Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

68608e82b7d11384fdd311873491b536?s=47 Naoki Ikeguchi
December 19, 2020
Programming
1
280

SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール @ TwoGate Tech Meeting

68608e82b7d11384fdd311873491b536?s=128

Naoki Ikeguchi

December 19, 2020
Tweet

More Decks by Naoki Ikeguchi

See All by Naoki Ikeguchi
Actual of Japanese Internet
68608e82b7d11384fdd311873491b536?s=48 siketyan
3
2.9k
Rust でマイナンバーカードを操作するスマホアプリを作りたい話
68608e82b7d11384fdd311873491b536?s=48 siketyan
2
20k
文字ってなんだろう?身近だけど意外と知らない文字コードと絵文字の話 - 技育 CAMP 2021
68608e82b7d11384fdd311873491b536?s=48 siketyan
2
280
自作キーボードのすすめ / Recommendation of Original Keyboard
68608e82b7d11384fdd311873491b536?s=48 siketyan
0
330
人々はなぜ大文字・小文字を正しく使い分けないのか? / Why don't people use upper or lower case correctly?
68608e82b7d11384fdd311873491b536?s=48 siketyan
1
340
エディタ戦争? いいえ,エディタ vs IDE 戦争 / 学生LT in 名古屋
68608e82b7d11384fdd311873491b536?s=48 siketyan
1
420
さらば,APIコントローラ / OthloTech#45 年度末LTパーティー
68608e82b7d11384fdd311873491b536?s=48 siketyan
0
50
部活システム制作のすすめ / 高専カンファレンス × 学生LT in 名古屋
68608e82b7d11384fdd311873491b536?s=48 siketyan
0
220
Pug + SCSS + webpackの静的サイト構築環境を考える / LTイベント@クックパッド OthloEvent#44
68608e82b7d11384fdd311873491b536?s=48 siketyan
0
190

Other Decks in Programming

See All in Programming
「混ぜるな危険」を推進する設計
8ec2b967e38f000eb63ae345cd7c58e6?s=48 minodriven
8
2.2k
Node-RED 3.0 新機能紹介
A56269ca269966f71293d08b32ad53b3?s=48 utaani
0
150
クックパッドマートの失敗したデータ設計 Before / After 大放出
0be62f7ac4cc32f37f02a98aaeb86f5f?s=48 mokuzon
0
180
開発速度を5倍早くするVSCodeの拡張機能を作った
D7da604883d0056673358ed111aa9ec3?s=48 purp1eeeee
2
170
即、New Relic / New Relic NOW!
271fad8d53cd1f12f2b4b6d38e3d7bd3?s=48 uzulla
0
340
NEWT.net: Frontend Technology Selection
A2040e0e2f7a6cabf81b54e4a401c0e8?s=48 xpromx
0
280
From Java through Scala to Clojure
6dd9394072d0d29aef3692f80298c36d?s=48 lagenorhynque
0
250
#JJUG_CCC 「サポート」は製品開発? - JDBCライブラリ屋さんが実践する攻めのテクニカルサポートとJavaエンジニアのキャリアについて -
244963b5eab1dd775692490daea81a7f?s=48 cdataj
0
430
Amazon ECSのネットワーク関連コストの話
D4d93646eedaaf5a9551cfc0ccd5b020?s=48 msato
0
670
Client-Side Field-Level Encryption for Apache Kafka Connect @ VoxxedDays Luxembourg 2022
744f1c2c6cbea2ff5104b0ac512936bd?s=48 hpgrahsl
0
120
CSE360 Tutorial 07
B546a9b97d993392e4b22b74b99b91fe?s=48 javiergs
PRO
0
110
設計ナイト2022 トランザクションスクリプト
6521324f6ab5266cdcde1dd05945a27b?s=48 shinpeim
11
2.1k

Featured

See All Featured
Three Pipe Problems
11c84dff30266b907714802088852677?s=48 jasonvnalue
89
8.7k
Streamline your AJAX requests with AmplifyJS and jQuery
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
127
8.5k
Six Lessons from altMBA
766b9746b59e6f09e280cd33cf4ed419?s=48 skipperchong
14
1.4k
Building Flexible Design Systems
91cefdf141106fa10674aae74ce05890?s=48 yeseniaperezcruz
310
34k
The Pragmatic Product Professional
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
19
3k
Design by the Numbers
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
271
17k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
39
13k
How To Stay Up To Date on Web Technology
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
780
250k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
3d4519fd34b76fb265fc0237f3792bd4?s=48 danielanewman
212
20k
Raft: Consensus for Rubyists
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
126
5.5k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
100
5.9k
The Language of Interfaces
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
20k

Transcript

  1. SPF と DKIM だけで大丈夫? 本当は怖いドメイン名と E メール Naoki Ikeguchi @

    TwoGate Tech Meeting

  2. 自己紹介 • 豊田高専 3 年(中退予定) • PHP / TypeScript /

    C# / Rust • Symfony / Angular / ASP.NET • 三度の飯より JetBrains が好き • きのこの山 / Vim • Hire me! • https://github.com/siketyan • https://twitter.com/siketyan_dev

  3. E メール SMTP SMTP IMAP POP MTA MTA MDA MUA

    MUA

  4. E メールとドメイン名 • MTA は @ 以降のドメイン名の MX レコードから 送信先の

    MTA を特定する • twogate.com. IN MX 300 aspmx.l.google.com. 1 • 複数設定されている場合は Priority の高い順に使用される • SMTP には送信元の MTA を検証する機能がない • siketyan@twogate.com 名義でメールを送信することも可能 • 社員を騙ることができてしまう username@twogate.com

  5. SPF (Sender Policy Network) • 送信元としてあり得 るノードを指定する • include で指定し

    たドメイン名から再 帰的に取り込む • ~ は softfail • - は fail • これで十分? twogate.com 300 IN TXT " v=spf1 include:_spf.google.com include:amazonses.com include:sendgrid.net ~all "

  6. DKIM (Domain Keys Identified Mail) • 公開鍵を DNS で公開しておく •

    MTA はメールに秘密鍵で署名をつけて送る • 受信した MTA は DNS のレコードをもとに署名を検証 google._domainkey.twogate.com 300 IN TXT " v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A... "

  7. Q. SFP や DKIM の検証に失敗 したメールはどうなる?

  8. A. 場合による

  9. DMARC (Domain-based Message Authentication, Reporting & Conformance) • SPF や

    DKIM の検証に失敗時の動作を決める • 検証結果のレポートを送る twogate.com 300 IN TXT " v=DMARC1; p=quarantine; // none, reject pct=100; // ポリシーの適用割合 rua=mailto:postmaster@twogate.com "

  10. 疑問: DNS は信頼できるのか

  11. DNS を守る技術 • DNSSEC (Domain Name System Security Extensions) •

    ゾーンのレコードセット (RRset) を親ゾーンが署名する • 問い合わせした側は親ゾーンの DS RRset で検証する • DNS over TLS • DNS over HTTPS • キャッシュサーバとの DNS 通信を暗号化する • ドメイン名による検証は DNS の信頼のもとに存在する

  12. まとめ • E メールアドレスは容易に偽装できる • SPF で IP アドレスによる検証をしよう •

    DKIM で電子署名による検証をしよう • DMARC で検証失敗時の動作を指定しよう • DNS は絶対的に信頼できるものではない この資料は Speaker Deck で閲覧できます: https://speakerdeck.com/siketyan

  13. 参考文献 • SPF, DKIMの特徴と違い | SendGrid 公式ブログ https://sendgrid.kke.co.jp/blog/?p=10121 • インターネット

    10 分講座: DNSSEC – JPNIC https://www.nic.ad.jp/ja/newsletter/No43/0800.html • DNSに対する脅威とその分類~DNSセキュリティを考えるにあたって~ https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-morishita.pdf • 送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすまし メール対策への活用法を徹底解説 - エンタープライズIT [COLUMNS] https://ent.iij.ad.jp/articles/172/

  14. 参考文献 • Domain-based Message Authentication, Reporting, and Conformance (DMARC) https://tools.ietf.org/html/rfc7489

    • DNS security | Cloudflare UK https://www.cloudflare.com/en-gb/learning/dns/dns-security/ • Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1 https://tools.ietf.org/html/rfc7208