Slide 1

Slide 1 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティ トレイルマップ ~DMARCやその先にある世界~ 株式会社クオリティア 平野善隆

Slide 2

Slide 2 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 会社紹介 社 名 株式会社クオリティア 本 社 東京都中央区日本橋茅場町 3-11-10 資本金 8,500万円 設 立 1993年10月 代 表 松田 賢 ⚫ メッセージング関連ソリューションの開発・販売 ⚫ コミュニケーションの効率化とセキュリティの強化を支援 ⚫ メッセージ関連のクラウド型サービス・ソフトウェアで提供 「コミュニケーション」「セキュリティ」の未来をお客様やパートナーと共創する Q U A L I T Y M A K E S F U T U R E

Slide 3

Slide 3 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 自己紹介 名前 平野 善隆 所属 株式会社クオリティア チーフエンジニア 資格等 Licensed Scrum Master Certified Scrum Developer 主な活動 M3AAWG JPAAWG IA Japan 迷惑メール対策委員会 迷惑メール対策推進協議会 メッセージング研究所(MRI) Audax Randonneurs Nihonbashi

Slide 4

Slide 4 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 開発の様子 新製品研究開発の チームです チームメンバー 募集中! 開発チームTwitterアカウント

Slide 5

Slide 5 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティって どこまでやったらいいの?

Slide 6

Slide 6 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティ技術 SPF DKIM 誤送信 防止 無害化 Password ZIP Anti Phishing Anti SPAM DNS SEC SMTP AUTH DANE MTA- STS START TLS BIMI ARC DMARC TLS- RPT Anti Virus Virus Filter Sand box 安心 マーク なんかいろいろあって よく分からない

Slide 7

Slide 7 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何を何から守りたいのか

Slide 8

Slide 8 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか クオリティア メール サーバ メール サーバ なりすまし 乗っ取り 盗聴 改ざん 盗難 漏洩 ウィルス メール サーバ フィッシング

Slide 9

Slide 9 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩

Slide 10

Slide 10 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざん から守る

Slide 11

Slide 11 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざんから守る クオリティア メール サーバ メール サーバ メール サーバ なりすまし 改ざん

Slide 12

Slide 12 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざんから守る •SPF •DKIM •DMARC •ARC •BIMI

Slide 13

Slide 13 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがないとき 192.0.2.1 203.0.113.1 Env From: [email protected] From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ 振り込みね。ポチっと。 × クオリティア なりすまし・改ざんから守る

Slide 14

Slide 14 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあるとき 192.0.2.1 Env From: [email protected] From: [email protected] Subject: お振り込みください AR: spf=pass いつもお世話になっております。 ・・・・ qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” Envelope FromからIPをチェック ○ 本物だな。振り込みっと。 クオリティア なりすまし・改ざんから守る

Slide 15

Slide 15 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあるとき 192.0.2.1 203.0.113.1 Env From: [email protected] From: [email protected] Subject: お振り込みください AR: spf=fail いつもお世話になっております。 ・・・・ qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” 偽物っぽいなぁ × クオリティア なりすまし・改ざんから守る

Slide 16

Slide 16 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし なりすまし・改ざんから守る

Slide 17

Slide 17 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあっても 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=none いつもお世話になっております。 ・・・・ ○○会社.example txt “v=spf1 ip4:192.0.2.1 –all” 振り込みね。ポチっと。 クオリティア なりすまし・改ざんから守る

Slide 18

Slide 18 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass いつもお世話になっております。 ・・・・ 悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” 振り込み、ポチっと。 クオリティア なりすまし・改ざんから守る

Slide 19

Slide 19 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPF •Envelope FromとIPアドレスが正しいか どうかを確認できる •RFC4408 (2006/04) 送信元IP = Envelope From = Header From ? なりすまし・改ざんから守る

Slide 20

Slide 20 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM なりすまし・改ざんから守る

Slide 21

Slide 21 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMがないとき From: [email protected] Subject: お振り込みください AR: dkim=none いつもお世話になっております。 ・・・・ 振り込みね。ポチっと。 クオリティア なりすまし・改ざんから守る

Slide 22

Slide 22 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ DKIMがあるとき 署名して送ります s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 暗号化 Public Key Private Key hash クオリティア なりすまし・改ざんから守る

Slide 23

Slide 23 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass いつもお世話になっております。 ・・・・ DKIMがあるとき 安心して振り込みね。ポチっと。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash ○ クオリティア なりすまし・改ざんから守る

Slide 24

Slide 24 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ DKIMがあるとき 署名できない! 暗号化 Private Key hash × クオリティア なりすまし・改ざんから守る

Slide 25

Slide 25 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: 泥棒にお振り込みください いつもお世話になっております。 ・・・・ DKIMがあるとき 署名したものを 改ざんします s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Public Key Private Key クオリティア なりすまし・改ざんから守る

Slide 26

Slide 26 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: 泥棒にお振り込みください AR: dkim=fail いつもお世話になっております。 ・・・・ DKIMがあるとき 改ざんされてるかも?! s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash × クオリティア なりすまし・改ざんから守る

Slide 27

Slide 27 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし なりすまし・改ざんから守る

Slide 28

Slide 28 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMがあっても From: [email protected] Subject: お振り込みください AR: dkim=none いつもお世話になっております。 ・・・・ 振り込みね。ポチっと。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Private Key DKIMがないときと 変わらない クオリティア なりすまし・改ざんから守る

Slide 29

Slide 29 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. もしかしたら? From: [email protected] Subject: お振り込みください AR: dkim=none いつもお世話になっております。 ・・・・ あれ?クオリティアさん 普段、署名付いてるよね s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Private Key DKIMがないときと 変わらない クオリティア なりすまし・改ざんから守る

Slide 30

Slide 30 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example; s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください いつもお世話になっております。 ・・・・ DKIMがあっても 署名して送ります aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 暗号化 悪徳グループの Private Key Private Key hash クオリティア なりすまし・改ざんから守る

Slide 31

Slide 31 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example; s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass いつもお世話になっております。 ・・・・ DKIMがあっても ポチっと。 複合化 悪徳グループの Public Key Private Key hash ○ aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 悪徳グループの Private Key クオリティア なりすまし・改ざんから守る

Slide 32

Slide 32 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM •ヘッダや本文に署名して改ざんを防止できる なりすまし・改ざんから守る

Slide 33

Slide 33 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPF DKIM の問題点 •SPFは第三者がEnvelope Fromをなりすま してもspf=passしてしまう •DKIMは第三者が署名してもdkim=passして しまう なりすまし・改ざんから守る

Slide 34

Slide 34 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DMARC なりすまし・改ざんから守る

Slide 35

Slide 35 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DMARCなら •Header Fromを基準に確認 •Header From Envelope From DKIM署名者 が一致することを確認 なりすまし・改ざんから守る

Slide 36

Slide 36 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 (dmarc p=none) 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass, dmarc=Fail いつもお世話になっております。 ・・・・ 悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” _dmarc.qualitia.co.jp txt “v=DMARC1; p=none” dmarc=failだわ。 × クオリティア なりすまし・改ざんから守る

Slide 37

Slide 37 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 (dmarc p=reject) 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass, dmarc=Fail いつもお世話になっております。 ・・・・ 悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” × 届かない _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject” × クオリティア なりすまし・改ざんから守る

Slide 38

Slide 38 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example; s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass, dmarc=fail いつもお世話になっております。 ・・・・ 悪徳グループのDKIM署名 悪徳グループの Public Key aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 悪徳グループの Private Key × _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject” ×届かない クオリティア なりすまし・改ざんから守る

Slide 39

Slide 39 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし なりすまし・改ざんから守る

Slide 40

Slide 40 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: [○○ML:1234]久しぶりの投稿 AR: dkim=fail こんにちは。おひさしぶりです。 ・・・・ DKIM + メーリングリスト 大丈夫なのかなぁ。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash × クオリティア なりすまし・改ざんから守る

Slide 41

Slide 41 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ARC なりすまし・改ざんから守る

Slide 42

Slide 42 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ARCがあれば arc=passですね。 Private Key クオリティア メーリングリスト サーバ ml.example.jp ARC-Seal: i=1; cv=none; d=ml.example.jp;... ARC-Message-Signature: i=1; d=ml.example.jp; h=from:subject:dkim-signature:... ARC-Authentication-Result: i=1; ml.example.jp; dkim=pass; spf=pass; dmarc=pass DKIM-Signature: v=1; d=qualitia.co.jp; b=abcdef・・・・ From: [email protected] Subject: [○○ML:1234]久しぶりの投稿 AR: dkim=fail, arc=pass こんにちは。おひさしぶりです。 ・・・・ なりすまし・改ざんから守る

Slide 43

Slide 43 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ARC •The Authenticated Received Chain Protocol •RFC8617 (2019年7月) •メーリングリストサーバが受信したときに DKIM=passやARC=passであれば、 ARCとして連番付きで再署名 なりすまし・改ざんから守る

Slide 44

Slide 44 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 運用 なりすまし・改ざんから守る

Slide 45

Slide 45 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 最近のDKIM事情 •RFC8301: Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) (2018/1月) ・署名も検証もrsa-sha256を使いましょう(MUST) ・rsa-sha1はやめましょう(MUST) ・署名は1024bit以上(MUST)、2048bit以上(SHOULD) ・検証は1024bit~4096bit(MUST) ※ しかし、2048bitはDNSに書けるサイズ255バイトを超えてしまう なりすまし・改ざんから守る

Slide 46

Slide 46 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 最近のDKIM事情 •RFC8463: A New Cryptographic Signature Method for DomainKeys Identified Mail (DKIM) (2018/9月) ・署名側は実装しましょう(SHOULD) ・検証側は実装必須(MUST) ・後方互換性のために署名はEd25519-SHA256と RSA-SHA256(1024bit以上)を2つ記述する Ed25519-SHA256を使いましょう BASE64後のサイズが44バイトしかないのでDNSの問題もない なりすまし・改ざんから守る

Slide 47

Slide 47 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMのKey Rotation •DKIMキーの ローテーション も必要 なりすまし・改ざんから守る https://www.m3aawg.org/sites/default/files/m3aawg-dkim-key-rotation-bp-2019-03.pdf

Slide 48

Slide 48 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMの運用 •新しい暗号方式への追従がめんどくさい •Key Rotationめんどくさい DKIM署名サービス絶賛開発中 近日公開予定! 注目 なりすまし・改ざんから守る

Slide 49

Slide 49 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. BIMI なりすまし・改ざんから守る

Slide 50

Slide 50 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. BIMI •DMARCがpassしたら、 送信ドメインの 管理者が指定した ロゴを表示する ロゴを表示 注目 なりすまし・改ざんから守る

Slide 51

Slide 51 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. なりすまし・改ざんから守る (まとめ) •SPF •DKIM •DMARC •ARC •BIMI なりすまし・改ざんから守る

Slide 52

Slide 52 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 乗っ取り・踏み台から守る

Slide 53

Slide 53 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取り・踏み台 から守る 乗っ取り・踏み台から守る

Slide 54

Slide 54 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取り・踏み台から守る クオリティア メール サーバ メール サーバ 乗っ取り 乗っ取り・踏み台から守る

Slide 55

Slide 55 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. POP before SMTP 乗っ取り・踏み台から守る

Slide 56

Slide 56 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. POP before SMTP POP3で認証が成功した場合のみ、 SMTPで送信できる メールサーバ 乗っ取り・踏み台から守る

Slide 57

Slide 57 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SMTP AUTH 乗っ取り・踏み台から守る

Slide 58

Slide 58 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SMTP AUTH SMTPでID/パスワード認証が成功した場合のみ、 送信できる メールサーバ RFC2554 (1999) → RFC4954 (2007) 乗っ取り・踏み台から守る

Slide 59

Slide 59 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. OP25B 乗っ取り・踏み台から守る

Slide 60

Slide 60 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. OP25B •SMTP(Port587)でID/パスワード認証が 成功した場合のみ送信できる •PCからPort25はブロックする メールサーバ 乗っ取り・踏み台から守る

Slide 61

Slide 61 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. Multi Factor Authentication 多要素認証 乗っ取り・踏み台から守る

Slide 62

Slide 62 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. Multi Factor Authentication SMTP AUTH、デバイス認証、生体認証などを 複数組み合わせて、認証できれば送信できる メールサーバ デバイス認証 + 顔認証 OK 乗っ取り・踏み台から守る

Slide 63

Slide 63 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デモ 作ってみた 注目 乗っ取り・踏み台から守る

Slide 64

Slide 64 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デモ メールサーバ デバイス認証 + 顔認証 OK 乗っ取り・踏み台から守る

Slide 65

Slide 65 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証 送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る メールを送信

Slide 66

Slide 66 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証 送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る スマホへ認証依頼

Slide 67

Slide 67 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証 送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る 顔認証

Slide 68

Slide 68 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証 送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る 認証中

Slide 69

Slide 69 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. デバイス + 顔認証 送 信 画 面 パ ケ ッ ト 乗っ取り・踏み台から守る 認証・送信完了

Slide 70

Slide 70 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 多要素認証 SMTPの生体認証サービス βユーザー募集! 注目 なりすまし・改ざんから守る

Slide 71

Slide 71 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取り・踏み台から守る(まとめ) •POP before SMTP •SMTP AUTH •OP25B •Multi Factor Authentication 乗っ取り・踏み台から守る

Slide 72

Slide 72 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 盗聴から守る

Slide 73

Slide 73 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 盗聴 から守る 盗聴から守る

Slide 74

Slide 74 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 盗聴から守る クオリティア メール サーバ メール サーバ 盗聴 改ざん 盗難 盗聴から守る

Slide 75

Slide 75 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ZIP暗号化 盗聴から守る

Slide 76

Slide 76 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ZIP暗号化 クオリティア メール サーバ メール サーバ 盗聴 改ざん 盗難 パスワード 盗聴から守る

Slide 77

Slide 77 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. STARTTLS 盗聴から守る

Slide 78

Slide 78 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. STARTTLS クオリティア メール サーバ メール サーバ 盗聴 改ざん メールサーバー間を暗号化する 盗聴から守る

Slide 79

Slide 79 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 盗聴から守る

Slide 80

Slide 80 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. STARTTLS非対応の場合 クオリティア メール サーバ メール サーバ2 盗聴 改ざん サーバーやクライアントが対応 していなければ暗号化なしで 配送される メール サーバ1 盗聴から守る

Slide 81

Slide 81 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 乗っ取られた場合 クオリティア メール サーバ メール サーバ 暗号化に対応していても無意味 メール サーバ ARP BGP ・・・ 盗聴から守る

Slide 82

Slide 82 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STS 盗聴から守る

Slide 83

Slide 83 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STS •STARTTLSを必ず使って配送する •TLS1.2以上を必ず使う •証明書が有効でなければ配送しない •RFC8461 (2018/09) 盗聴から守る

Slide 84

Slide 84 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STSがあるとき クオリティア メール サーバ メール サーバ 暗号化に対応 していなければ送らない _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt =盗まれない 盗聴から守る ポリシー

Slide 85

Slide 85 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 届かなかったことを知りたい 盗聴から守る

Slide 86

Slide 86 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. TLS-RPT 盗聴から守る

Slide 87

Slide 87 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. TLS-RPTがあるとき クオリティア メール サーバ メール サーバ 暗号化に対応していなければ レポートを送る RFC8460 (2018/09) _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]" 盗聴から守る

Slide 88

Slide 88 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 注意! クオリティア メール サーバ メール サーバ _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]" 暗号化に対応して いないので レポートが送れない! 盗聴から守る

Slide 89

Slide 89 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. Report Using HTTPS クオリティア メール サーバ メール サーバ _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=https://api.qualitia.co.jp/v1/tlsrpt" HTTPSも使えます https://api.qualitia.co.jp.jp/v1/tlsrpt POST 盗聴から守る

Slide 90

Slide 90 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 盗聴から守る

Slide 91

Slide 91 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DNSハイジャッキング クオリティア メール サーバ メール サーバ MTA-STSを無効化 メール サーバ DNS 盗聴から守る

Slide 92

Slide 92 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 不正な認証局 クオリティア メール サーバ メール サーバ メール サーバ ARP BGP ・・・ 公開鍵証明書認証局(CA) 署名 qualitia.co.jp qualitia.co.jp 署名 問題のある 公開鍵証明書認証局(CA) 送信者からは正しく見える 信頼 盗聴から守る

Slide 93

Slide 93 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE 盗聴から守る

Slide 94

Slide 94 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE •公開鍵証明書認証局(CA)を利用しない •使用してもよい •オレオレ証明書でもOK •DNSSECを利用する •RFC7672 (2015/10) 盗聴から守る

Slide 95

Slide 95 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE クオリティア メール サーバ メール サーバ CAの代わりにDNSSECを利用 DNSSEC 公開鍵証明書認証局(CA) 不要 ルートDNS DNSSEC 信頼 盗聴から守る _25._tcp.mx1.qualitia.co.jp. IN TLSA 3 0 1 2B73BB905F…" mx1.qualitia.co.jp

Slide 96

Slide 96 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし 設定や運用が大変! 盗聴から守る

Slide 97

Slide 97 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STS TLS-RTP DANEの運用 •DNSSECの運用が大変 •そもそもDNSSECが使えない •Key Rotationめんどくさい •レポート解析したくない メール利用者のための 権威DNSSECサービス絶賛開発中 近日公開予定! 注目 盗聴から守る

Slide 98

Slide 98 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 盗聴から守る (まとめ) •暗号化ZIP •STARTTLS •MTA-STS •TLS-RPT •DANE-TLS •DNSSEC •DANE-S/MIME (おまけ) 盗聴から守る

Slide 99

Slide 99 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 スパム・マルウェア・フィッシングから守る

Slide 100

Slide 100 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. スパム・マルウェア・ フィッシング から守る スパム・マルウェア・フィッシングから守る

Slide 101

Slide 101 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. スパムやマルウェアなどから守る メール サーバ メール サーバ なりすまし スパム ウィルス フィッシング スパム・マルウェア・フィッシングから守る

Slide 102

Slide 102 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 受信メールのセキュリティ •スパムフィルタ •ウィルスフィルタ スパム・マルウェア・フィッシングから守る

Slide 103

Slide 103 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. だがしかし ウィルスが暗号化されている! スパム・マルウェア・フィッシングから守る ウィルスフィルタで検知できない!

Slide 104

Slide 104 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. パスワードで解凍してウィルスチェック パスワードで解凍 ウィルスチェック サンドボックスで チェック 安全なもののみ ダウンロード 注目 スパム・マルウェア・フィッシングから守る

Slide 105

Slide 105 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 何から守りたいのか •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 情報漏洩から守る

Slide 106

Slide 106 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 情報漏洩 から守る 情報漏洩から守る

Slide 107

Slide 107 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 誤送信防止 •メール一時保留 •To, Cc → Bcc変換 •パスワード付きZIP 情報漏洩から守る

Slide 108

Slide 108 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. WebDownload クオリティア メール サーバ メール サーバ 分離 添付ファイル 注目 情報漏洩から守る

Slide 109

Slide 109 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. EMAILを守るための技術 •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 SPF DKIM DMARC ARC BIMI POP before SMTP SMTP AUTH MFA STARTTLS MTA-STS TLS-RPT DANE DNSSEC AntiSPAM AntiVirus SandBox Active! zone 一時保留 PasswordZIP WebDownload Active! gate

Slide 110

Slide 110 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 紹介した製品・サービス •BIMI対応ウェブメール 製品 •DKIM署名 サービス •SMTPの生体認証 製品・サービス •権威DNSSEC+メール設定支援 サービス •TLSレポート解析 サービス •パスワード付きファイルのウィルスチェック 製品 •誤送信防止用 添付ファイル分離 製品・サービス βユーザ募集!

Slide 111

Slide 111 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ご清聴ありがとうございました • BIMI対応ウェブメール 製品 • DKIM署名 サービス • SMTPの生体認証 製品・サービス • 権威DNSSEC+メール設定支援 サービス • TLSレポート解析 サービス • パスワード付きファイルのウィルスチェック 製品 • 誤送信防止用 添付ファイル分離 製品 ご清聴ありがとうございました アンケートお願いします