DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】...

13
Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-1 Email Security Conference 2016 IAjapan 14-15迷惑メール対策カンファレンス DMARCによる新しいメール認証と導入の留意点』 201610株式会社コミュニティネットワークセンター ニコライ ボヤジエフ

Transcript of DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】...

Page 1: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-1

Email Security Conference 2016 IAjapan 第14-15回 迷惑メール対策カンファレンス

『DMARCによる新しいメール認証と導入の留意点』

2016年10月 株式会社コミュニティネットワークセンター

ニコライ ボヤジエフ

Page 2: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-2

自己紹介

名前: ニコライ ボヤジエフ

出身: ブルガリア 《България》 ※

所属: 株式会社コミュニティネットワークセンター 技術本部 システムグループ

担当: メールサービス運用・企画・開発 サーバ系システム全般 (DB/DNS/DHCP/RADIUS etc…)

在日ブルガリア人: < 300人

※キリル文字読めるので、ロシア語スパムメール判別が得意

Page 3: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-3

会社概要 $ dig _dmarc.cnci.co.jp TXT +short $ dig _dmarc.cnci.nagoya TXT +short "v=DMARC1¥; p=none¥; adkim=s¥; aspf=s“

Page 4: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-4

グループ会社紹介

東海地方の ケーブルMSOです

Page 5: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-5

事業紹介 ~放送事業~

●放送配信事業

●番組販売事業

Page 6: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-6

事業紹介 ~通信事業~

●ISP事業 XX万のエンドユーザ向け メールサービス提供中

(AS9354等)

Page 7: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-7

ISPユーザにとってメールサービスにおける重要なこと

サービスが安定していること (NO MORE 総務省報告)

メールが届くこと メールがなくならないこと

肯定的な使用感 (利便性、セキュリティ、スピード) ※迷惑メール対策含む

ここ当たり前

ここが重要 但し、かなり難しい

Page 8: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-8

Receiver/ISPの立場からみたDMARCとは

名称がカッコいい (D=ドメイン+MARC=印) Senderの認証方針(policy)が明確 DKIM/SPFの認証識別子の標準的な利用を定義 MUAで見えるRFC5322.Fromドメインに対してのチェック (Senderが宣言していれば) 確実ななりすまし対策が可能

ISPとして ここが重要

※Senderとして、メール到達性を重視しているため、p=none以外宣言できない。 レポーティングもあんまり興味ない。

Page 9: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-9

DMARCの仕組み(おさらい)

受信者 メールサーバ

ユーザ メールボックス

送信者 メールサーバ

DNSサーバ

①SPF/DKIM レコード登録

②DMARC ポリシー登録

④SPF/DKIM問い合わせ ⑤DMARCポリシ問い合わせ

③メール送信 ※DKIMの場合 署名付与実施

⑥SPF/DKIM検証 DMARC検証

【ポリシーA】 何もしない (p=none) ⑧ DMARC

ポリシーの適用

【ポリシーB】 拒否

(p=reject)

【ポリシーC】 隔離

(p=quarantine)

⑨ DMARC レポート作成

⑩ DMARCポリシーに 登録された告知先

アドレス宛に レポートを送信

【LEVEL①】 ポリシー公開 (Sender)

【LEVEL④】 レポート送信

(Receiver) ※IPアドレス (rua,ruf) ※回数 (rua,ruf) ※メール本文 (ruf)

レポート告知先 メールアドレス

⑦ポリシー適用せず、ボックス配送: ・【DMARCポリシーなし】 ・【DMARC検証OK】 ・【DMARC検証結果のヘッダ付与】 ・【”安心”/”警告”マーク表示】 など

【LEVEL②】 ラベリング/

レピュテーション (Receiver)

【LEVEL③】 ポリシー適用 (Receiver)

Page 10: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-10

当社のDMARC導入について

(Sender)【LEVEL①】 DMARCポリシー公開

(Receiver)【LEVEL②】 ラベリング/レピュテーション

(Receiver)【LEVEL③】 ポリシー適用

(Receiver)【LEVEL④】 レポート送信

2014年7月より、全ドメイン公開 (p=none, 商用ドメイン rua/ruf なし) ※JANOG 34 資料: https://www.janog.gr.jp/meeting/janog34/doc/janog34-op25b-akagiri-katoh-kase-1.pdf

DMARC検証結果のヘッダ付与 (Authentication-Results) (※一部システム)

課題ありのため 現状未実施

Page 11: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-11

DMARC導入に関する課題 (法的課題)

項目 【LEVEL①】 ポリシー公開 (Sender)

【LEVEL②】 ラベリング/

レピュテーション (Receiver)

【LEVEL③】 ポリシー適用 (Receiver)

【LEVEL④】 レポート送信

(Receiver)

違法性 (「通信の秘密」を 「侵害する行為」の有無) ※電気通信事業法第4条

有 (ruf/ruaタグ) 有 有 有

違法性阻却理由 無

⇒現時点解釈が未整理 (ruf/ruaタグ)

有 ⇒正当業務行為

無 ⇒現時点解釈が未整理

無 ⇒現時点解釈が未整理

備考 pタグ(policy)の公開については問題ないが、ruaタグ(aggregate report)およびrufタグ(failure report)の公開についてはレポーティング機能を利用して「通信の秘密」を漏えいさせる教 唆に該当する可能性がある。

「受信側における送信ドメイン認証導入に関する法的な留意点」、ページ3参照 【URL】 http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/pdf/domain-j.pdf

通信当事者の同意無しにメールの拒否・隔離を行っているため、「通信の秘密」を「侵害する行為」に該当する。 「違法性阻却事由」に関する解釈がまだ整理されてないので、現時点では「違法状態」と考えられる。

レポーティング機能では、通信当事者の同意無しにfail した送信元の IP アドレス、受信回数、メール本文などを第三者に通知するため、「通信の秘密」を「侵害する行為」に該当する。 「違法性阻却事由」に関する解釈がまだ整理されてないので、現時点では「違法状態」と考えられる。

Maybe? 困難 困難

Page 12: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-12

DMARC導入に関する課題 (コストメリット)

DMARC対応 導入コスト ISPにとってのメリット

【LEVEL①】 ポリシー公開 (Sender)

無 △ • DMARCの認知度向上に貢献し、最終的にDMARCの普及につながる

【LEVEL②】 ラベリング/

レピュテーション (Receiver)

低~中 ※1 ◎ • なりすまし対策が実装できる(※但し、DMARC普及が条件)

【LEVEL③】 ポリシー適用 (Receiver)

高 ○ • なりすまし対策が実装できる(※但し、DMARC普

及が条件) • ポリシー適用によるクレームの可能性あり

【LEVEL④】 レポート送信

(Receiver) 高 (低) ※2 △

• Senderにフィードバックすることによって、SenderがDMARC導入しやすくなるため、最終的にDMARCの普及につながる

※1 DMARC対応ソフト及びサービス情報:https://dmarc.org/resources/products-and-services/ OSSソフト(by IIJ) : yenma (https://github.com/iij/yenma) ※2 一部のメールアプライアンスでレポート送信機能を標準搭載

Page 13: DMARCによる新しいメール認証と導入の留意点』€¦ · 【ポリシーA】 何もしない (p=none) ⑧ DMARC ポリシーの適用 【ポリシーB】 拒否 (p=reject)

Copyright© 2008-2016 COMMUNITY NETWORK CENTER INCORPORATED. All rights reserved. Page-13

まとめ

DMARCは優れた技術(標準的でわかりやすい) 有効ななりすまし対策になるために、もっと普及が必要 法的課題があるので、レポーティング要注意

DMARCをもっと普及させましょう!


Microalgae: A Green Purification of Reject Water for ...1083123/FULLTEXT01.pdf · purification of reject water showed that the operating costs exceed those of the SHARON process due

Microalgae: A Green Purification of Reject Water for ...1083123/FULLTEXT01.pdf · purification of reject water showed that the operating costs exceed those of the SHARON process due

FORMULAE & TABLES FOR STAT 1123 FINAL EXAM 1123... · FORMULAE & TABLES FOR STAT 1123 FINAL EXAM . ... ANOVA: Reject the null hypothesis if F > F crit Fail to reject the null hypothesis

FORMULAE & TABLES FOR STAT 1123 FINAL EXAM 1123... · FORMULAE & TABLES FOR STAT 1123 FINAL EXAM . ... ANOVA: Reject the null hypothesis if F > F crit Fail to reject the null hypothesis

© Buddy Freeman, 2015 H 0 : H 1 : α = Decision Rule: If then do not reject H 0, otherwise reject H 0. Test Statistic: Decision: Conclusion: We have found.

© Buddy Freeman, 2015 H 0 : H 1 : α = Decision Rule: If then do not reject H 0, otherwise reject H 0. Test Statistic: Decision: Conclusion: We have found.

ANALISIS PRODUK REJECT TERHADAP PENGENDALIAN …

ANALISIS PRODUK REJECT TERHADAP PENGENDALIAN …

Reject kaigi2010lt

Reject kaigi2010lt

NITROGEN RECOVERY FROM STRUVITE PRECIPITATION REJECT WATER

NITROGEN RECOVERY FROM STRUVITE PRECIPITATION REJECT WATER

ユーザー定義ポリシーとユーザー 定義メトリックを …...Oracle Enterprise Manager Release 10.2.0.5 では、簡素化された ユーザー定義ポリシーとユーザー定義ポリシー・グループのイ

ユーザー定義ポリシーとユーザー 定義メトリックを …...Oracle Enterprise Manager Release 10.2.0.5 では、簡素化された ユーザー定義ポリシーとユーザー定義ポリシー・グループのイ

SPF, DKIM, DMARC usw - opsec.eu · SPF, DKIM, DMARC usw Neue Herausforderungen bei E-Mail und Spam Kurt Jaeger, pi@opsec.eu Stuttgart, 9. Juli 2015

SPF, DKIM, DMARC usw - opsec.eu · SPF, DKIM, DMARC usw Neue Herausforderungen bei E-Mail und Spam Kurt Jaeger, [email protected] Stuttgart, 9. Juli 2015

Oracle Hardware 及び Systems サポート・ポリシー Hardware 及び Systems サポート・ポリシー: 2017 年10 月13 日 Page 3 of 32 本 Hardware 及び Systems サポート・ポリシーと旧バージョンの

Oracle Hardware 及び Systems サポート・ポリシー Hardware 及び Systems サポート・ポリシー: 2017 年10 月13 日 Page 3 of 32 本 Hardware 及び Systems サポート・ポリシーと旧バージョンの

3 Kesilapan Yang BAKAL Membuatkan BANK REJECT Permohonan Loan Anda

3 Kesilapan Yang BAKAL Membuatkan BANK REJECT Permohonan Loan Anda

RENCANA PENGENDALIAN KUALITAS PRODUK REJECT CYLINDER …

RENCANA PENGENDALIAN KUALITAS PRODUK REJECT CYLINDER …

Ⅰ ディプロマ・ポリシーと カリキュラム ... - …9 Ⅰ 1 ディプロマ・ポリシーとカリキュラム・ポリシー ディプロマ・ポリシー 2.主要な学習目標

Ⅰ ディプロマ・ポリシーと カリキュラム ... - …9 Ⅰ 1 ディプロマ・ポリシーとカリキュラム・ポリシー ディプロマ・ポリシー 2.主要な学習目標

SPF, DKIM e DMARC · SPF, DKIM e DMARC Recomendação Técnica 01/19 Este documento descreve a importância e recomenda a utlização dos standards SPF, DKIM e DMARC para reforço

SPF, DKIM e DMARC · SPF, DKIM e DMARC Recomendação Técnica 01/19 Este documento descreve a importância e recomenda a utlização dos standards SPF, DKIM e DMARC para reforço

161004 OC208 saku - 一般財団法人インターネット協会€¢ DMARCの認知率はまだ低い(fail も含めて12% 程度) • DMARCの導 法はDMARC レコード(TXT RR)

161004 OC208 saku - 一般財団法人インターネット協会€¢ DMARCの認知率はまだ低い(fail も含めて12% 程度) • DMARCの導 法はDMARC レコード(TXT RR)

Windows Server 2003 グループ ポリシーの概要

Windows Server 2003 グループ ポリシーの概要

2017...3 4 アドミッション・ポリシー アドミッション・ポリシー アドミッション・ポリシー SOJO UNIVERSITY 2017 機械工学科 ナノサイエンス学科

2017...3 4 アドミッション・ポリシー アドミッション・ポリシー アドミッション・ポリシー SOJO UNIVERSITY 2017 機械工学科 ナノサイエンス学科

DMARC Technology Overview - dkim.jp | Japan DKIM ...€“ 過去のポリシー定義機能(SPF hard/softfail, DKIM ADSP)は、 DMARCでは使用しない – レポートにはAFRFで定める書式を使用

DMARC Technology Overview - dkim.jp | Japan DKIM ...€“ 過去のポリシー定義機能(SPF hard/softfail, DKIM ADSP)は、 DMARCでは使用しない – レポートにはAFRFで定める書式を使用

20080622 Reject Kaigi2008 Kaigi Freaks

20080622 Reject Kaigi2008 Kaigi Freaks

reject Analysis

reject Analysis

phpcon2009 Reject LT

phpcon2009 Reject LT