Save 37% off PRO during our Black Friday Sale! »

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

D5744e72b6a5e6673f991cab987a31ab?s=47 Naoki Ikeguchi
December 19, 2020
Programming
1
210

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

D5744e72b6a5e6673f991cab987a31ab?s=128

Naoki Ikeguchi

December 19, 2020
Tweet

More Decks by Naoki Ikeguchi

See All by Naoki Ikeguchi
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
2
200
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
0
250
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
1
270
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
1
310
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
0
41
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
0
150
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
0
130
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
0
96
D5744e72b6a5e6673f991cab987a31ab?s=48 siketyan
2
430

Other Decks in Programming

See All in Programming
A180da03d518c141f2e03a6a32c40b11?s=48 ikustan
0
260
52711e2157a6fed933b0361cc06a6953?s=48 marcelgsantos
3
190
72a2082c6a4dd79ad68befb3db911616?s=48 mraible
PRO
1
120
8f4b861a5b83575337b98d144a4ef4ca?s=48 psadauskas
0
180
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
230
82d6167c4d14393c2e20b37a74b363c5?s=48 kasacchiful
0
120
A524e2bed737555446c8720e3960397e?s=48 izumii19
0
520
B5a4a30238bf354e57d4ddac24c2d438?s=48 onouyek
0
110
7437b838338581b08ca72340b05475b9?s=48 abt
0
130
58d2fa98345951d9a57fdd6cfd5d0f64?s=48 aszx87410
2
330
42a6a049ac8f5265f31858a9509217fb?s=48 uhooi
0
370
575ca492bac55e895d0e1c86f7d709fe?s=48 hschwentner
2
690

Featured

See All Featured
Aff5641764408271f7bc398f2097edd0?s=48 denniskardys
223
120k
5b9fe87ec1faa67a4599782930f45ec9?s=48 sstephenson
149
12k
32de0bd2ba869609d26fd052a4622778?s=48 cromwellryan
107
6.6k
168ccec72eee0530b818d44f3fedaacf?s=48 shlominoach
177
8.2k
C1daf20e5c49ff910745198ef9869ac2?s=48 hatefulcrawdad
256
17k
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
14
1.1k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
443
29k
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
396
61k
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
118
27k
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
191
14k
78b475797a14c84799063c7cd073962f?s=48 holman
451
140k
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
196
17k

Transcript

  1. SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール Naoki Ikeguchi @

    TwoGate Tech Meeting

  2. 自己紹介 • 豊田高専 3 年(中退予定) • PHP / TypeScript /

    C# / Rust • Symfony / Angular / ASP.NET • 三度の飯より JetBrains が好き • きのこの山 / Vim • Hire me! • https://github.com/siketyan • https://twitter.com/siketyan_dev

  3. E メール SMTP SMTP IMAP POP MTA MTA MDA MUA

    MUA

  4. E メールとドメイン名 • MTA は @ 以降のドメイン名の MX レコードから 送信先の

    MTA を特定する • twogate.com. IN MX 300 aspmx.l.google.com. 1 • 複数設定されている場合は Priority の高い順に使用される • SMTP には送信元の MTA を検証する機能がない • siketyan@twogate.com 名義でメールを送信することも可能 • 社員を騙ることができてしまう username@twogate.com

  5. SPF (Sender Policy Network) • 送信元としてあり得 るノードを指定する • include で指定し

    たドメイン名から再 帰的に取り込む • ~ は softfail • - は fail • これで十分? twogate.com 300 IN TXT " v=spf1 include:_spf.google.com include:amazonses.com include:sendgrid.net ~all "

  6. DKIM (Domain Keys Identified Mail) • 公開鍵を DNS で公開しておく •

    MTA はメールに秘密鍵で署名をつけて送る • 受信した MTA は DNS のレコードをもとに署名を検証 google._domainkey.twogate.com 300 IN TXT " v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A... "

  7. Q. SFP や DKIM の検証に失敗 したメールはどうなる?

  8. A. 場合による

  9. DMARC (Domain-based Message Authentication, Reporting & Conformance) • SPF や

    DKIM の検証に失敗時の動作を決める • 検証結果のレポートを送る twogate.com 300 IN TXT " v=DMARC1; p=quarantine; // none, reject pct=100; // ポリシーの適用割合 rua=mailto:postmaster@twogate.com "

  10. 疑問: DNS は信頼できるのか

  11. DNS を守る技術 • DNSSEC (Domain Name System Security Extensions) •

    ゾーンのレコードセット (RRset) を親ゾーンが署名する • 問い合わせした側は親ゾーンの DS RRset で検証する • DNS over TLS • DNS over HTTPS • キャッシュサーバとの DNS 通信を暗号化する • ドメイン名による検証は DNS の信頼のもとに存在する

  12. まとめ • E メールアドレスは容易に偽装できる • SPF で IP アドレスによる検証をしよう •

    DKIM で電子署名による検証をしよう • DMARC で検証失敗時の動作を指定しよう • DNS は絶対的に信頼できるものではない この資料は Speaker Deck で閲覧できます: https://speakerdeck.com/siketyan

  13. 参考文献 • SPF, DKIMの特徴と違い | SendGrid 公式ブログ https://sendgrid.kke.co.jp/blog/?p=10121 • インターネット

    10 分講座: DNSSEC – JPNIC https://www.nic.ad.jp/ja/newsletter/No43/0800.html • DNSに対する脅威とその分類~DNSセキュリティを考えるにあたって~ https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-morishita.pdf • 送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすまし メール対策への活用法を徹底解説 - エンタープライズIT [COLUMNS] https://ent.iij.ad.jp/articles/172/

  14. 参考文献 • Domain-based Message Authentication, Reporting, and Conformance (DMARC) https://tools.ietf.org/html/rfc7489

    • DNS security | Cloudflare UK https://www.cloudflare.com/en-gb/learning/dns/dns-security/ • Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 https://tools.ietf.org/html/rfc7208