Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

Naoki Ikeguchi
December 19, 2020
Programming
1
340

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

Naoki Ikeguchi

December 19, 2020
Tweet

More Decks by Naoki Ikeguchi

See All by Naoki Ikeguchi
リモートワークと健康 - ヤフー名古屋 Tech Meeting #2
siketyan
0
110
Actual of Japanese Internet
siketyan
3
3.6k
Rust でマイナンバーカードを操作するスマホアプリを作りたい話
siketyan
2
22k
文字ってなんだろう?身近だけど意外と知らない文字コードと絵文字の話 - 技育 CAMP 2021
siketyan
2
340
自作キーボードのすすめ / Recommendation of Original Keyboard
siketyan
0
390
人々はなぜ大文字・小文字を正しく使い分けないのか? / Why don't people use upper or lower case correctly?
siketyan
1
410
エディタ戦争? いいえ,エディタ vs IDE 戦争 / 学生LT in 名古屋
siketyan
1
510
さらば,APIコントローラ / OthloTech#45 年度末LTパーティー
siketyan
0
56
部活システム制作のすすめ / 高専カンファレンス × 学生LT in 名古屋
siketyan
0
290

Other Decks in Programming

See All in Programming
Cloudflare WorkersでGoを動かすライブラリを作っている話
syumai
1
280
TokyoR#103_DataProcessing
kilometer
0
350
【DevFest & ADS JP 22】チームで導入する[email protected]おいしい健康
kako351
0
210
Enumを自動で網羅的にテストしてみた
estie
0
1.2k
ポケモンで学ぶiOS 16弾丸ツアー 🚅
giginet
PRO
1
600
はてなリモートインターンシップ2022 フロントエンドブートキャンプ 講義資料
hatena
0
110
はてなリモートインターンシップ2022 インフラ 講義資料
hatena
4
2.1k
Rによる大規模データの処理
s_uryu
2
610
(新米)エンジニアリングマネージャーのしごと #RSGT2023
murabayashi
9
5.4k
Jetpack Compose 完全に理解した
mkeeda
1
420
なぜRubyコミュニティにコミットするのか?
luccafort
0
290
Prácticas de Seguridad en Kubernetes
pablokbs
0
100

Featured

See All Featured
The Brand Is Dead. Long Live the Brand.
mthomps
48
2.9k
Testing 201, or: Great Expectations
jmmastey
25
5.7k
How to Ace a Technical Interview
jacobian
270
21k
Why Our Code Smells
bkeepers
PRO
326
55k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Creatively Recalculating Your Daily Design Routine
revolveconf
207
11k
What's new in Ruby 2.0
geeforr
336
30k
Keith and Marios Guide to Fast Websites
keithpitt
407
21k
Rebuilding a faster, lazier Slack
samanthasiow
69
7.5k
GraphQLの誤解/rethinking-graphql
sonatard
39
7.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
32
6.7k
Faster Mobile Websites
deanohume
295
29k

Transcript

  1. SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール Naoki Ikeguchi @

    TwoGate Tech Meeting

  2. 自己紹介 • 豊田高専 3 年(中退予定) • PHP / TypeScript /

    C# / Rust • Symfony / Angular / ASP.NET • 三度の飯より JetBrains が好き • きのこの山 / Vim • Hire me! • https://github.com/siketyan • https://twitter.com/siketyan_dev

  3. E メール SMTP SMTP IMAP POP MTA MTA MDA MUA

    MUA

  4. E メールとドメイン名 • MTA は @ 以降のドメイン名の MX レコードから 送信先の

    MTA を特定する • twogate.com. IN MX 300 aspmx.l.google.com. 1 • 複数設定されている場合は Priority の高い順に使用される • SMTP には送信元の MTA を検証する機能がない • [email protected] 名義でメールを送信することも可能 • 社員を騙ることができてしまう [email protected]

  5. SPF (Sender Policy Network) • 送信元としてあり得 るノードを指定する • include で指定し

    たドメイン名から再 帰的に取り込む • ~ は softfail • - は fail • これで十分? twogate.com 300 IN TXT " v=spf1 include:_spf.google.com include:amazonses.com include:sendgrid.net ~all "

  6. DKIM (Domain Keys Identified Mail) • 公開鍵を DNS で公開しておく •

    MTA はメールに秘密鍵で署名をつけて送る • 受信した MTA は DNS のレコードをもとに署名を検証 google._domainkey.twogate.com 300 IN TXT " v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A... "

  7. Q. SFP や DKIM の検証に失敗 したメールはどうなる?

  8. A. 場合による

  9. DMARC (Domain-based Message Authentication, Reporting & Conformance) • SPF や

    DKIM の検証に失敗時の動作を決める • 検証結果のレポートを送る twogate.com 300 IN TXT " v=DMARC1; p=quarantine; // none, reject pct=100; // ポリシーの適用割合 rua=mailto:[email protected] "

  10. 疑問: DNS は信頼できるのか

  11. DNS を守る技術 • DNSSEC (Domain Name System Security Extensions) •

    ゾーンのレコードセット (RRset) を親ゾーンが署名する • 問い合わせした側は親ゾーンの DS RRset で検証する • DNS over TLS • DNS over HTTPS • キャッシュサーバとの DNS 通信を暗号化する • ドメイン名による検証は DNS の信頼のもとに存在する

  12. まとめ • E メールアドレスは容易に偽装できる • SPF で IP アドレスによる検証をしよう •

    DKIM で電子署名による検証をしよう • DMARC で検証失敗時の動作を指定しよう • DNS は絶対的に信頼できるものではない この資料は Speaker Deck で閲覧できます: https://speakerdeck.com/siketyan

  13. 参考文献 • SPF, DKIMの特徴と違い | SendGrid 公式ブログ https://sendgrid.kke.co.jp/blog/?p=10121 • インターネット

    10 分講座: DNSSEC – JPNIC https://www.nic.ad.jp/ja/newsletter/No43/0800.html • DNSに対する脅威とその分類~DNSセキュリティを考えるにあたって~ https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-morishita.pdf • 送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすまし メール対策への活用法を徹底解説 - エンタープライズIT [COLUMNS] https://ent.iij.ad.jp/articles/172/

  14. 参考文献 • Domain-based Message Authentication, Reporting, and Conformance (DMARC) https://tools.ietf.org/html/rfc7489

    • DNS security | Cloudflare UK https://www.cloudflare.com/en-gb/learning/dns/dns-security/ • Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 https://tools.ietf.org/html/rfc7208