Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

Naoki Ikeguchi
December 19, 2020
Programming
1
380

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

Naoki Ikeguchi

December 19, 2020
Tweet

More Decks by Naoki Ikeguchi

See All by Naoki Ikeguchi
防衛的 PHP: 多様性を生き抜くための PHP 入門 / Defensive PHP
siketyan
2
570
リモートワークと健康 - ヤフー名古屋 Tech Meeting #2
siketyan
0
180
Actual of Japanese Internet
siketyan
3
4.2k
Rust でマイナンバーカードを操作するスマホアプリを作りたい話
siketyan
2
23k
文字ってなんだろう?身近だけど意外と知らない文字コードと絵文字の話 - 技育 CAMP 2021
siketyan
2
430
自作キーボードのすすめ / Recommendation of Original Keyboard
siketyan
0
440
人々はなぜ大文字・小文字を正しく使い分けないのか? / Why don't people use upper or lower case correctly?
siketyan
1
460
エディタ戦争? いいえ,エディタ vs IDE 戦争 / 学生LT in 名古屋
siketyan
1
600
さらば,APIコントローラ / OthloTech#45 年度末LTパーティー
siketyan
0
65

Other Decks in Programming

See All in Programming
Rcloneを使った定期的なストレージ同期
yuhta28
0
150
Unit of Workパターンで永続化とトランザクションを制御する
shimabox
8
1.6k
Flutter CustomPaint @Flutter MeetUp(In Songdo) - 박제창
itsmedreamwalker
0
190
Build Backwards-Compatible REST APIs with Rolling Versions
subomi
0
140
Migrating From Spring Boot 2 To Spring Boot 3 - What's Jakarta EE Got To Do with It?
ivargrimstad
0
760
Unveiling Nano Stores
ninoid
0
130
WebViewと向き合う
mkeeda
1
170
CircleCIでChatGPTにエラーの解説を頼んでみた
mfunaki
PRO
0
200
CyberAgent Developer Conference(CADC) 2023 LP開発の舞台裏
lanberb
1
130
祝 Ver.3リリース Fluent UI Blazorのすすめ
tomokusaba
0
130
Kotlinハイパフォーマンスプログラミング
ohmae
5
3.6k
社内AI勉強会 ChatGPT入門 ~生成AIの基本とその活用法~
beenos
0
330

Featured

See All Featured
Dealing with People You Can't Stand - Big Design 2015
cassininazir
352
21k
No one is an island. Learnings from fostering a developers community.
thoeni
14
1.8k
StorybookのUI Testing Handbookを読んだ
zakiyama
9
3.9k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.8k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
3.9k
Making Projects Easy
brettharned
104
5.1k
Fireside Chat
paigeccino
18
2.2k
How GitHub (no longer) Works
holman
300
140k
YesSQL, Process and Tooling at Scale
rocio
159
13k
The Invisible Customer
myddelton
113
12k
Building a Scalable Design System with Sketch
lauravandoore
453
31k
Unsuck your backbone
ammeep
660
56k

Transcript

  1. SPF と DKIM だけで大丈夫?
    本当は怖いドメイン名と E メール
    Naoki Ikeguchi
    @ TwoGate Tech Meeting

    View Slide

  2. 自己紹介
    • 豊田高専 3 年(中退予定)
    • PHP / TypeScript / C# / Rust
    • Symfony / Angular / ASP.NET
    • 三度の飯より JetBrains が好き
    • きのこの山 / Vim
    • Hire me!
    • https://github.com/siketyan
    • https://twitter.com/siketyan_dev

    View Slide

  3. E メール
    SMTP
    SMTP
    IMAP
    POP
    MTA MTA
    MDA
    MUA MUA

    View Slide

  4. E メールとドメイン名
    • MTA は @ 以降のドメイン名の MX レコードから
    送信先の MTA を特定する
    • twogate.com. IN MX 300 aspmx.l.google.com. 1
    • 複数設定されている場合は Priority の高い順に使用される
    • SMTP には送信元の MTA を検証する機能がない
    [email protected] 名義でメールを送信することも可能
    • 社員を騙ることができてしまう
    [email protected]

    View Slide

  5. SPF (Sender Policy Network)
    • 送信元としてあり得
    るノードを指定する
    • include で指定し
    たドメイン名から再
    帰的に取り込む
    • ~ は softfail
    • - は fail
    • これで十分?
    twogate.com 300 IN TXT "
    v=spf1
    include:_spf.google.com
    include:amazonses.com
    include:sendgrid.net
    ~all
    "

    View Slide

  6. DKIM (Domain Keys Identified Mail)
    • 公開鍵を DNS で公開しておく
    • MTA はメールに秘密鍵で署名をつけて送る
    • 受信した MTA は DNS のレコードをもとに署名を検証
    google._domainkey.twogate.com 300 IN TXT "
    v=DKIM1;
    k=rsa;
    p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A...
    "

    View Slide

  7. Q. SFP や DKIM の検証に失敗
    したメールはどうなる?

    View Slide

  8. A. 場合による

    View Slide

  9. DMARC
    (Domain-based Message Authentication, Reporting & Conformance)
    • SPF や DKIM の検証に失敗時の動作を決める
    • 検証結果のレポートを送る
    twogate.com 300 IN TXT "
    v=DMARC1;
    p=quarantine; // none, reject
    pct=100; // ポリシーの適用割合
    rua=mailto:[email protected]
    "

    View Slide

  10. 疑問: DNS は信頼できるのか

    View Slide

  11. DNS を守る技術
    • DNSSEC (Domain Name System Security Extensions)
    • ゾーンのレコードセット (RRset) を親ゾーンが署名する
    • 問い合わせした側は親ゾーンの DS RRset で検証する
    • DNS over TLS
    • DNS over HTTPS
    • キャッシュサーバとの DNS 通信を暗号化する
    • ドメイン名による検証は DNS の信頼のもとに存在する

    View Slide

  12. まとめ
    • E メールアドレスは容易に偽装できる
    • SPF で IP アドレスによる検証をしよう
    • DKIM で電子署名による検証をしよう
    • DMARC で検証失敗時の動作を指定しよう
    • DNS は絶対的に信頼できるものではない
    この資料は Speaker Deck で閲覧できます:
    https://speakerdeck.com/siketyan

    View Slide

  13. 参考文献
    • SPF, DKIMの特徴と違い | SendGrid 公式ブログ
    https://sendgrid.kke.co.jp/blog/?p=10121
    • インターネット 10 分講座: DNSSEC – JPNIC
    https://www.nic.ad.jp/ja/newsletter/No43/0800.html
    • DNSに対する脅威とその分類~DNSセキュリティを考えるにあたって~
    https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-morishita.pdf
    • 送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすまし
    メール対策への活用法を徹底解説 - エンタープライズIT [COLUMNS]
    https://ent.iij.ad.jp/articles/172/

    View Slide

  14. 参考文献
    • Domain-based Message Authentication, Reporting, and
    Conformance (DMARC)
    https://tools.ietf.org/html/rfc7489
    • DNS security | Cloudflare UK
    https://www.cloudflare.com/en-gb/learning/dns/dns-security/
    • Sender Policy Framework (SPF) for Authorizing Use of
    Domains in Email, Version 1
    https://tools.ietf.org/html/rfc7208

    View Slide