Upgrade to Pro — share decks privately, control downloads, hide ads and more …

メールサーバ管理者のみ知る話

Avatar for Nonogaki Hiroshi Nonogaki Hiroshi
November 10, 2024
Technology
1
200

 メールサーバ管理者のみ知る話

JPAAWG LTでのスライドです。
Avatar for Nonogaki Hiroshi

Nonogaki Hiroshi

November 10, 2024
Tweet

More Decks by Nonogaki Hiroshi

See All by Nonogaki Hiroshi
メールヘッダーを見てみよう
Avatar for Nonogaki Hiroshi hinono
0
290
RFC 5322 に浸かろう 続編
Avatar for Nonogaki Hiroshi hinono
0
220
送信ドメイン認証の現状(2024年版) DNS温泉10
Avatar for Nonogaki Hiroshi hinono
0
71
総務担当者のOSINT
Avatar for Nonogaki Hiroshi hinono
0
1.4k
OSINTから得られる組織評価
Avatar for Nonogaki Hiroshi hinono
0
240
総務担当者のOSINT
Avatar for Nonogaki Hiroshi hinono
1
580
送信ドメイン認証の現状
Avatar for Nonogaki Hiroshi hinono
7
4.2k
RFC 5322 に浸かろう
Avatar for Nonogaki Hiroshi hinono
1
440

Other Decks in Technology

See All in Technology
Developer 以外にこそ使って欲しい Amazon Q Developer
Avatar for mita mita
0
120
Google Cloud Next 2025 Recap マーケティング施策の運用及び開発を支援するAIの活用 / Use of AI to support operation and development of marketing campaign
Avatar for Atsushi Yoshikawa atsushiyoshikawa
0
200
雑に疎通確認だけしたい...せや!CloudShell使ったろ!
Avatar for Ryotaro Harada alchemy1115
0
220
続・やっぱり余白が大切だった話
Avatar for KAKEHASHI kakehashi
PRO
3
320
製造業向けIoTソリューション提案資料.pdf
Avatar for h.uriu haruki_uiru
0
260
Terraform にコントリビュートしていたら Azure のコストをやらかした話 / How I Messed Up Azure Costs While Contributing to Terraform
Avatar for ののし nnstt1
1
490
計測による継続的なCI/CDの改善
Avatar for SansanTech sansantech
PRO
1
500
とあるEdTechベンチャーのシステム構成こだわりN選 / edtech-system
Avatar for k.goto gotok365
4
300
AWSを利用する上で知っておきたい名前解決の話
Avatar for nagisa_53 nagisa53
6
810
"発信文化"をどうやって計測する?技術広報のKPI探索記/How do we measure communication culture?
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
3
290
技術選定を突き詰める 懇親会LT
Avatar for Kaoru okaru
1
440
Google Cloud Next 2025 Recap 生成AIモデルとマーケティングでのコンテンツ生成 / Generative AI models and content creation in marketing
Avatar for Kyohei Saito kyou3
0
190

Featured

See All Featured
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
71
10k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Navigating Team Friction
Avatar for Lara Hogan lara
185
15k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
267
13k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
48
5.4k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
75
5.8k
Put a Button on it: Removing Barriers to Going Fast.
Avatar for kastner kastner
60
3.8k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
94
13k
Building Applications with DynamoDB
Avatar for Matt Wood mza
94
6.4k
Side Projects
Avatar for Sacha Greif sachag
453
42k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k

Transcript

  1. メールサーバ管理者 のみ知る話 野々垣裕司 JPAAWG 7th LT 2024/11/11 JPAAWG 1 KEYTEC

  2. 自己紹介 KEYTEC合同会社 野々垣 裕司 (ののがき ひろし) サーバ管理者:1996年から IPv6運用: 2001年から SMTP認証:

    2001年から SPF運用: 2012年から DKIM運用: 2019年から DMARC運用: 2019年から MTA-STS運用: 2021年から 2024/11/11 JPAAWG 2 KEYTEC

  3. SPF • 送信元のIPアドレスで判断する • MAIL FROMのホスト名、HELOのホスト名 • -all Fail 一致していないとREJECT

    • ~all Softfail 信頼できないが受信する • DNS参照は最大10回まで。 • 設定したら必ず確認しましょう。 2024/11/11 JPAAWG KEYTEC 3 keytec.jp. 86400 IN TXT “v=spf1 include:spf.keytec.jp -all” spf.keytec.jp. 86400 IN TXT "v=spf1 ip6:2001:f58:2003:1::/126 ip6:2001:f58:2003:1::a ip4:202.124.214.192/30 ip4:202.124.214.202 ~all"

  4. 大企業でも間違えるSPF 2024/11/11 JPAAWG KEYTEC 4 @ IN A TXT “v=spf1

    ip4:192.0.2.10/24 ~all” @ IN A TXT “v=spf1 ip6:2001:db8::/32 ~all” SPF Permanent Errorとなっていた 全て私が世界中で一番最初に発見したらしい(Xにて) 2021年6月 某グローバル企業A 2021年9月 某通信会社B 2022年6月 某グローバル企業C 2024年8月 某通信会社D

  5. SPF IPv6,IPv4混ぜるな 2024/11/11 JPAAWG KEYTEC 5 ドメイン名 example.jp @ IN

    MX 300 mx.example.jp. IN A TXT “v=spf1 a:m41.example.jp a:m42.example.jp a:m43.example.jp ” “a:m61.example.jp a:m62.example.jp a:m63.example.jp a:mx.example.jp –all” m41 IN A 192.0.2.1 m42 IN A 192.0.2.2 m43 IN A 192.0.2.3 m61 IN AAAA 2001:db8::1 m62 IN AAAA 2001:db8::2 m63 IN AAAA 2001:db8::3 mx IN A 192.0.2.10 IN AAAA 2001:db8::10 これでは正しく機能しませんよ!!!

  6. 2024/11/11 JPAAWG KEYTEC 6

  7. DMARC • SPFとDKIMの結果で判断する • TXTレコード v=DMARC1 記述する (Fromヘッダのメールアドレス) • p=none

    なにもしない(実態) • p=quarantine 隔離 • p=reject 拒否 • DMARCレポート • 受信先からDMARC認証結果レポートを送ってくれる(受信報告書) • rua=メールアドレス にて記述する 2024/11/11 JPAAWG KEYTEC 7 _dmarc.keytec.jp. 3600 IN TXT "v=DMARC1; fo=1; p=reject; aspf=s; rua=mailto:[email protected]"

  8. DMARC DMARCレポート 受信先からDMARC認証結果レポートを 送ってくれる 正しく動作しているか確認できる 詐称や改ざんされたメールがどこから発信され ているかわかる 2024/11/11 JPAAWG KEYTEC

    8

  9. 困ったDMARCレポート受信 2024/11/11 JPAAWG KEYTEC 9 • DMARCレポートがSPF=Noneにて送られてくる。 • DMARC導入しているであれば、DMARC=Passで送るべきですよね。

  10. 困ったDMARCレポート送信1 2024/11/11 JPAAWG KEYTEC 10 • 溢れちゃった

  11. 困ったDMARCレポート送信2 2024/11/11 JPAAWG KEYTEC 11 • あんた誰? @ IN TXT

    "v=DMARC1; p=quarantine; rua=mailto:[email protected]"

  12. 困ったDMARCレポート送信3 2024/11/11 JPAAWG KEYTEC 12 • 長期休暇中です

  13. 基本に振り返りましょう • 設定変更したらちゃんと動作確認しましょう。 • DNSが正しく設定できていないと、送信ドメイン認証も正しく設定できる 訳がない。間違いに気づかない。 • DNSもMTAもSPFもDKIMも全て正しく設定できないと、DMARCの運用なん てとても無理。 •

    RFC逸脱も意外と多いので確認しましょう。 2024/11/11 JPAAWG KEYTEC 13

  14. ありがとうございました 2024/11/11 JPAAWG KEYTEC 14