DMARCレポートの可視化ツールの作成と運用した結果

Transcript

1. DMARCレポートの可視化ツールの作成と 運⽤した結果 2024.07.16 技術部インフラグループ 鈴⽊裕⼆ Copyright © Livesense Inc.

2. 0. 自己紹介 Yuji Suzuki(@yjszk666) Copyright © Livesense Inc. • 仕事：リブセンスでSRE的な仕事してる

   ◦ 兼務：ソリューション‧エンジニア採⽤広報 • 趣味：公営賭博、地⽅競⾺場は全部⾏った • 略歴 ◦ 無内定卒業→フリーター ▪ 占い師とか出版社で校正とか⾊々 ◦ 夜勤オペレータ ◦ SIer ◦ コンサル ◦ リブセンス • 写真は⼟佐清⽔の⾜摺岬

3. 1 2 3 4 DMARCについて DMARCレポート可視化ツールについて 運⽤した結果 運⽤の課題 Copyright ©

   Livesense Inc.

4. DMARCについて SECTION 1 Copyright © Livesense Inc.

5. 1. DMARCについて メールを1⽇5000通以上送る場合、以下を設定する必要があるとGoogleが発表した (https://support.google.com/a/answer/81126) • 信頼性の⾼いメールアドレスを使う ◦ SPF/DKIM/DMARCの設定が必須 • 送信元ドメインに対してPTRを設定

   • 登録解除オプションの追加 など なぜDMARCが必要なのか Copyright © Livesense Inc. DMARCについて話したいので この辺りは割愛します

6. 1. DMARCについて • 認証に合格しなかった場合のメールの処理⽅法を指定できる ◦ none(何もしない) / quarantine(迷惑メール送り) / reject(受け取らない)の3つのポリ

   シーがある ◦ その他細かいオプションがある ▪ pct(適⽤割合) / adkim(DKIMアライメントの厳密さ) / aspf(SPFアライメントの 厳密さ) など • 指定したアドレスにDMARCレポートが届くようになる ◦ 数百万⾏あるXMLが毎⽇何⼗、何百通も届くようになるので、可視化が必要 DMARCを設定するとどうなるか Copyright © Livesense Inc.

7. 1. DMARCについて DMARCを設定するとどうなるか Copyright © Livesense Inc. こんなレポートが届きます 長いもので5百万行くらいあるものも https://github.com/domainaware/parsedmarc/blob/maste

   r/samples/aggregate/invalid_xml.xml より そのままでは読むのが辛いのでparsedmarc というOSSの解析・可視化ツールを使用します

8. DMARCレポート可視化ツールについて SECTION 2 Copyright © Livesense Inc.

9. 2. DMARCレポート可視化ツールについて Copyright © Livesense Inc. 受信したメールをparsedmarcを 使ってOpenSearchに格納 OpenSearchのデータをECSで ホストしたGrafanaにて可視化

   複数事業部のデータを一元管理 し、Grafanaダッシュボードの URLをフィルタして事業部に展開 詳細は →https://made.livesense.co.jp/entry/2024/04 /02/080000

10. 2. DMARCレポート可視化ツールについて • 事業部ごとのDMARCのパス率のダッシュボードを作り、定期的に監視 • おかしい値が⾒つかったらドリルダウンする ◦ DMARCのパス率の確認 ◦ SPF

    / DKIMアライメントのパス率の確認 ◦ SPFアライメント / DKIMアライメントの詳細 ▪ アライメントがfailしている場合ヘッダーFROM / エンベロープFROMを確認 運⽤⽅法 Copyright © Livesense Inc.

11. 2. DMARCレポート可視化ツールについて 実際使ってるもの Copyright © Livesense Inc.

12. 活⽤できた事例 SECTION 3 Copyright © Livesense Inc.

13. 3. 活用できた事例 普段DMARCのパス率は99%以上なのに特定の⽇付だけ認証の失敗率が増加していた 事例1 : 急にDMARCの不合格率が増加 Copyright © Livesense Inc.

14. 3. 活用できた事例 詳しくみるとDKIMもfailになっていた。 このシステムはSendGridを使っているのでヘッダーとエンベロープは⼀致せず、SPFアライメ ントは不合格がデフォルト。 つまりSPFとDKIMのアライメント両⽅がfailとなり、DMARCもfailになったと思われる。 事例1 : 急にDMARCの不合格率が増加 Copyright

    © Livesense Inc.

15. 3. 活用できた事例 Copyright © Livesense Inc. 事例1 : 急にDKIMアライメントの不合格率が増加 •

    調査 ◦ 該当のメールは迷惑メールに⼊っていた ◦ Gmailのクライアントで⾒ると、DKIMが不合格となっていた • 原因 ◦ メルマガ配信システムで独⾃にDKIMを設定していたが、メルマガ配信システムのデ フォルトのDKIMを誤って選択しており、鍵が⼀致せずfailした

16. オペレーションの誤りについて 気がつくことができました Copyright © Livesense Inc.

17. 3. 活用できた事例 SPFとDKIMの設定は正しいことを何回も確認したが、ずっとfailのまま 事例2 : ずっとDMARCがパスしない Copyright © Livesense Inc.

18. 3. 活用できた事例 Copyright © Livesense Inc. 事例2 : ずっとDMARCがパスしない •

    調査 ◦ 設定は正しかった…が • 原因 ◦ メーリングリストによって転送されていた ▪ メーリングリストは受信したメールを参加者へ送信するため、ヘッダFromは そのままでエンベロープFromがメーリングリストになり、⼀致しなくなる ◦ ARCのpass率を調べたところ無事に送信されていることがわかった ▪ 今後のためにARC⽤のダッシュボードを作成した ARCとは DMARC 認証結 果を上書きして 転送する技術

19. ちゃんとメールは送れていました よかった… Copyright © Livesense Inc.

20. 運⽤の課題 SECTION 4 Copyright © Livesense Inc.

21. 4. 運用の課題 Copyright © Livesense Inc. DMARC Conference 2024のレポートにある⽂章が印象的だったので引⽤します。 >>DMARC

    も過去の技術がバベルの塔のように積み上がったメールセキュリティというひとき わ難易度の⾼い領域(https://scan.netsecurity.ne.jp/article/2024/07/01/51219.html) DMARCのパス率を監視しても… • レポートは1⽇1回なので後⼿の対応になってしまう • スパマーに対しては別途バウンスメールの監視とスパムメールのブロックが必要 ◦ リブセンスではこれをやっています というつらみがあります メール、⾟い

22. 4. 運用の課題 メールそのものはビジネスの根幹 しかし技術は古いものの積み重ね そのギャップがメールの技術にある気がします Copyright © Livesense Inc.

23. 4. 運用の課題 どんなにギャップがあっても まだまだ世の中ではスタンダード メール技術の重要性を再確認しました 課題を乗り越え続けたい🫠 Copyright © Livesense Inc.

24. None

25. 4. 運用の課題 メールにかわるあたりまえの連絡⼿段が欲しい 俺たちで…つ…作るか？ Copyright © Livesense Inc.

26. None