メールセキュリティの DMARC周りの設定を少しずつ設定してみたお話

Transcript

1. メ ー ル セ キ ュ リ テ ィ の

   D M A R C 周 り の 設 定 を 少 し ず つ 設 定 し て み た お 話 M A I L S E C U R I T Y 2 0 2 4 年 ４ 月 ４ 日 # c m _ s a p p o r o _ s t u d y

2. 秋田県生まれ HTB入社。技術職でマスター配属 初めてWebサービスを開発 三浦一樹 PjM / SM / エンジニア など

   1986年 2012年 2019年 社外認定 AWS Community Hero AWS Community Builder @miu_crescent AWS Samurai 2019 JAWS-UG 札幌支部 Media-JAWS

3. 事 の 発 端 1 . メ ー ル セ

   キ ュ リ テ ィ 用 語 2 . S P F a . D K I M b . D M A R C c . 可 視 化 か ら の 対 策 3 . 目 次

4. 事 の 発 端 01 G m a i l

   / Y a h o o メ ー ル の ガ イ ド ラ イ ン 変 更

5. 弊 社 の 事 情 Amazon Simple Email Service 購

   入 完 了 時 と か

6. ガ イ ド ラ イ ン の 変 更 2

   0 2 4 年 ２ 月

7. ガ イ ド ラ イ ン の 変 更 2

   0 2 4 年 ２ 月

8. 弊 社 の 事 情 Amazon Simple Email Service

9. 1 0 , 0 0 0 件 / 月 く

   ら い 弊 社 の 事 情 Amazon Simple Email Service データ統合めんどい、、 オプトインフラグ管理つらい、、 全部SESに寄せたほうが、 サービス横断のマーケ施策のための データハンドリングがしやすそう 1 , 0 0 0 件 / 月 く ら い

10. gmailが全体の４割くらい yahoo.com ほんのちょっとだけ yahoo.ne.jp ちょっとだけ yahoo.co.jp もうちょっとだけ Amazon Simple Email

    Service イ ン ボ イ ス 制 度 適 格 簡 易 請 求 書 そ れ な り に 影 響 し そ う 弊 社 の 事 情

11. ガ イ ド ラ イ ン の 変 更 SPFとDKIMを設定

    PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 DMARC メール認証を設定 From: ヘッダー内のドメインは、SPF ドメイン または DKIM ドメインと一致 ワンクリックでの登録解除に対応 全 員 5 0 0 0 通 / 月 以 上 の ド メ イ ン

12. ガ イ ド ラ イ ン の 変 更 SPFとDKIMを設定

    PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 DMARC メール認証を設定 From: ヘッダー内のドメインは、SPF ドメイン または DKIM ドメインと一致 ワンクリックでの登録解除に対応 全 員 5 0 0 0 通 / 月 以 上 の ド メ イ ン

13. メ ー ル セ キ ュ リ テ ィ 02

    A m a z o n S E S で の 各 種 設 定

14. メ ー ル セ キ ュ リ テ ィ S

    P F エンべローブFrom と Sender From が一致してるか D K I M D M A R C DNSに公開鍵 と Mail header from に秘密鍵 SPFとDKIMを合わせ て確認

15. S P F 02-a S e n d e r

    P o l i c y F r a m e w o r k

16. Envelop From Header From SPF Result amazonses.com amazonses.com pass S

    P F Amazon SES 一致してればオッケ

17. Envelop From Header From SPF Result amazonses.com hod.htb.co.jp fail S

    P F Amazon SES Amazon Route 53 hod.htb.co.jp 一致してないからダメ

18. S P F Amazon SES Amazon Route 53 hod.htb.co.jp email.hod.htb.co.jp

    TXTレコード & MXレコード をRoute 53に登録 Record Name Value TXT email.hod.htb.co.jp 10 feedback-smtp.ap-northeast-1.amazonses.com MX email.hod.htb.co.jp "v=spf1 include:amazonses.com ~all" コンソールからだと ボタン一発

19. D K I M 02-b D o m a i

    n K e y s I d e n t i f i e d M a i l

20. D K I M Easy DKIM ってやつを使うと簡単！ いい感じにやってくれる DNSサーバーに公開鍵を置いて メールヘッダーなどにハッシュと署名とドメインを付ける

21. D M A R C 02-c D o m a

    i n - b a s e d M e s s a g e A u t h e n t i c a t i o n , R e p o r t i n g , a n d C o n f o r m a n c e

22. D M A R C Record Name Value TXT _dmarc.hod.htb.co.jp

    v=DMARC1; p=none; 厳しくなる方向になるので、 さすがに、ちゃんと調べましょう Amazon Route 53 今回のガイドラインに合わせるだけなら、 とっても簡単

23. D M A R C SPFとDKIMに乗っかった仕様DMARC そのままパスをすればいいってわけじゃない 認証だけじゃなく アライメント って概念が出てきます

24. D M A R C アライメントは2種類のモード Strict Relaxed

25. D M A R C アライメントは2種類のモード Strict Relaxed SPF アライメント

    SPF 認証の対象となるドメインと、ヘ ッダーの From: アドレスに含まれる ドメインが、完全に一致している必要 があります。 ヘッダーの From: アドレスに含まれる ドメインが、SPF 認証の対象となるド メインと一致しているか、そのサブド メインである必要があります。 DKIM アライメント 関連する DKIM ドメインと、ヘッダー の From: アドレスに含まれるドメイ ンが、完全に一致している必要があり ます。 ヘッダーの From: アドレスに含まれる ドメインが、DKIM 署名の d= タグで 指定されたドメインと一致している か、そのサブドメインである必要があ ります。

26. D M A R C SPF/DKIMの認証とアライメントの組み合わせで結果が決まる

27. 可 視 化 か ら の 対 策 03 レ

    ポ ー ト を 可 視 化 し て み よ う

28. D M A R C DMARC が failした時のポリシー p= Strict

    none スルー 最初はここにしてレポート見る （※BIMIはnoneだと使えない） quarantine 迷惑メールに入る reject 拒否 バウンスメール飛ぶ 最後はこれにする

29. D M A R C レポート設定するとISPから届く

30. D M A R C 人間には やさしくな い、、

31. D M A R C 一旦ローカルでGrafanaで確認 感謝、、

32. S P F SESのコンソールでも教えてくれるように

33. S P F 時間あったらダッシュボード見てみる

34. メ ー ル セ キ ュ リ テ ィ 難

    し い ちょっとずつ DMARC の Pass が増えてきた まだちゃんと仕組みを理解したわけじゃない レポートが1日1回しか来ないので、試行錯誤大変 レポートの可視化をクラウドで自動でやるようにしたい。 でも、金ない

35. 宣 伝 extra せ ん で ん

36. カ ン フ ァ レ ン ス の 実 行

    委 員 C f P 募 集 中 4 / 8 ( 月 ) 2 3 : 5 9 ま で

37. カ ン フ ァ レ ン ス の 実 行

    委 員

38. S P F Envelop From Header From SPF Aliged SPF

    Result amazonses.com htbshop.htb.co.jp false pass amazonses.com amazonses.com htbshop.htb.co.jp false fail au.com amazonses.com hod.htb.co.jp false pass amazonses.com amazonses.com hod.htb.co.jp false fail au.com なんでfailかわからん

39. S P F Envelop From Header From SPF Aliged SPF

    Result gmail.com htbshop.htb.co.jp false pass google.com gmail.com hod.htb.co.jp false pass google.com jcom.zaq.ne.jp htbshop.htb.co.jp false pass zaq.ne.jp nayutanet.jp htb-videos.jp false pass google.com videomarket.co.jp htb-videos.jp false pass google.com なんで Envelop From に人のところが出てくるのかわからん

40. D K I M DKIM Domain Header From DKIM Aliged

    DKIM Result amazonses.com htb-videos.jp false fial outlook.com htb-videos.jp htb-videos.jp false fial outlook.com amazonses.com htb-videos.jp false fial outlook.com htb-videos.jp htb-videos.jp false fial outlook.com htb-videos.jp がなんかおかしい？ outlookがおかしい？