View Slide

  74. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    盗聴から守る
    クオリティア
    メール
    サーバ
    メール
    サーバ
    盗聴
    改ざん
    盗難
    盗聴から守る

    View Slide

  75. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    ZIP暗号化
    盗聴から守る

    View Slide

  76. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    ZIP暗号化
    クオリティア
    メール
    サーバ
    メール
    サーバ
    盗聴
    改ざん
    盗難
    パスワード
    盗聴から守る

    View Slide

  77. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    STARTTLS
    盗聴から守る

    View Slide

  78. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    STARTTLS
    クオリティア
    メール
    サーバ
    メール
    サーバ
    盗聴
    改ざん
    メールサーバー間を暗号化する
    盗聴から守る

    View Slide

  79. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    盗聴から守る

    View Slide

  80. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    STARTTLS非対応の場合
    クオリティア
    メール
    サーバ
    メール
    サーバ2
    盗聴
    改ざん
    サーバーやクライアントが対応
    していなければ暗号化なしで
    配送される
    メール
    サーバ1
    盗聴から守る

    View Slide

  81. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    乗っ取られた場合
    クオリティア
    メール
    サーバ
    メール
    サーバ
    暗号化に対応していても無意味
    メール
    サーバ
    ARP
    BGP
    ・・・
    盗聴から守る

    View Slide

  82. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    MTA-STS
    盗聴から守る

    View Slide

  83. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    MTA-STS
    •STARTTLSを必ず使って配送する
    •TLS1.2以上を必ず使う
    •証明書が有効でなければ配送しない
    •RFC8461 (2018/09)
    盗聴から守る

    View Slide

  84. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    MTA-STSがあるとき
    クオリティア
    メール
    サーバ
    メール
    サーバ
    暗号化に対応
    していなければ送らない
    _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
    version: STSv1
    mode: enforce
    mx: mx1.qualitia.co.jp
    max_age: 1296000
    https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
    =盗まれない
    盗聴から守る
    ポリシー

    View Slide

  85. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    届かなかったことを知りたい
    盗聴から守る

    View Slide

  86. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    TLS-RPT
    盗聴から守る

    View Slide

  87. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    TLS-RPTがあるとき
    クオリティア
    メール
    サーバ
    メール
    サーバ
    暗号化に対応していなければ
    レポートを送る
    RFC8460 (2018/09)
    _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
    version: STSv1
    mode: enforce
    mx: mx1.qualitia.co.jp
    max_age: 1296000
    https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
    _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]"
    盗聴から守る

    View Slide

  88. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    注意!
    クオリティア
    メール
    サーバ
    メール
    サーバ
    _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
    version: STSv1
    mode: enforce
    mx: mx1.qualitia.co.jp
    max_age: 1296000
    https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
    _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]"
    暗号化に対応して
    いないので
    レポートが送れない!
    盗聴から守る

    View Slide

  89. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    Report Using HTTPS
    クオリティア
    メール
    サーバ
    メール
    サーバ
    _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
    version: STSv1
    mode: enforce
    mx: mx1.qualitia.co.jp
    max_age: 1296000
    https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
    _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=https://api.qualitia.co.jp/v1/tlsrpt"
    HTTPSも使えます
    https://api.qualitia.co.jp.jp/v1/tlsrpt
    POST
    盗聴から守る

    View Slide

  90. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    盗聴から守る

    View Slide

  91. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DNSハイジャッキング
    クオリティア
    メール
    サーバ
    メール
    サーバ
    MTA-STSを無効化
    メール
    サーバ
    DNS
    盗聴から守る

    View Slide

  92. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    不正な認証局
    クオリティア
    メール
    サーバ
    メール
    サーバ
    メール
    サーバ
    ARP
    BGP
    ・・・
    公開鍵証明書認証局(CA)
    署名
    qualitia.co.jp
    qualitia.co.jp
    署名
    問題のある
    公開鍵証明書認証局(CA)
    送信者からは正しく見える
    信頼
    盗聴から守る

    View Slide

  93. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DANE
    盗聴から守る

    View Slide

  94. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DANE
    •公開鍵証明書認証局(CA)を利用しない
    •使用してもよい
    •オレオレ証明書でもOK
    •DNSSECを利用する
    •RFC7672 (2015/10)
    盗聴から守る

    View Slide

  95. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    DANE
    クオリティア
    メール
    サーバ
    メール
    サーバ
    CAの代わりにDNSSECを利用
    DNSSEC
    公開鍵証明書認証局(CA)
    不要
    ルートDNS
    DNSSEC
    信頼
    盗聴から守る
    _25._tcp.mx1.qualitia.co.jp. IN TLSA 3 0 1 2B73BB905F…"
    mx1.qualitia.co.jp

    View Slide

  96. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    設定や運用が大変!
    盗聴から守る

    View Slide

  97. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    MTA-STS TLS-RTP DANEの運用
    •DNSSECの運用が大変
    •そもそもDNSSECが使えない
    •Key Rotationめんどくさい
    •レポート解析したくない
    メール利用者のための
    権威DNSSECサービス絶賛開発中
    近日公開予定!
    注目
    盗聴から守る

    View Slide

  98. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    盗聴から守る (まとめ)
    •暗号化ZIP
    •STARTTLS
    •MTA-STS
    •TLS-RPT
    •DANE-TLS
    •DNSSEC
    •DANE-S/MIME (おまけ)
    盗聴から守る

    View Slide

  99. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何から守りたいのか
    •なりすまし・改ざん
    •乗っ取り・踏み台
    •盗聴
    •スパム・マルウェア・フィッシング
    •情報漏洩
    スパム・マルウェア・フィッシングから守る

    View Slide

  100. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    スパム・マルウェア・
    フィッシング
    から守る
    スパム・マルウェア・フィッシングから守る

    View Slide

  101. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    スパムやマルウェアなどから守る
    メール
    サーバ
    メール
    サーバ
    なりすまし
    スパム
    ウィルス
    フィッシング
    スパム・マルウェア・フィッシングから守る

    View Slide

  102. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    受信メールのセキュリティ
    •スパムフィルタ
    •ウィルスフィルタ
    スパム・マルウェア・フィッシングから守る

    View Slide

  103. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    だがしかし
    ウィルスが暗号化されている!
    スパム・マルウェア・フィッシングから守る
    ウィルスフィルタで検知できない!

    View Slide

  104. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    パスワードで解凍してウィルスチェック
    パスワードで解凍
    ウィルスチェック
    サンドボックスで
    チェック
    安全なもののみ
    ダウンロード
    注目
    スパム・マルウェア・フィッシングから守る

    View Slide

  105. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    何から守りたいのか
    •なりすまし・改ざん
    •乗っ取り・踏み台
    •盗聴
    •スパム・マルウェア・フィッシング
    •情報漏洩
    情報漏洩から守る

    View Slide

  106. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    情報漏洩
    から守る
    情報漏洩から守る

    View Slide

  107. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    誤送信防止
    •メール一時保留
    •To, Cc → Bcc変換
    •パスワード付きZIP
    情報漏洩から守る

    View Slide

  108. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    WebDownload
    クオリティア
    メール
    サーバ
    メール
    サーバ
    分離
    添付ファイル
    注目
    情報漏洩から守る

    View Slide

  109. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    EMAILを守るための技術
    •なりすまし・改ざん
    •乗っ取り・踏み台
    •盗聴
    •スパム・マルウェア・フィッシング
    •情報漏洩
    SPF DKIM DMARC ARC BIMI
    POP before SMTP SMTP AUTH MFA
    STARTTLS MTA-STS TLS-RPT DANE DNSSEC
    AntiSPAM AntiVirus SandBox Active! zone
    一時保留 PasswordZIP WebDownload Active! gate

    View Slide

  110. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    紹介した製品・サービス
    •BIMI対応ウェブメール 製品
    •DKIM署名 サービス
    •SMTPの生体認証 製品・サービス
    •権威DNSSEC+メール設定支援 サービス
    •TLSレポート解析 サービス
    •パスワード付きファイルのウィルスチェック 製品
    •誤送信防止用 添付ファイル分離 製品・サービス
    βユーザ募集!

    View Slide

  111. Copyright© QUALITIA CO., LTD. All Rights Reserved.
    ご清聴ありがとうございました
    • BIMI対応ウェブメール 製品
    • DKIM署名 サービス
    • SMTPの生体認証 製品・サービス
    • 権威DNSSEC+メール設定支援 サービス
    • TLSレポート解析 サービス
    • パスワード付きファイルのウィルスチェック 製品
    • 誤送信防止用 添付ファイル分離 製品
    ご清聴ありがとうございました アンケートお願いします

    View Slide