Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

メールサーバ管理者のみ知る話

 メールサーバ管理者のみ知る話

JPAAWG LTでのスライドです。

Nonogaki Hiroshi

November 10, 2024
Tweet

More Decks by Nonogaki Hiroshi

Other Decks in Technology

Transcript

  1. 自己紹介 KEYTEC合同会社 野々垣 裕司 (ののがき ひろし) サーバ管理者:1996年から IPv6運用: 2001年から SMTP認証:

    2001年から SPF運用: 2012年から DKIM運用: 2019年から DMARC運用: 2019年から MTA-STS運用: 2021年から 2024/11/11 JPAAWG 2 KEYTEC
  2. SPF • 送信元のIPアドレスで判断する • MAIL FROMのホスト名、HELOのホスト名 • -all Fail 一致していないとREJECT

    • ~all Softfail 信頼できないが受信する • DNS参照は最大10回まで。 • 設定したら必ず確認しましょう。 2024/11/11 JPAAWG KEYTEC 3 keytec.jp. 86400 IN TXT “v=spf1 include:spf.keytec.jp -all” spf.keytec.jp. 86400 IN TXT "v=spf1 ip6:2001:f58:2003:1::/126 ip6:2001:f58:2003:1::a ip4:202.124.214.192/30 ip4:202.124.214.202 ~all"
  3. 大企業でも間違えるSPF 2024/11/11 JPAAWG KEYTEC 4 @ IN A TXT “v=spf1

    ip4:192.0.2.10/24 ~all” @ IN A TXT “v=spf1 ip6:2001:db8::/32 ~all” SPF Permanent Errorとなっていた 全て私が世界中で一番最初に発見したらしい(Xにて) 2021年6月 某グローバル企業A 2021年9月 某通信会社B 2022年6月 某グローバル企業C 2024年8月 某通信会社D
  4. SPF IPv6,IPv4混ぜるな 2024/11/11 JPAAWG KEYTEC 5 ドメイン名 example.jp @ IN

    MX 300 mx.example.jp. IN A TXT “v=spf1 a:m41.example.jp a:m42.example.jp a:m43.example.jp ” “a:m61.example.jp a:m62.example.jp a:m63.example.jp a:mx.example.jp –all” m41 IN A 192.0.2.1 m42 IN A 192.0.2.2 m43 IN A 192.0.2.3 m61 IN AAAA 2001:db8::1 m62 IN AAAA 2001:db8::2 m63 IN AAAA 2001:db8::3 mx IN A 192.0.2.10 IN AAAA 2001:db8::10 これでは正しく機能しませんよ!!!
  5. DMARC • SPFとDKIMの結果で判断する • TXTレコード v=DMARC1 記述する (Fromヘッダのメールアドレス) • p=none

    なにもしない(実態) • p=quarantine 隔離 • p=reject 拒否 • DMARCレポート • 受信先からDMARC認証結果レポートを送ってくれる(受信報告書) • rua=メールアドレス にて記述する 2024/11/11 JPAAWG KEYTEC 7 _dmarc.keytec.jp. 3600 IN TXT "v=DMARC1; fo=1; p=reject; aspf=s; rua=mailto:[email protected]"