Upgrade to Pro — share decks privately, control downloads, hide ads and more …

非エンジニアにも伝えるメールセキュリティ / Email security for non-e...

Y-KANOH
March 22, 2025
Technology
12
3.1k

非エンジニアにも伝えるメールセキュリティ / Email security for non-engineers

* 発表詳細:https://fortee.jp/phperkaigi-2025/proposal/dcdeaadb-5731-49c9-b9f0-a2bd7fc96cf9
* この時間帯のツイート

PHPerKaigi 2025
2025/03/22 17:10〜
Track C
レギュラートーク(20分)

登壇者
加納悠史(@YKanoh65

#phperkaigi
---------------------------

DKIM、DMARC、SPF
これらを説明できるでしょうか?

これらの技術はメール認証技術であり、フィッシングやスパムから守るために重要な役割を果たします。
2024年4月から本格的に始まったGmailのガイドラインに基づくメールの受信拒否設定によって、メールセキュリティの考慮は他人事ではなくなりました。
これは、非エンジニアにとっても同じです。
場合によっては、サービスの利用者にGmailガイドラインに対応するよう依頼する必要があるからです。

しかしながら、これらの知識はどうしても専門的な技術知識なしでは説明しづらく、非エンジニアにとってはなおさら理解しづらい分野です。
難しい専門用語を使わないよう注意しながら、非エンジニアの方に理解してもらおうと頑張って資料を用意して説明した方も多いのではと思います。

この発表では、非エンジニアの人にも伝わるよう、今押さえておくべきメールセキュリティについて解説します。

Y-KANOH

March 22, 2025
Tweet

More Decks by Y-KANOH

See All by Y-KANOH
エンジニアは伝え方が9割/90% of what engineers need is communication skills
ykanoh
4
720
PHPカンファレンス関西2024 クロージング/php kansai 2024 closing
ykanoh
0
50
PHPカンファレンス関西2024 オープニング/php kansai 2024 opening
ykanoh
2
230
PHP略語クイズ/PHP Abbreviation Quiz
ykanoh
1
2.5k
PHPカンファレンス関西2024スタッフ希望者向け説明会
ykanoh
0
330
PHPマジックメソッドクイズ!/PHP Magic Method Quiz
ykanoh
0
1.3k
PHPerが再利用可能な情報提供でオフショア先とコード品質向上に取り組む / PHPer try improve the code quality
ykanoh
1
1.1k
どんとこい、PhpStorm 〜Why don't you do IDE's best!〜 / Don't KOI PhpStorm!! Why don't you do IDE's best!!
ykanoh
0
7.2k
PHPでのリーダブルコード/Readable code in PHP
ykanoh
2
260

Other Decks in Technology

See All in Technology
LINE API Deep Dive Q1 2025: Unlocking New Possibilities
linedevth
1
130
OCI Oracle Database Services新機能アップデート(2024/12-2025/02)
oracle4engineer
PRO
2
170
Microsoft_20250311_第2回AI_IoT共創ラボ.pdf
iotcomjpadmin
0
460
【Oracle Cloud ウェビナー】VMware環境を短期間でクラウド化!ベネッセ様事例に学ぶ仮想環境クラウド移行のリアル
oracle4engineer
PRO
2
110
グループポリシー再確認
murachiakira
0
110
クラウド脆弱性の傾向とShisho Cloudの活用
rvirus0817
0
120
Oracle Cloud Infrastructure:2025年3月度サービス・アップデート
oracle4engineer
PRO
0
210
移行できそうでやりきれなかった 10年超えのシステムを葬るための戦略
ryu955
1
120
単一の深層学習モデルによる不確実性の定量化の紹介 ~その予測結果正しいですか?~
ftakahashi
PRO
3
460
入社半年で PTE に! 元海外在住者が語る Google Cloud × G-genで 成長する秘訣
risatube
PRO
0
140
空が堕ち、大地が割れ、海が涸れた日~もしも愛用しているフレームワークが開発停止したら?~ #phperkaigi 2025
77web
2
880
Amazon Bedrock GenUハンズオン座学資料 #1 GenU環境で生成AIを体験してみよう
tsukuboshi
0
240

Featured

See All Featured
Done Done
chrislema
182
16k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Large-scale JavaScript Application Architecture
addyosmani
511
110k
Git: the NoSQL Database
bkeepers
PRO
429
65k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
14
1.1k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
116
51k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
A better future with KSS
kneath
238
17k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
YesSQL, Process and Tooling at Scale
rocio
172
14k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k

Transcript

  1. BABY JOB株式会社 加納悠史

  2. SPF 2

  3. DKIM 3

  4. DMARC 4

  5. 説明できますか?

  6. メールのセキュリティは ややこしい ▰ 元は単純仕様 ▰ “後付け”でルールが増えていく ▰ 基本紳士協定(RFC) 6

  7. メールセキュリティと Gmail ▰ Gmailが対応を強制 ▰ 2024年以降は対応必須 ▰ 事実上の “絶対命令” 参考:メール送信者のガイドライン

    7

  8. でも、 メールって意識しないよね ▰ アプリ開発者はとくに ▰ 最初に構築したら終わり 8

  9. よくある アプリでのメール利用 9 ユーザA アプリ ユーザ登録 完了メール ユーザ登録

  10. 稀によくある アプリでのメール利用 10 ユーザA アプリ 操作 "ユーザA"として メールを配信

  11. よくある アプリでのメール利用 エンジニアだけの努力では解決できない ▰ ユーザに設定してもらう項目がある ▰ CSからユーザに伝えてもらわないといけない 11

  12. 2024年以降 アプリ開発では メールセキュリティの知識が必須 しかも非エンジニアにもわかってもらう必要が   なのに非エンジニア向けの資料が少ない!! 12 Gmailの おかげで

  13. この発表の目的 メールセキュリティの基礎を できるだけわかりやすく解説 エンジニアじゃない人へ 説明する時の材料にしてもらう

  14. この発表で触れること • SPFのしくみ • DKIMのしくみ • DMARCのしくみ ※ その他のセキュリティ、Gmailガイドラインの中身には触れません 14

  15. おことわり 非エンジニア向け資料を目指しましたが、以下の用語は事前に調べておいてください。 • IPアドレス: ◦ サーバなどに割り振られている識別子 ◦ 192.168.99.100 のように数字で表される •

    ドメイン: ◦ IPアドレスに紐づけられている別名です ◦ (語弊はありますが)「メールアドレスの@以下の部分など」です 15

  16. 加納 悠史 PHPでの開発 / 設計 / その他色々 @YKanoh65 BABY JOB株式会社

    所 属 お仕事 その他   Twitter PHPer ダイビング 観葉植物 カノウユウジ

  17. メールのセキュリティ SPF / DKIM / DMARC

  18. それ れの関係性 18 SPF DKIM DMARC SPFとDKIMをベースにした 送信元検証 と 結果の報告を

    行うしくみ なりすましを防ぐしくみ メール内容の改ざんを防ぐしくみ

  19. それ れの関係性 19 SPF DKIM DMARC SPF と DKIM は

    単体でも利用できる なりすましを防ぐしくみ メール内容の改ざんを防ぐしくみ

  20. それ れの関係性 20 SPF DKIM DMARC ただし 両方とも弱点がある なりすましを防ぐしくみ メール内容の改ざんを防ぐしくみ

    弱点あり 弱点あり

  21. それ れの関係性 21 SPF DKIM DMARC 両方の弱点を 補う技術がDMARC それぞれの"拡張"みたいなこともやっている なりすましを防ぐしくみ

    メール内容の改ざんを防ぐしくみ 弱点あり 弱点あり SPFとDKIMをベースにした 送信元検証 と 結果の報告を 行うしくみ 死角なし 諸説あり

  22. SPF Sender Policy Framework SPF DKIM DMARC

  23. SPF Sender Policy Framework できること • エンベロープFrom のなりすまし防止 弱 点

    • ヘッダFrom のなりすましには無力 • 必須ではない 23

  24. SPF Sender Policy Framework できること • エンベロープFrom のなりすまし防止 弱 点

    • ヘッダFrom のなりすましには無力 • 必須ではない 24 ちょっと 待て!!

  25. SPF Sender Policy Framework できること • エンベロープFrom のなりすまし防止 弱 点

    • ヘッダFrom のなりすましには無力 • 必須ではない 25 なんやこれ?

  26. 26 非エンジニア向けって 言うたやん 数分前のスライド

  27. SPF Sender Policy Framework できること • エンベロープFrom のなりすまし防止 弱 点

    • ヘッダFrom のなりすましには無力 • 必須ではない 27 急にカタカナ 使われても 困る

  28. ごめんなさい。解説します... 28

  29. メールのFromアドレスは 2つある From: user@exam… From: user@exa… 封筒に書いてあるアドレス 本文に書いてあるアドレス

  30. エンベロープ From • 配信時に使われるFromアドレス From: user1@example.com 封筒に書いてあるイメージ。 メールの配信は封筒を見て行われる。 エンベロープ

  31. エンベロープ From From: user1@example.com 封筒に書いてあるイメージ。 メールの配信は封筒を見て行われる。 エンベロープ 以降、 「封筒From」 と呼びます

    • 配信時に使われるFromアドレス

  32. ヘッ From • 本文に書いてある情報 • 普段見るのはこっち 本文の先頭部分に書いてある。 From: user1@example.com ヘッダ

  33. • 本文に書いてある情報 • 普段見るのはこっち ヘッ From 本文の先頭部分に書いてある。 From: user1@example.com ヘッダ

    普段見ているのは ヘッダFrom

  34. • 本文に書いてある情報 • 普段見るのはこっち ヘッ From 本文の先頭部分に書いてある。 From: user1@example.com ヘッダ

    普段見ているのは ヘッダFrom 以降、 「本文From」 と呼びます

  35. SPF Sender Policy Framework できること • エンベロープFrom のなりすまし防止 弱 点

    • ヘッダFrom のなりすましには無力 • 必須ではない 35

  36. SPF Sender Policy Framework できること • 封筒From のなりすまし防止 弱 点

    • 本文From のなりすましには無力 • 必須ではない 36

  37. SPF Sender Policy Framework できること • 封筒From のなりすまし防止 弱 点

    • 本文From のなりすましには無力 • 必須ではない 37

  38. SPFのしくみ 利用する情報 • メール送信サーバのIPアドレス • 台帳管理サーバ(DNSサーバ) 38

  39. 39 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

  40. 40 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    🤝サーバ aa.aa.aa.aa です。 メールをお届けします! 封筒From:  user@example.com

  41. 41 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    ありがとうございます。 お受けします。 封筒From:  user@example.com

  42. 42 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    メモメモ... example.com さん っと …。 封筒From:  user@example.com

  43. 43 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    これは本当に example.com からの メールだろうか? 封筒From:  user@example.com

  44. この時点でわかる 送信サーバからの情報 • サーバのIPアドレス ◦ 偽装はできない ▪ HELOなどのコマンド送信時に確認される 44 •

    封筒From ◦ 偽装可能 ドーモ、 サーバ aa.aa.aa.aa です 封筒From:  user@example.com

  45. この時点でわかる 送信サーバからの情報 • サーバのIPアドレス ◦ 偽装はできない ▪ HELOなどのコマンド送信時に確認される 45 •

    封筒From ◦ 偽装可能 ドーモ、 サーバ aa.aa.aa.aa です 封筒From:  user@example.com 検証に使う

  46. 46 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    example.com の 台帳管理サーバに 聞いてみよう!! 封筒From:  user@example.com

  47. 47 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    example.com の 台帳管理サーバさん!! 封筒From:  user@example.com

  48. 48 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    aa.aa.aa.aa サーバは、 お宅の知り合いの サーバですか?? 封筒From:  user@example.com

  49. 49 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    封筒From:  user@example.com ちょっと待って “台帳”確認する...

  50. 台帳管理サーバが持っている"台帳" SPFレコード • SPFを認証するIPのリスト • リストに載っているIPなら本物とする 50

  51. 51 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    封筒From:  user@example.com …。 (台帳確認中...)

  52. 52 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    封筒From:  user@example.com あった あった!! aa.aa.aa.aa は ウチのサーバです!

  53. 53 封筒Fromの確認方法 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    封筒From:  user@example.com よかった。 封筒Fromは 本物ですね!

  54. SPFとは 封筒From の 台帳管理サーバ に メールを送ったサーバのIP が登録されているかを確認する 54 example.com の

    台帳管理サーバ DNSサーバ 封筒From:  user@example.com IP aa.aa.aa.aa って 信用できるサーバですか?

  55. 55 💀なりすましの場合 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    悪意ある人サイド evil-man.test メール送信サーバ IP:xx.xx.xx.xx そんなIP知らない! 台帳に載ってない! ニセモノだ!! 🤝サーバ xx.xx.xx.xx です。 メールをお届けします! 偽装封筒From:  user@example.com xx.xx.xx.xx サーバは、 お宅が承認した サーバですか?? 1 2 3

  56. SPF Sender Policy Framework できること • 封筒From のなりすまし防止 弱 点

    • 本文From のなりすましには無力 • 必須ではない 56

  57. 57 ❌本文Fromの偽装 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    悪意ある人サイド evil-man.test メール送信サーバ IP:xx.xx.xx.xx 🤝サーバ xx.xx.xx.xx です。 メールをお届けします! 封筒From:  user@evil-man.test 偽装本文From:  user@example.com 台帳管理サーバ DNSサーバ

  58. 58 ❌本文Fromの偽装 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    悪意ある人サイド evil-man.test メール送信サーバ IP:xx.xx.xx.xx 封筒From:  user@evil-man.test 偽装本文From:  user@example.com 台帳管理サーバ DNSサーバ xx.xx.xx.xx サーバは、 お宅が承認した サーバですか?? せやで!!

  59. 59 ❌本文Fromの偽装 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    悪意ある人サイド evil-man.test メール送信サーバ IP:xx.xx.xx.xx 封筒From:  user@evil-man.test 偽装本文From:  user@example.com 台帳管理サーバ DNSサーバ なら信頼できるメールだな 本文Fromは偽装されたまま!

  60. 60 SPFは必須ではない メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド

    🤝サーバ aa.aa.aa.aa です。 メールをお届けします! 封筒From:  user@example.com xx.xx.xx.xx サーバは、 お宅が承認した サーバですか?? …。 (返事がない。) 返事がないなら 正しいメールとして 扱うか... 1 2 3 4

  61. 61 SPFを設定しないと... 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド xx.xx.xx.xx サーバは、

    お宅が承認した サーバですか?? …。 (返事がない。) 返事がないなら 正しいメールとして 扱うか... 2 3 4 悪意ある人サイド evil-man.test メール送信サーバ IP:xx.xx.xx.xx 🤝サーバ xx.xx.xx.xx です。 メールをお届けします! 1 偽装封筒From:  user@example.com アウト

  62. SPF Sender Policy Framework できること • 封筒From のなりすまし防止 弱 点

    • 本文From のなりすましには無力 • 必須ではない 62 DMARCで対応

  63. DKIM DomainKeys Identified Mail SPF DKIM DMARC

  64. DKIM DomainKeys Identified Mail できること • 内容の改ざん防止 弱 点 •

    本文From のなりすましには無力 • 封筒From のなりすましにも無力 • 必須ではない 64

  65. DKIM DomainKeys Identified Mail できること • 内容の改ざん防止 弱 点 •

    本文From のなりすましには無力 • 封筒From のなりすましにも無力 • 必須ではない 65

  66. DKIMのしくみ 利用する情報 • 公開鍵暗号 • 台帳管理サーバ(DNSサーバ) 66

  67. DKIMメールの事前準備 • 公開鍵 と 秘密鍵 を用意 • 公開鍵 を 台帳管理サーバ

    に配置 • 秘密鍵 は メール配信サーバ に配置 67 D N S サ ー バ ※公開鍵/秘密鍵 ってなに? 暗号化とその解読を行える鍵のペアのこと。 秘密鍵で暗号化したデータは、対応する公開鍵でしか解読できなくなる。 わかりにくければ、 「施錠専用の鍵(暗号化専用の鍵)」と「開錠専用の鍵(解読専用の鍵)」と考えてください。 秘 公 公開鍵 持っといてー メール配信サーバ DNSサーバ ちょっと 待て!!

  68. 68 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド DKIM付きのメールを

    送ろう!

  69. DKIMメールの作り方 1. 秘密鍵 で暗号化したメール内容を用意 2. 公開鍵を持つ台帳管理サーバ名を用意 3. 暗号化データ と 台帳管理サーバ名を

    メールに載せる 69 メール配信サーバでの処理 メール内容 hogeさんへ 件名:title 本文: 力こそパワー 暗号済データ krMpuE0t4vNMH Bp29nLzcbPe/W 2xr1YrXxXkrMpu E0t4vNMHBp29 暗号化 台帳管理サーバ名 example.com 秘 DKIMデータ ※1 より正確には、「メール内容をハッシュ化した文字列」を秘密鍵で暗号化している。 ※2 メール自体を暗号化して読めなくしているわけではない。あくまで、暗号化したデータもメールに追加しているだけ。 ※1 ※2

  70. 70 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド メールです!!

    DKIM 付いてます!!

  71. 71 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド DKIM付きか

    どれどれ... DKIM情報 • 暗号データ MYPteMoXWABcBur6owAc1vKXV… • 暗号解読の”鍵”を持ったサーバ example.com メール内容 hogeさんへ 件名:title 本文: 力こそパワー

  72. 72 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド example.com

    の 台帳管理サーバさん!!

  73. 73 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド 暗号解読の鍵ください!

  74. 74 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド OK!

    この鍵使いな!!

  75. 75 本文の偽装防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド もらった鍵で

    解読できた!

  76. DKIMでの改 ん確認方法 1. 公開鍵で暗号データを解読 2. 解読データとメール内容を比較 → 同一であれば改ざんなし!! 76 メール受信サーバでの処理

    メール内容 hogeさんへ 件名:title 本文: 力こそパワー 暗号データ krMpuE0t4vNMH Bp29nLzcbPe/W 2xr1YrXxXkrMpu E0t4vNMHBp29 公 解読データ hogeさんへ 件名:title 本文: 力こそパワー 公開鍵で 解読 ※ 比較 ※より正確には、「解読データ」と「メール内容のハッシュ値」を比較している。  暗号データを解読して取得できるデータは、メール内容をハッシュ化したものである。

  77. メール配信経路で 改 んされていた場合 1. 公開鍵で暗号データを解読 2. 解読データとメール内容を比較 → 同一でない!  

    改ざんされていると判断!! 77 メール受信サーバでの処理 メール内容 hogeさんへ 件名:title 本文: フォースこそ力 暗号データ krMpuE0t4vNMH Bp29nLzcbPe/W 2xr1YrXxXkrMpu E0t4vNMHBp29 公 解読データ hogeさんへ 件名:title 本文: 力こそパワー 公開鍵で 解読 ※より正確には、「解読データ」と「メール内容のハッシュ値」を比較している。  暗号データを解読して取得できるデータは、メール内容をハッシュ化したものである。 ※ 比較 差がある!!

  78. DKIM DomainKeys Identified Mail できること • 内容の改ざん防止 弱 点 •

    本文From のなりすましには無力 • 封筒From のなりすましにも無力 • 必須ではない 78 DMARCで対応

  79. DMARC Domain-based Message Authentication, Reporting, and Conformance SPF DKIM DMARC

  80. SPF と DKIM を 組み合わせて使う できること • 封筒Fromのなりすまし防止 弱 点

    • 本文Fromなりすましに無力 • 必須ではない できること • 内容の改ざんの防止 弱 点 • 本文Fromのなりすましに無力 • 封筒Fromのなりすましに無力 • 必須ではない 80 SPF DKIM SPFで 担保可能

  81. DMARC で実現できること SPF/DKIM の 拡張 NGメールの 処遇指定 なりすまし被害者への 通報 81

  82. DMARC で実現できること SPF/DKIM の 拡張 NGメールの 処遇指定 なりすまし被害者への 通報 82

  83. SPF と DKIM できること • 封筒Fromのなりすまし防止 弱 点 • 本文Fromなりすましに無力

    • 必須ではない できること • 内容の改ざんの防止 弱 点 • 本文Fromのなりすましに無力 • 封筒Fromのなりすましに無力 • 必須ではない 83 SPF DKIM これらの対策

  84. SPF/DKIM の拡張 84 本文Fromの検証 を追加 • SPFの場合 → 封筒Fromと同じドメインか確認 •

    DKIMの場合 → 公開鍵を持つサーバと同じドメインか確認

  85. SPF/DKIM の拡張 85 本文Fromの検証 を追加 • SPFの場合 → 封筒Fromと同じドメインか確認 •

    DKIMの場合 → 公開鍵を持つサーバと同じドメインか確認 「アライメント」と 呼ばれます

  86. SPF/DKIM の拡張 86 本文Fromの検証 を追加 • SPFの場合 → 封筒Fromと同じドメインか確認 •

    DKIMの場合 → 暗号解読キーを持つサーバと同じドメインか確認

  87. 87 おさらい SPFとは 封筒From の検証技術 メール送信サーバ IP:aa.aa.aa.aa 台帳管理サーバ DNSサーバ メール受信サーバ

    送信者サイド example.com 受信者サイド 封筒From:  user@example.com 🤝サーバ aa.aa.aa.aa です。 メールをお届けします! 封筒From:  user@example.com aa.aa.aa.aa サーバは、 お宅が承認した サーバですか?? せやで! 1 2 3

  88. 88 SPFのアライメント メール受信サーバ 受信者サイド 封筒From:  user@example.com 本文From:  user@example.com SPFで検証済み =信頼できるドメイン

  89. 89 SPFのアライメント メール受信サーバ 受信者サイド 封筒From:  user@example.com 本文From:  user@example.com SPFで検証済み =信頼できるドメイン

    検証に使う

  90. 90 SPFのアライメント メール受信サーバ 受信者サイド 封筒From:  user@example.com 本文From:  user@example.com つまり 同じならOK!

    「SPFアライメントが取れている」 と呼ぶ

  91. SPF/DKIM の拡張 91 本文Fromの検証 を追加 • SPFの場合 → 封筒Fromと同じドメインか確認 •

    DKIMの場合 → 暗号解読キーを持つサーバと同じドメインか確認

  92. 92 おさらい DKIMでの改 ん防止方法 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com

    受信者サイド この鍵で 暗号解読しな!! 暗号解読の 鍵ください! もらった鍵で解読できた! ということは、 改ざんされていないな! 2 3 4 1 DKIM情報 • 暗号データ • 暗号解読”鍵”を持ったサーバ example.com

  93. 93 DKIMのアライメント メール受信サーバ 受信者サイド 本文From:  user@example.com DKIM情報 • 暗号データ •

    暗号解読の”鍵”を持ったサーバ名 ◦ example.com DKIMで使えた! =信頼できるドメイン

  94. 94 DKIMのアライメント メール受信サーバ 受信者サイド 本文From:  user@example.com DKIM情報 • 暗号データ •

    暗号解読の”鍵”を持ったサーバ名 ◦ example.com DKIMで使えた! =信頼できるドメイン 検証に使う

  95. 95 DKIMのアライメント メール受信サーバ 受信者サイド 本文From:  user@example.com DKIM情報 • 暗号データ •

    暗号解読の”鍵”を持ったサーバ名 ◦ example.com 同じならOK! 「DKIMアライメントが取れている」と呼ぶ

  96. DMARC の結果 96 SPF、DKIM の結果で DMARC の結果が決められる

  97. DMARC で実現できること SPF/DKIM の 拡張 NGメールの 処遇指定 なりすまし被害者への 通報 97

  98. 98 DMARCでNGの場合 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド なりすましメールを

    見つけたのですが どうすればいいですか?

  99. 99 DMARCでNGの場合 メール送信サーバ 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド なりすましメールの

    処遇を設定できる おいといて  or 隔離して  or 始末して

  100. 100 なりすましメールの処遇指定メリット 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド 悪意ある人サイド メール送信サーバ

    DMARC:NG おいといて  or 隔離して  or 始末して なりすましメールの 処遇を設定できる

  101. DMARCで設定できる リシー 101 none 何もしないで! quarantine 隔離しといて! (迷惑メールフォルダに入れるなど) reject 削除しといて!

    「信用できないメールは削除」としておけば、 なりすましメールを送られても受信サーバで削除してもらえる!

  102. DMARC で実現できること SPF/DKIM の 拡張 NGメールの 処遇指定 なりすまし被害者への 通報 102

  103. DMARCレ ート • なりすまされたドメインに送られるレポートメール 103

  104. 104 なりすましメールの処遇指定メリット メール受信サーバ 受信者サイド 悪意ある人サイド evil-man.test メール送信サーバ DMARC:NG DMARC:NG DMARC:NG

    台帳管理サーバ DNSサーバ 送信者サイド example.com メール送信サー バ

  105. 105 なりすましメールの処遇指定メリット 台帳管理サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド 悪意ある人サイド evil-man.test

    メール送信サーバ メール送信サー バ 今日はこれだけ なりすまされてたで!

  106. しかし そんなDMARCにも 弱点 が...

  107. DMARCの弱点 その1 107

  108. DMARCの弱点 その1 普及率 108

  109. 109 DNSに設定しないと意味がない メール送信サーバ DNSサーバ メール受信サーバ 送信者サイド example.com 受信者サイド じゃあいっか... DMARCやってません!!

  110. この弱点は Googleが潰した 110 圧倒的シェアのGmailが必須化した → 対応しないとメールは届かないも同然 参考:メール送信者のガイドライン

  111. DMARCの弱点 その2 111

  112. DMARCの弱点 その2 しくみが わかりづらい 112

  113. DMARCの弱点 その2 今、私が潰した 113

  114. まとめ SPF ▰ メール送信サーバのIPアドレスを利用 ▰ 封筒Fromのなりすまし防止する ▰ 本文Fromのなりすましには無力 DKIM ▰

    公開鍵暗号を利用 ▰ メール内容の改ざんを防止する ▰ 本文Fromのなりすましには無力 DMARC ▰ SPFとDKIMを拡張 ▰ 本文Fromのなりすましも防止 ▰ なりすましメールの処遇を指定可能 ▰ なりすましメールを報告できる 114

  115. 参考情報 実務で使える メール技術の教科書 一般財団法人迷惑メール対策委員会 SPF(Sender Policy Framework) 一般財団法人迷惑メール対策委員会 DKIM (Domainkeys

    Identified Mail) 115