Slide 1

Slide 1 text

メ ー ル セ キ ュ リ テ ィ の D M A R C 周 り の 設 定 を 少 し ず つ 設 定 し て み た お 話 M A I L S E C U R I T Y 2 0 2 4 年 4 月 4 日 # c m _ s a p p o r o _ s t u d y

Slide 2

Slide 2 text

秋田県生まれ HTB入社。技術職でマスター配属 初めてWebサービスを開発 三浦一樹 PjM / SM / エンジニア など 1986年 2012年 2019年 社外認定 AWS Community Hero AWS Community Builder @miu_crescent AWS Samurai 2019 JAWS-UG 札幌支部 Media-JAWS

Slide 3

Slide 3 text

事 の 発 端 1 . メ ー ル セ キ ュ リ テ ィ 用 語 2 . S P F a . D K I M b . D M A R C c . 可 視 化 か ら の 対 策 3 . 目 次

Slide 4

Slide 4 text

事 の 発 端 01 G m a i l / Y a h o o メ ー ル の ガ イ ド ラ イ ン 変 更

Slide 5

Slide 5 text

弊 社 の 事 情 Amazon Simple Email Service 購 入 完 了 時 と か

Slide 6

Slide 6 text

ガ イ ド ラ イ ン の 変 更 2 0 2 4 年 2 月

Slide 7

Slide 7 text

ガ イ ド ラ イ ン の 変 更 2 0 2 4 年 2 月

Slide 8

Slide 8 text

弊 社 の 事 情 Amazon Simple Email Service

Slide 9

Slide 9 text

1 0 , 0 0 0 件 / 月 く ら い 弊 社 の 事 情 Amazon Simple Email Service データ統合めんどい、、 オプトインフラグ管理つらい、、 全部SESに寄せたほうが、 サービス横断のマーケ施策のための データハンドリングがしやすそう 1 , 0 0 0 件 / 月 く ら い

Slide 10

Slide 10 text

gmailが全体の4割くらい yahoo.com ほんのちょっとだけ yahoo.ne.jp ちょっとだけ yahoo.co.jp もうちょっとだけ Amazon Simple Email Service イ ン ボ イ ス 制 度 適 格 簡 易 請 求 書 そ れ な り に 影 響 し そ う 弊 社 の 事 情

Slide 11

Slide 11 text

ガ イ ド ラ イ ン の 変 更 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 DMARC メール認証を設定 From: ヘッダー内のドメインは、SPF ドメイン または DKIM ドメインと一致 ワンクリックでの登録解除に対応 全 員 5 0 0 0 通 / 月 以 上 の ド メ イ ン

Slide 12

Slide 12 text

ガ イ ド ラ イ ン の 変 更 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 SPFとDKIMを設定 PTR レコードの設定 送信に TLS 接続 迷惑メール率を 0.10% 未満 Internet Message Format 標準 From: ヘッダーのなりすましはしない 送信メールに ARC ヘッダーを追加 DMARC メール認証を設定 From: ヘッダー内のドメインは、SPF ドメイン または DKIM ドメインと一致 ワンクリックでの登録解除に対応 全 員 5 0 0 0 通 / 月 以 上 の ド メ イ ン

Slide 13

Slide 13 text

メ ー ル セ キ ュ リ テ ィ 02 A m a z o n S E S で の 各 種 設 定

Slide 14

Slide 14 text

メ ー ル セ キ ュ リ テ ィ S P F エンべローブFrom と Sender From が一致してるか D K I M D M A R C DNSに公開鍵 と Mail header from に秘密鍵 SPFとDKIMを合わせ て確認

Slide 15

Slide 15 text

S P F 02-a S e n d e r P o l i c y F r a m e w o r k

Slide 16

Slide 16 text

Envelop From Header From SPF Result amazonses.com amazonses.com pass S P F Amazon SES 一致してればオッケ

Slide 17

Slide 17 text

Envelop From Header From SPF Result amazonses.com hod.htb.co.jp fail S P F Amazon SES Amazon Route 53 hod.htb.co.jp 一致してないからダメ

Slide 18

Slide 18 text

S P F Amazon SES Amazon Route 53 hod.htb.co.jp email.hod.htb.co.jp TXTレコード & MXレコード をRoute 53に登録 Record Name Value TXT email.hod.htb.co.jp 10 feedback-smtp.ap-northeast-1.amazonses.com MX email.hod.htb.co.jp "v=spf1 include:amazonses.com ~all" コンソールからだと ボタン一発

Slide 19

Slide 19 text

D K I M 02-b D o m a i n K e y s I d e n t i f i e d M a i l

Slide 20

Slide 20 text

D K I M Easy DKIM ってやつを使うと簡単! いい感じにやってくれる DNSサーバーに公開鍵を置いて メールヘッダーなどにハッシュと署名とドメインを付ける

Slide 21

Slide 21 text

D M A R C 02-c D o m a i n - b a s e d M e s s a g e A u t h e n t i c a t i o n , R e p o r t i n g , a n d C o n f o r m a n c e

Slide 22

Slide 22 text

D M A R C Record Name Value TXT _dmarc.hod.htb.co.jp v=DMARC1; p=none; 厳しくなる方向になるので、 さすがに、ちゃんと調べましょう Amazon Route 53 今回のガイドラインに合わせるだけなら、 とっても簡単

Slide 23

Slide 23 text

D M A R C SPFとDKIMに乗っかった仕様DMARC そのままパスをすればいいってわけじゃない 認証だけじゃなく アライメント って概念が出てきます

Slide 24

Slide 24 text

D M A R C アライメントは2種類のモード Strict Relaxed

Slide 25

Slide 25 text

D M A R C アライメントは2種類のモード Strict Relaxed SPF アライメント SPF 認証の対象となるドメインと、ヘ ッダーの From: アドレスに含まれる ドメインが、完全に一致している必要 があります。 ヘッダーの From: アドレスに含まれる ドメインが、SPF 認証の対象となるド メインと一致しているか、そのサブド メインである必要があります。 DKIM アライメント 関連する DKIM ドメインと、ヘッダー の From: アドレスに含まれるドメイ ンが、完全に一致している必要があり ます。 ヘッダーの From: アドレスに含まれる ドメインが、DKIM 署名の d= タグで 指定されたドメインと一致している か、そのサブドメインである必要があ ります。

Slide 26

Slide 26 text

D M A R C SPF/DKIMの認証とアライメントの組み合わせで結果が決まる

Slide 27

Slide 27 text

可 視 化 か ら の 対 策 03 レ ポ ー ト を 可 視 化 し て み よ う

Slide 28

Slide 28 text

D M A R C DMARC が failした時のポリシー p= Strict none スルー 最初はここにしてレポート見る (※BIMIはnoneだと使えない) quarantine 迷惑メールに入る reject 拒否 バウンスメール飛ぶ 最後はこれにする

Slide 29

Slide 29 text

D M A R C レポート設定するとISPから届く

Slide 30

Slide 30 text

D M A R C 人間には やさしくな い、、

Slide 31

Slide 31 text

D M A R C 一旦ローカルでGrafanaで確認 感謝、、

Slide 32

Slide 32 text

S P F SESのコンソールでも教えてくれるように

Slide 33

Slide 33 text

S P F 時間あったらダッシュボード見てみる

Slide 34

Slide 34 text

メ ー ル セ キ ュ リ テ ィ 難 し い ちょっとずつ DMARC の Pass が増えてきた まだちゃんと仕組みを理解したわけじゃない レポートが1日1回しか来ないので、試行錯誤大変 レポートの可視化をクラウドで自動でやるようにしたい。 でも、金ない

Slide 35

Slide 35 text

宣 伝 extra せ ん で ん

Slide 36

Slide 36 text

カ ン フ ァ レ ン ス の 実 行 委 員 C f P 募 集 中 4 / 8 ( 月 ) 2 3 : 5 9 ま で

Slide 37

Slide 37 text

カ ン フ ァ レ ン ス の 実 行 委 員

Slide 38

Slide 38 text

S P F Envelop From Header From SPF Aliged SPF Result amazonses.com htbshop.htb.co.jp false pass amazonses.com amazonses.com htbshop.htb.co.jp false fail au.com amazonses.com hod.htb.co.jp false pass amazonses.com amazonses.com hod.htb.co.jp false fail au.com なんでfailかわからん

Slide 39

Slide 39 text

S P F Envelop From Header From SPF Aliged SPF Result gmail.com htbshop.htb.co.jp false pass google.com gmail.com hod.htb.co.jp false pass google.com jcom.zaq.ne.jp htbshop.htb.co.jp false pass zaq.ne.jp nayutanet.jp htb-videos.jp false pass google.com videomarket.co.jp htb-videos.jp false pass google.com なんで Envelop From に人のところが出てくるのかわからん

Slide 40

Slide 40 text

D K I M DKIM Domain Header From DKIM Aliged DKIM Result amazonses.com htb-videos.jp false fial outlook.com htb-videos.jp htb-videos.jp false fial outlook.com amazonses.com htb-videos.jp false fial outlook.com htb-videos.jp htb-videos.jp false fial outlook.com htb-videos.jp がなんかおかしい? outlookがおかしい?