Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

メールセキュリティの DMARC周りの設定を少しずつ設定してみたお話

メールセキュリティの DMARC周りの設定を少しずつ設定してみたお話

#cm_sapporo_study

Kazuki Miura

April 04, 2024
Tweet

More Decks by Kazuki Miura

Other Decks in Technology

Transcript

  1. メ ー ル セ キ ュ リ テ ィ の

    D M A R C 周 り の 設 定 を 少 し ず つ 設 定 し て み た お 話 M A I L S E C U R I T Y 2 0 2 4 年 4 月 4 日 # c m _ s a p p o r o _ s t u d y
  2. 秋田県生まれ HTB入社。技術職でマスター配属 初めてWebサービスを開発 三浦一樹 PjM / SM / エンジニア など

    1986年 2012年 2019年 社外認定 AWS Community Hero AWS Community Builder @miu_crescent AWS Samurai 2019 JAWS-UG 札幌支部 Media-JAWS
  3. 事 の 発 端 1 . メ ー ル セ

    キ ュ リ テ ィ 用 語 2 . S P F a . D K I M b . D M A R C c . 可 視 化 か ら の 対 策 3 . 目 次
  4. 事 の 発 端 01 G m a i l

    / Y a h o o メ ー ル の ガ イ ド ラ イ ン 変 更
  5. 1 0 , 0 0 0 件 / 月 く

    ら い 弊 社 の 事 情 Amazon Simple Email Service データ統合めんどい、、 オプトインフラグ管理つらい、、 全部SESに寄せたほうが、 サービス横断のマーケ施策のための データハンドリングがしやすそう 1 , 0 0 0 件 / 月 く ら い
  6. gmailが全体の4割くらい yahoo.com ほんのちょっとだけ yahoo.ne.jp ちょっとだけ yahoo.co.jp もうちょっとだけ Amazon Simple Email

    Service イ ン ボ イ ス 制 度 適 格 簡 易 請 求 書 そ れ な り に 影 響 し そ う 弊 社 の 事 情
  7. ガ イ ド ラ イ ン の 変 更 SPFとDKIMを設定

    PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 DMARC メール認証を設定 From: ヘッダー内のドメインは、SPF ドメイン または DKIM ドメインと一致 ワンクリックでの登録解除に対応 全 員 5 0 0 0 通 / 月 以 上 の ド メ イ ン
  8. ガ イ ド ラ イ ン の 変 更 SPFとDKIMを設定

    PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 DMARC メール認証を設定 From: ヘッダー内のドメインは、SPF ドメイン または DKIM ドメインと一致 ワンクリックでの登録解除に対応 全 員 5 0 0 0 通 / 月 以 上 の ド メ イ ン
  9. メ ー ル セ キ ュ リ テ ィ 02

    A m a z o n S E S で の 各 種 設 定
  10. メ ー ル セ キ ュ リ テ ィ S

    P F エンべローブFrom と Sender From が一致してるか D K I M D M A R C DNSに公開鍵 と Mail header from に秘密鍵 SPFとDKIMを合わせ て確認
  11. S P F 02-a S e n d e r

    P o l i c y F r a m e w o r k
  12. Envelop From Header From SPF Result amazonses.com hod.htb.co.jp fail S

    P F Amazon SES Amazon Route 53 hod.htb.co.jp 一致してないからダメ
  13. S P F Amazon SES Amazon Route 53 hod.htb.co.jp email.hod.htb.co.jp

    TXTレコード & MXレコード をRoute 53に登録 Record Name Value TXT email.hod.htb.co.jp 10 feedback-smtp.ap-northeast-1.amazonses.com MX email.hod.htb.co.jp "v=spf1 include:amazonses.com ~all" コンソールからだと ボタン一発
  14. D K I M 02-b D o m a i

    n K e y s I d e n t i f i e d M a i l
  15. D M A R C 02-c D o m a

    i n - b a s e d M e s s a g e A u t h e n t i c a t i o n , R e p o r t i n g , a n d C o n f o r m a n c e
  16. D M A R C Record Name Value TXT _dmarc.hod.htb.co.jp

    v=DMARC1; p=none; 厳しくなる方向になるので、 さすがに、ちゃんと調べましょう Amazon Route 53 今回のガイドラインに合わせるだけなら、 とっても簡単
  17. D M A R C アライメントは2種類のモード Strict Relaxed SPF アライメント

    SPF 認証の対象となるドメインと、ヘ ッダーの From: アドレスに含まれる ドメインが、完全に一致している必要 があります。 ヘッダーの From: アドレスに含まれる ドメインが、SPF 認証の対象となるド メインと一致しているか、そのサブド メインである必要があります。 DKIM アライメント 関連する DKIM ドメインと、ヘッダー の From: アドレスに含まれるドメイ ンが、完全に一致している必要があり ます。 ヘッダーの From: アドレスに含まれる ドメインが、DKIM 署名の d= タグで 指定されたドメインと一致している か、そのサブドメインである必要があ ります。
  18. 可 視 化 か ら の 対 策 03 レ

    ポ ー ト を 可 視 化 し て み よ う
  19. D M A R C DMARC が failした時のポリシー p= Strict

    none スルー 最初はここにしてレポート見る (※BIMIはnoneだと使えない) quarantine 迷惑メールに入る reject 拒否 バウンスメール飛ぶ 最後はこれにする
  20. メ ー ル セ キ ュ リ テ ィ 難

    し い ちょっとずつ DMARC の Pass が増えてきた まだちゃんと仕組みを理解したわけじゃない レポートが1日1回しか来ないので、試行錯誤大変 レポートの可視化をクラウドで自動でやるようにしたい。 でも、金ない
  21. カ ン フ ァ レ ン ス の 実 行

    委 員 C f P 募 集 中 4 / 8 ( 月 ) 2 3 : 5 9 ま で
  22. S P F Envelop From Header From SPF Aliged SPF

    Result amazonses.com htbshop.htb.co.jp false pass amazonses.com amazonses.com htbshop.htb.co.jp false fail au.com amazonses.com hod.htb.co.jp false pass amazonses.com amazonses.com hod.htb.co.jp false fail au.com なんでfailかわからん
  23. S P F Envelop From Header From SPF Aliged SPF

    Result gmail.com htbshop.htb.co.jp false pass google.com gmail.com hod.htb.co.jp false pass google.com jcom.zaq.ne.jp htbshop.htb.co.jp false pass zaq.ne.jp nayutanet.jp htb-videos.jp false pass google.com videomarket.co.jp htb-videos.jp false pass google.com なんで Envelop From に人のところが出てくるのかわからん
  24. D K I M DKIM Domain Header From DKIM Aliged

    DKIM Result amazonses.com htb-videos.jp false fial outlook.com htb-videos.jp htb-videos.jp false fial outlook.com amazonses.com htb-videos.jp false fial outlook.com htb-videos.jp htb-videos.jp false fial outlook.com htb-videos.jp がなんかおかしい? outlookがおかしい?