メールセキュリティトレイルマップ～DMARCやその先にある世界～

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 会社紹介社名株式会社クオリティア本社東京都中央区日本橋茅場町 3-11-10 資本金 8,500万円設立 1993年10月代表松田賢 ⚫ メッセージング関連ソリューションの開発・販売 ⚫ コミュニケーションの効率化とセキュリティの強化を支援 ⚫ メッセージ関連のクラウド型サービス・ソフトウェアで提供「コミュニケーション」「セキュリティ」の未来をお客様やパートナーと共創する Q U A L I T Y M A K E S F U T U R E

Slide 3

Slide 3 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 自己紹介名前平野善隆所属株式会社クオリティアチーフエンジニア資格等 Licensed Scrum Master Certified Scrum Developer 主な活動 M3AAWG JPAAWG IA Japan 迷惑メール対策委員会迷惑メール対策推進協議会メッセージング研究所(MRI) Audax Randonneurs Nihonbashi

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. メールセキュリティ技術 SPF DKIM 誤送信防止無害化 Password ZIP Anti Phishing Anti SPAM DNS SEC SMTP AUTH DANE MTA- STS START TLS BIMI ARC DMARC TLS- RPT Anti Virus Virus Filter Sand box 安心マークなんかいろいろあってよく分からない

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがないとき 192.0.2.1 203.0.113.1 Env From: [email protected] From: [email protected] Subject: お振り込みくださいいつもお世話になっております。・・・・振り込みね。ポチっと。 × クオリティアなりすまし・改ざんから守る

Slide 14

Slide 14 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあるとき 192.0.2.1 Env From: [email protected] From: [email protected] Subject: お振り込みください AR: spf=pass いつもお世話になっております。・・・・ qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” Envelope FromからIPをチェック ○ 本物だな。振り込みっと。クオリティアなりすまし・改ざんから守る

Slide 15

Slide 15 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあるとき 192.0.2.1 203.0.113.1 Env From: [email protected] From: [email protected] Subject: お振り込みください AR: spf=fail いつもお世話になっております。・・・・ qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” 偽物っぽいなぁ × クオリティアなりすまし・改ざんから守る

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. SPFがあっても 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=none いつもお世話になっております。・・・・ ○○会社.example txt “v=spf1 ip4:192.0.2.1 –all” 振り込みね。ポチっと。クオリティアなりすまし・改ざんから守る

Slide 18

Slide 18 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass いつもお世話になっております。・・・・悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all” 振り込み、ポチっと。クオリティアなりすまし・改ざんから守る

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みくださいいつもお世話になっております。・・・・ DKIMがあるとき署名して送ります s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 暗号化 Public Key Private Key hash クオリティアなりすまし・改ざんから守る

Slide 23

Slide 23 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass いつもお世話になっております。・・・・ DKIMがあるとき安心して振り込みね。ポチっと。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash ○ クオリティアなりすまし・改ざんから守る

Slide 24

Slide 24 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みくださいいつもお世話になっております。・・・・ DKIMがあるとき署名できない！暗号化 Private Key hash × クオリティアなりすまし・改ざんから守る

Slide 25

Slide 25 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: 泥棒にお振り込みくださいいつもお世話になっております。・・・・ DKIMがあるとき署名したものを改ざんします s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Public Key Private Key クオリティアなりすまし・改ざんから守る

Slide 26

Slide 26 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: 泥棒にお振り込みください AR: dkim=fail いつもお世話になっております。・・・・ DKIMがあるとき改ざんされてるかも？！ s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash × クオリティアなりすまし・改ざんから守る

Slide 27

Slide 27 text

Slide 28

Slide 28 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIMがあっても From: [email protected] Subject: お振り込みください AR: dkim=none いつもお世話になっております。・・・・振り込みね。ポチっと。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Private Key DKIMがないときと変わらないクオリティアなりすまし・改ざんから守る

Slide 29

Slide 29 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. もしかしたら？ From: [email protected] Subject: お振り込みください AR: dkim=none いつもお世話になっております。・・・・あれ？クオリティアさん普段、署名付いてるよね s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” Private Key DKIMがないときと変わらないクオリティアなりすまし・改ざんから守る

Slide 30

Slide 30 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example; s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みくださいいつもお世話になっております。・・・・ DKIMがあっても署名して送ります aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 暗号化悪徳グループの Private Key Private Key hash クオリティアなりすまし・改ざんから守る

Slide 31

Slide 31 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example; s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass いつもお世話になっております。・・・・ DKIMがあってもポチっと。複合化悪徳グループの Public Key Private Key hash ○ aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 悪徳グループの Private Key クオリティアなりすまし・改ざんから守る

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 (dmarc p=none) 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass, dmarc=Fail いつもお世話になっております。・・・・悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” _dmarc.qualitia.co.jp txt “v=DMARC1; p=none” dmarc=failだわ。 × クオリティアなりすまし・改ざんから守る

Slide 37

Slide 37 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 悪徳グループのSPFで認証 (dmarc p=reject) 192.0.2.1 203.0.113.1 Env From: jiro@悪徳グループ.example From: [email protected] Subject: お振り込みください AR: spf=pass, dmarc=Fail いつもお世話になっております。・・・・悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all” × 届かない _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject” × クオリティアなりすまし・改ざんから守る

Slide 38

Slide 38 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=悪徳グループ.example; s=aku; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: お振り込みください AR: dkim=pass, dmarc=fail いつもお世話になっております。・・・・悪徳グループのDKIM署名悪徳グループの Public Key aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...” 悪徳グループの Private Key × _dmarc.qualitia.co.jp txt “v=DMARC1; p=reject” ×届かないクオリティアなりすまし・改ざんから守る

Slide 39

Slide 39 text

Slide 40

Slide 40 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DKIM-Signature: v=1; d=qualitia.co.jp; s=s1; h=From:Subject; b=abcdef・・・・ From: [email protected] Subject: [○○ML:1234]久しぶりの投稿 AR: dkim=fail こんにちは。おひさしぶりです。・・・・ DKIM + メーリングリスト大丈夫なのかなぁ。 s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...” 複合化 Public Key Private Key hash × クオリティアなりすまし・改ざんから守る

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ARCがあれば arc=passですね。 Private Key クオリティアメーリングリストサーバ ml.example.jp ARC-Seal: i=1; cv=none; d=ml.example.jp;... ARC-Message-Signature: i=1; d=ml.example.jp; h=from:subject:dkim-signature:... ARC-Authentication-Result: i=1; ml.example.jp; dkim=pass; spf=pass; dmarc=pass DKIM-Signature: v=1; d=qualitia.co.jp; b=abcdef・・・・ From: [email protected] Subject: [○○ML:1234]久しぶりの投稿 AR: dkim=fail, arc=pass こんにちは。おひさしぶりです。・・・・なりすまし・改ざんから守る

Slide 43

Slide 43 text

Slide 44

Slide 44 text

Slide 45

Slide 45 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 最近のDKIM事情 •RFC8301: Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) (2018/1月) ・署名も検証もrsa-sha256を使いましょう(MUST) ・rsa-sha1はやめましょう(MUST) ・署名は1024bit以上(MUST)、2048bit以上(SHOULD) ・検証は1024bit～4096bit(MUST) ※ しかし、2048bitはDNSに書けるサイズ255バイトを超えてしまうなりすまし・改ざんから守る

Slide 46

Slide 46 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 最近のDKIM事情 •RFC8463: A New Cryptographic Signature Method for DomainKeys Identified Mail (DKIM) (2018/9月) ・署名側は実装しましょう(SHOULD) ・検証側は実装必須(MUST) ・後方互換性のために署名はEd25519-SHA256と RSA-SHA256(1024bit以上)を2つ記述する Ed25519-SHA256を使いましょう BASE64後のサイズが44バイトしかないのでDNSの問題もないなりすまし・改ざんから守る

Slide 47

Slide 47 text

Slide 48

Slide 48 text

Slide 49

Slide 49 text

Slide 50

Slide 50 text

Slide 51

Slide 51 text

Slide 52

Slide 52 text

Slide 53

Slide 53 text

Slide 54

Slide 54 text

Slide 55

Slide 55 text

Slide 56

Slide 56 text

Slide 57

Slide 57 text

Slide 58

Slide 58 text

Slide 59

Slide 59 text

Slide 60

Slide 60 text

Slide 61

Slide 61 text

Slide 62

Slide 62 text

Slide 63

Slide 63 text

Slide 64

Slide 64 text

Slide 65

Slide 65 text

Slide 66

Slide 66 text

Slide 67

Slide 67 text

Slide 68

Slide 68 text

Slide 69

Slide 69 text

Slide 70

Slide 70 text

Slide 71

Slide 71 text

Slide 72

Slide 72 text

Slide 73

Slide 73 text

Slide 74

Slide 74 text

Slide 75

Slide 75 text

Slide 76

Slide 76 text

Slide 77

Slide 77 text

Slide 78

Slide 78 text

Slide 79

Slide 79 text

Slide 80

Slide 80 text

Slide 81

Slide 81 text

Slide 82

Slide 82 text

Slide 83

Slide 83 text

Slide 84

Slide 84 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. MTA-STSがあるときクオリティアメールサーバメールサーバ暗号化に対応していなければ送らない _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt ＝盗まれない盗聴から守るポリシー

Slide 85

Slide 85 text

Slide 86

Slide 86 text

Slide 87

Slide 87 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. TLS-RPTがあるときクオリティアメールサーバメールサーバ暗号化に対応していなければレポートを送る RFC8460 (2018/09) _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]" 盗聴から守る

Slide 88

Slide 88 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. 注意！クオリティアメールサーバメールサーバ _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:[email protected]" 暗号化に対応していないのでレポートが送れない！盗聴から守る

Slide 89

Slide 89 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. Report Using HTTPS クオリティアメールサーバメールサーバ _mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;" version: STSv1 mode: enforce mx: mx1.qualitia.co.jp max_age: 1296000 https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt _smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=https://api.qualitia.co.jp/v1/tlsrpt" HTTPSも使えます https://api.qualitia.co.jp.jp/v1/tlsrpt POST 盗聴から守る

Slide 90

Slide 90 text

Slide 91

Slide 91 text

Slide 92

Slide 92 text

Slide 93

Slide 93 text

Slide 94

Slide 94 text

Slide 95

Slide 95 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. DANE クオリティアメールサーバメールサーバ CAの代わりにDNSSECを利用 DNSSEC 公開鍵証明書認証局(CA) 不要ルートDNS DNSSEC 信頼盗聴から守る _25._tcp.mx1.qualitia.co.jp. IN TLSA 3 0 1 2B73BB905F…" mx1.qualitia.co.jp

Slide 96

Slide 96 text

Slide 97

Slide 97 text

Slide 98

Slide 98 text

Slide 99

Slide 99 text

Slide 100

Slide 100 text

Slide 101

Slide 101 text

Slide 102

Slide 102 text

Slide 103

Slide 103 text

Slide 104

Slide 104 text

Slide 105

Slide 105 text

Slide 106

Slide 106 text

Slide 107

Slide 107 text

Slide 108

Slide 108 text

Slide 109

Slide 109 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. EMAILを守るための技術 •なりすまし・改ざん •乗っ取り・踏み台 •盗聴 •スパム・マルウェア・フィッシング •情報漏洩 SPF DKIM DMARC ARC BIMI POP before SMTP SMTP AUTH MFA STARTTLS MTA-STS TLS-RPT DANE DNSSEC AntiSPAM AntiVirus SandBox Active! zone 一時保留 PasswordZIP WebDownload Active! gate

Slide 110

Slide 110 text

Slide 111

Slide 111 text

Copyright© QUALITIA CO., LTD. All Rights Reserved. ご清聴ありがとうございました • BIMI対応ウェブメール製品 • DKIM署名サービス • SMTPの生体認証製品・サービス • 権威DNSSEC+メール設定支援サービス • TLSレポート解析サービス • パスワード付きファイルのウィルスチェック製品 • 誤送信防止用添付ファイル分離製品ご清聴ありがとうございましたアンケートお願いします