Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリテ...

Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリティの変化とは

Gmailの「メール送信者のガイドライン」の概要について話します。
また、今後予想されるメールセキュリティの変化について、なりすましのない世界の観点でお話しします。

HIRANO Yoshitaka

March 12, 2024
Tweet

More Decks by HIRANO Yoshitaka

Other Decks in Research

Transcript

  1. 2 自己紹介 名前 平野 善隆 所属 Vade Japan 株式会社 Hornetsecurity

    Principal Messaging Engineer 学歴 奈良先端科学技術大学院大学 情報科学研究科 自然言語処理学 趣味 長距離の自転車大会(1,200kmとか、2,000kmとか) バンド演奏 主な活動 M3AAWG JPAAWG
  2. 14 送信元IPの逆引きホスト名の正当性 192.0.2.5 example.com DNS 悪い人が管理 exampleの ふりをするぞ DNS 203.0.113.7

    example.com の人が管理 逆引きホスト名 のIPが元のIPと合 わない example.comがなりすまされている、とわかる
  3. 15 送信元IPの逆引きホスト名の正当性 203.0.113.7 example.com DNS DNS 203.0.113.7 203.0.113.42 example.com の人が管理

    逆引きホスト名 のIPが元のIPと 合っている example.comがなりすまされていない、とわかる 203.0.113.42
  4. 16 送信ドメイン認証 • SenderID RFC4406 2006年 • SPF RFC4408 2006年

    → RFC7208 2014年改訂 • DKIM RFC4871 2007年 → RFC6376 2011年改訂 • DMARC RFC7489 2015年 → draft-ietf-dmarc-dmarcbis-30 (近々改訂?) • ARC RFC8617 2019年 • BIMI draft-brand-indicators-for-message-identification-04 進行中 DMARCができてから9年 ➔ そろそろ機が熟した
  5. 22 • ヘッダFromのドメインとDKIMの署名者を一致させる + DKIM PASS • ヘッダFromとEnvelope Fromのドメインを一致させる +

    SPF PASS ヘッダFromドメインの正当性 アラインメントを 一致させる DMARCと同様だが、 SPF, DKIMの両方を要求する場合、 結果としてDMARCより厳しい
  6. 29 A. メール送信者のガイドラインに対応させる ➔ なりすまされる心配がない B. Gmail以外のアドレスで受け取ってもらう • 送信ドメイン認証などに対応していない脆弱な環境のみに届く ➔

    受信者にとってなりすましが届くリスク C. ホワイトリストに入れてもらう • 悪い人に「なりすませますよ」と教えているようなもの ➔ 受信者にとってなりすましが届くリスク 送信者として (認証系)
  7. 30 A. 登録解除機能を付ける • 読みたくない人は登録解除できる → 迷惑メール報告されない → ただし、興味がないと登録解除されてしまう B.

    登録解除機能をつけない • 読みたくない人は迷惑メール報告する → 読みたい人にも届かなくなってしまう 送信者として (登録解除)
  8. 36 受信者としては ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ このISP 嫌だ なりすましの問い 合わせが大変なの でGmailをオススメ
  9. 38 ISPとしては ISP 1 ISP 2 本物のメールだけ 本物 ニセモノ 本物

    ニセモノ 送信者は全員対応して るし、DMARCとかやっ てもいいんじゃない?
  10. 41 • 送信者 • 送信ドメイン認証を設定し、登録解除の仕組みを提供 • 受信側ISPなど • 送信ドメイン認証等により本物のメールのみを受け取る •

    登録解除のUIを提供する ➔ 結果として不要なメールのを受信しなくてよくなる • 受信者 • 安全なサービスを見極めて使う 近い将来
  11. 45 SPF + アラインメント ➔ ヘッダFromのドメインなど DKIM + アラインメント ➔

    ヘッダFromのドメインなど DMARC ➔ ヘッダFromのドメイン 何に対してのなりすまし防止? なりすまされないのは、 ヘッダFromであって 送信者そのものではない
  12. 48 From: Security Days運営事務局 <[email protected]> Subject: 事前登録確認のお知らせ 以下のURLから登録内容を確認してください どちらがほんものでしょうか From:

    Security Days運営事務局 <[email protected]> Subject: 事前登録確認のお知らせ 以下のURLから登録内容を確認してください DMARC PASS DMARC PASS こちらは確実に本物だと分かる (f2ff.jpを知っていれば)
  13. 49 From: マイクロソフトサポート <[email protected]> Subject: アカウント確認のお知らせ 以下のURLから登録内容を確認してください Lookalike Domain From:

    Amazon <[email protected]> Subject: アカウント確認のお知らせ 以下のURLから登録内容を確認してください DMARC PASS DMARC PASS しかし、現実はそうではない
  14. 52 • DMARCがPASSしている • DMARCのポリシーがp=quarantine以上 • VMC証明書がPASSしている • 組織の存在証明 •

    担当者の存在証明 • ドメインとの紐付け証明 • ロゴの商標登録証明 BIMIの表示条件
  15. 53 • 送信者 • ブランドとドメインを紐付けるため、BIMIにロゴを登録 • 受信側ISPなど • BIMI認証が通ったものに対して、ロゴを表示し受信者に情報を提供する •

    送信元ドメインの評価をし、受信者に安全なメールを届ける • 受信者 • ロゴを見れば本物かどうかがわかる • 安全なサービスを見極めて使う 少し未来
  16. 63 今日帰ったらやること • 送信者 • DKIM, SPF + アラインメントを設定 ができるなら、

    DMARC p=reject, p=quarantine を書くことができます! • 受信側ISPなど • 送信者が希望するDMARCポリシー通りに動作するように検討しましょう • 登録解除のUIの提供を検討しましょう • 受信者 • 安全なサービスを見極めて使いましょう
  17. 65 • Email sender guidelines https://support.google.com/a/answer/81126?hl=en • Email sender guidelines

    FAQ https://support.google.com/a/answer/14229414?hl=en • Gmailの送信者のガイドラインの強化がもたらす未来 https://qiita.com/hirachan/items/f668511783c6e0663cb2 • BIMIを使ってメールにロゴを表示する方法 https://qiita.com/hirachan/items/f904edd03abf25a83004 https://qiita.com/hirachan/items/4922ae25a3d0602a140a https://qiita.com/hirachan/items/85d0983ebfa0e5034041 参考文献