Upgrade to Pro — share decks privately, control downloads, hide ads and more …

これから始めるBIMI

HIRANO Yoshitaka
November 11, 2021
Technology
2
520

 これから始めるBIMI

これから始めるBIMI ~メールにロゴを表示させるまでの長い道のり(継続中)~

BIMIはメールにロゴを表示するための仕組みです。今年7月にはGmailが正式リリースするなど大きな動きがありました。本セッションではBIMIを使ってロゴを表示するための仕組みややり方、そして、実際にやってみて苦労した点などをご紹介します。

HIRANO Yoshitaka

November 11, 2021
Tweet

More Decks by HIRANO Yoshitaka

See All by HIRANO Yoshitaka
メールとAIシリーズ:プライバシー保護のための次世代技術~NLPの未来と大規模言語モデル活用術
hirachan
2
17
Whoisの闇
hirachan
3
110
メール暗号化はSTART TLSで安心?!見落としがちな脆弱性と今すぐ取るべき対策
hirachan
1
51
自由自在にカスタマイズ!Go言語で作る あなただけのメールサーバー
hirachan
1
61
Gmail の「メール送信者のガイドライン」強化から 1 ヵ月、今後予想されるメールセキュリティの変化とは
hirachan
1
500
RM8回完走でもPBPはツライ
hirachan
1
73
LEL2017の思い出とLEL2025最新情報
hirachan
1
130
TLS1.0/1.1廃止に向けて JPAAWG 6th Open Round Table議事録
hirachan
2
65
進化し続けるフィッシングと機械学習との戦い ~ ChatGPT vs ChatGPTの世界へ ~
hirachan
2
220

Other Decks in Technology

See All in Technology
10分でわかるfreeeのQA
freee
1
3.5k
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
260
Microsoft MVPになる前、なってから/Fukuoka_Tech_Women_Community_1_baba
nina01
0
180
利きプロセススケジューラ
sat
PRO
4
2.6k
mikroBus HAT を用いた簡易ベアメタル開発
tarotene
0
270
Datachain会社紹介資料(2024年11月) / Company Deck
datachain
4
17k
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
280
State of Open Source Web Mapping Libraries
dayjournal
0
200
3次元点群データ「VIRTUAL SHIZUOKA』のオープンデータ化による恩恵と協働の未来/FOSS4G Japan 2024
kazz24s
0
130
フルカイテン株式会社 採用資料
fullkaiten
0
40k
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
7
640
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
180

Featured

See All Featured
Optimising Largest Contentful Paint
csswizardry
33
2.9k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
820
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
It's Worth the Effort
3n
183
27k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
2k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k

Transcript

  1. QUALITIA CO., LTD. All Rights Reserved. これから始めるBIMI ~メールにロゴを表示するまでの長い道のり(継続中)~ 2021/11/11 株式会社クオリティア

    平野善隆 <[email protected]>

  2. QUALITIA CO., LTD. All Rights Reserved. 自己紹介 名前 平野 善隆

    所属 株式会社クオリティア チーフエンジニア 資格等 Licensed Scrum Master Certified Scrum Developer 主な活動 M3AAWG JPAAWG IA Japan 迷惑メール対策委員会 迷惑メール対策推進協議会 メッセージング研究所(MRI) Audax Randonneurs Nihonbashi

  3. QUALITIA CO., LTD. All Rights Reserved. メールとの関わり 1990 パソコン通信などでメールに触れる 199x

    ドメインを取得して近所のISPに個人のサーバーを置 かせてもらって運用開始 2000 外人さんの多い会社に転職したのでメールの漢字に ふりがなを付けたりして遊ぶ (のちのhiragana.jp) 個人のサーバーをちゃんとしたデータセンターに移 動。imail.ne.jpというドメインを取って一攫千金を 夢見るが挫折 2004 メールの会社に入社 以降 スパムフィルタ、誤送信防止製品の開発やサービス の立ち上げ。PPAPの礎を築く。

  4. QUALITIA CO., LTD. All Rights Reserved. BIMIとは •Brand Indicators for

    Message Identification •DMARCベースの認証と暗号化方式を組み合わせるこ とで、送信者を識別できるようにする仕組み •送信者が選んだロゴを表示することで識別する

  5. QUALITIA CO., LTD. All Rights Reserved. もくじ •BIMI以前のロゴ表示 •BIMIの仕様 (表示側視点)

    (眠くなります) •自分のロゴを表示させるためのステップ (送信者視点) •実際にやってみて苦労した話

  6. QUALITIA CO., LTD. All Rights Reserved. 今までのロゴ表示の取り組み

  7. QUALITIA CO., LTD. All Rights Reserved. X-Face ヘッダ • James

    Ashton氏によって考案 • メール作成者がヘッダに入れた48x48ドットの白黒 イラストが受信者のメーラーで表示される • 当時メールだけではなく、ネットニュースでも利用 された • 1990年あたりに登場 • 2000年前後によく利用されていた X-Face: ']LG0eU¥ZOAZuj!aa4#GU(:U#7sS-@y6b(({~0z8. UUiu¥F#dE¥8(8@4sVnc68WE>OxquYD}Q"jfR8{@&6@dgW& !DGQ>!YOOd@JZ0>Ik}=%IY`Pc=jv+Y0ZL(DQ)r/J*i

  8. QUALITIA CO., LTD. All Rights Reserved. 安心マーク •JIPDECによって考案された •2013年の参議院議員選挙のときに政党のメーリング リストに利用

    •JIPDECが承認したドメイン •DKIMがpassした場合に安心マークを表示 •Yahoo! Japan, Niftyなどで表示 •送信者も受信者も有料 •2022年3月に終了予定

  9. QUALITIA CO., LTD. All Rights Reserved. Yahoo! Japan ブランドアイコン •

    Yahoo! Japanが審査したドメインについて Yahoo! mailで送信者のロゴを表示 • 認証はSPFまたはDKIM • SPFはヘッダFromがEnvelope Fromと同じ かそのサブドメインであること • DKIMは作成者署名であること。 • 2018年開始 • 2021年3月にブランドカラーというのも登場

  10. QUALITIA CO., LTD. All Rights Reserved. ドコモメール公式アカウント •ドコモが審査したドメインについてドコモ メール上で公式アカウントマーク を表示

    •認証はSPFのみ •2021年5月 提供開始

  11. QUALITIA CO., LTD. All Rights Reserved. BIMIの登場

  12. QUALITIA CO., LTD. All Rights Reserved. BIMIの登場 • メールにロゴを表示する •

    2019年 Seth Blank氏らによって提案 • 送信者はロゴを公開するだけ • 受信者は公開されたロゴを個別に調整することなく利用可能 • DMARCで検証されたメールのみロゴが表示される • DMARC普及のインセンティブになるかもしれない https://datatracker.ietf.org/doc/draft-bkl-bimi-overview/

  13. QUALITIA CO., LTD. All Rights Reserved. Googleが正式対応 (2021/7/13)

  14. QUALITIA CO., LTD. All Rights Reserved. BIMIのRFC Draft • 2019年2月

    Seth Blank氏らによって提案 • https://datatracker.ietf.org/doc/draft-blank-ietf-bimi/00/ • 2020年8月、2021年3月に改訂 • 2021年10月11日 • https://datatracker.ietf.org/doc/draft-brand-indicators-for- message-identification/00/ 内容は2021/3のdraft-blank-ietf-bimi-02と同じ スペルミスの修正とインデントが整えられただけ

  15. QUALITIA CO., LTD. All Rights Reserved. BIMI対応のメールプロバイダ https://bimigroup.org/bimi-infographic/

  16. QUALITIA CO., LTD. All Rights Reserved. BIMI対応のメールプロバイダ (11/10時点) どう実装するか検討中 乞うご期待!

    https://bimigroup.org/bimi-infographic/

  17. QUALITIA CO., LTD. All Rights Reserved. JPドメインのBIMIの普及状況 7/10 インターネット協会 DMARC普及状況調査より

  18. QUALITIA CO., LTD. All Rights Reserved. BIMIの仕様 少し眠くなるかも知れないので、ときどき、美味な写真も載せておきます

  19. QUALITIA CO., LTD. All Rights Reserved. いろいろなドキュメント • Brand Indicators

    for Message Identification (BIMI) https://datatracker.ietf.org/doc/html/draft-blank-ietf-bimi • An Overview of the Design of BIMI https://datatracker.ietf.org/doc/html/draft-bkl-bimi-overview • General Guidance for Implementing Branded Indicators for Message Identification (BIMI) https://datatracker.ietf.org/doc/html/draft-brotman-ietf-bimi-guidance • BIMI Reporting https://datatracker.ietf.org/doc/html/draft-adams-bimi-reporting • Fetch and Validation of Verified Mark Certificates https://datatracker.ietf.org/doc/html/draft-fetch-validation-vmc-wchuang • VMC Guidelines http://bimigroup.org/resources/VMC_Guidelines_latest.pdf • SVG Tiny Portable/Secure https://datatracker.ietf.org/doc/html/draft-svg-tiny-ps-abrotman あらゆる情報は BIMI Groupから

  20. QUALITIA CO., LTD. All Rights Reserved. BIMIの処理の流れ

  21. QUALITIA CO., LTD. All Rights Reserved. 受信側の実装 •BIMIの認証 •DNSからBIMIレコードの取得 •ロゴの取得・検証

    •証明書の取得・検証

  22. QUALITIA CO., LTD. All Rights Reserved. Authentication Requirements BIMIの認証

  23. QUALITIA CO., LTD. All Rights Reserved. BIMIの認証 1. Fromヘッダが2つ以上ある 4.

    Fromヘッダのドメインに対して DMARCを評価し、 BIMI DMARCの結果とする 5. BIMI DMARCの結果がpassでなけれ ば、ARCや信用できる転送者のリスト、 ローカルポリシーなど他の結果を使用し てBIMI DMARCの結果をpassとして 扱ってもよい 6. Fromドメインやその組織ドメインの DMARCのポリシーがp=noneである 7. Fromドメインやその組織ドメインの DMARCにサブドメインのポリシーがあ りsp=noneである 8. Fromドメインやその組織ドメインの DMARCのポリシーがquarantineである がpct=100ではない draft-brand-indicators-for-message-identification-00 7.1 Authentication Requirements BIMI FAIL https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/ はい はい はい はい

  24. QUALITIA CO., LTD. All Rights Reserved. SPF •Envelope FromとIPアドレスが正しいかど うかを確認できる

    •Envelope Fromが<>の時はHELO/EHLO •ヘッダFromについては対象外 example.jp TXT “v=spf1 ip4:192.0.2.1 –all”

  25. QUALITIA CO., LTD. All Rights Reserved. DKIM •ヘッダや本文に署名してなりすましや改ざ んを防止できる •ヘッダFromやEnvelope

    Fromは関係ない s1._domainkey.example.jp TXT “v=DKIM1;p=ABCDEF...”

  26. QUALITIA CO., LTD. All Rights Reserved. SPF DKIM の問題点 •SPFは第三者がEnvelope

    Fromをなり すましてもspf=passしてしまう •DKIMは第三者が署名しても dkim=passしてしまう

  27. QUALITIA CO., LTD. All Rights Reserved. DMARCなら •Header Fromを基準に確認 •Header

    From •Envelope From が一致することを確認 •DKIM署名者 _dmarc.example.jp TXT “v=DMARC1; p=reject”

  28. QUALITIA CO., LTD. All Rights Reserved. DMARCがあれば たとえ SPFが正しくても、 DKIMが正しくても、

    ヘッダFROMがなりすましであれば届かない SPFやDKIMの弱いところを補完するものなので、 SPFだけ+DMARCやDKIMだけ+DMARCでも有効です

  29. QUALITIA CO., LTD. All Rights Reserved. DMARCのポリシーの書き方 • p=reject ➔

    DMARC Failしたものは全てreject • p=reject; pct=70 ➔ DMARC Failしたものの70%はreject、 残りはquarantine • p=quarantine ➔ DMARC Failしたものは全てquarantine • p=quarantine; pct=70 ➔ DMARC Failしたものの70%はquarantine、 残りは何もしない(none)

  30. QUALITIA CO., LTD. All Rights Reserved. DMARCのサブドメインのポリシー •_dmarc.example.jp ... p=reject;

    sp=none ➔example.jpに対してDMARCがFailしたときはreject、 *.example.jpに対してはFailしても何もしない(none) •_dmarc.example.jp ... p=reject ➔ example.jpに対してDMARCがFailしたときはreject、 *.example.jpに対しても同様

  31. QUALITIA CO., LTD. All Rights Reserved. BIMIの認証 要約 • sub.example.jpのDMARCがpassしなければFAIL

    • ただし、DMARCがpassしない場合には、 ARCやローカルルールを適用してもOK • sub.example.jp、example.jpの両方のDMARCが • p=reject ➔ OK • p=quarantine ➔ OK • p=quarantine; pct=100 ➔ OK • それ以外 ➔ FAIL From: [email protected]

  32. QUALITIA CO., LTD. All Rights Reserved. なのですが

  33. QUALITIA CO., LTD. All Rights Reserved. BIMI実装のためのガイダンス • General Guidance

    for Implementing Branded Indicators for Message Identification (BIMI) • https://datatracker.ietf.org/doc/draft-brotman-ietf-bimi-guidance/ •2021/10/11にver04 • 前のバージョンは Receivers Guidance for Implementing Branded Indicators for Message Identification (BIMI)

  34. QUALITIA CO., LTD. All Rights Reserved. BIMI Processing Requirements •

    5.2.1 • From:の組織ドメインに対してDKIMとSPFの両方が有効 • (DMARCはFrom:のドメインに対してSPFかDKIMのどちら かが有効であればよい) • 強いSPFが必要 • -allを必須として?allは許可しない • 極端に広いアドレス空間を含む物は許可しない • など • SMTPはTLS経由であること • フィードバックループ登録やその他の登録方法 • DNSの許可リストや他の方法でのDomain Reputation どこまでやるかは受信側の裁量による https://datatracker.ietf.org/doc/draft-brotman-ietf-bimi-guidance/

  35. QUALITIA CO., LTD. All Rights Reserved. 受信側の実装 •BIMIの認証 •DNSからBIMIレコードの取得 •ロゴの取得・検証

    •証明書の取得・検証

  36. QUALITIA CO., LTD. All Rights Reserved. BIMIレコードの取得 BIMI-Selectorヘッダが指定されていた らその値をセレクターとする。 なければ「default」

    セレクター._bimi.Fromドメイン のtxtレコードを取得する 「v=現在のBIMIのバージョン」で始 まっていなければそのレコードは捨てる 「v=現在のBIMIのバージョン」で始 まっていなければそのレコードは捨てる 残ったレコードが複数ある、または、な ければ、BIMIとして処理しない 残ったレコードが1つだけであれば、そ れをBIMIのAssertionとして使用する draft-brand-indicators-for-message-identification-00 7.2 Assertion Record Discovery レコードセットが空の場合は セレクター._bimi.組織ドメイン を調べる https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/

  37. QUALITIA CO., LTD. All Rights Reserved. サブドメインのときの流れ •default._bimi.sub.example.jpのv=BIMI1で 始まるTXTレコードを探す なければ

    •default._bimi.example.jpのv=BIMI1で始まる TXTレコードを探す From: [email protected]

  38. QUALITIA CO., LTD. All Rights Reserved. セレクターがある場合 •selector._bimi.sub.example.jpのv=BIMI1で 始まるTXTレコードを探す なければ

    •selector._bimi.example.jpのv=BIMI1で始ま るTXTレコードを探す From: [email protected] BIMI-Selector: v=BIMI1; s=selector;

  39. QUALITIA CO., LTD. All Rights Reserved. BIMIレコードの書き方 default._bimi.example.jp TXT “v=BIMI1;

    l=https://../ロゴ.svg; a=https://../証明書” # dig +short default._bimi.cnn.com txt "v=BIMI1; l=https://amplify.valimail.com/bimi/time-warner/yV3KRIg4nJW-cnn.svg; a=https://amplify.valimail.com/bimi/time-warner/yV3KRIg4nJW-cnn.pem"

  40. QUALITIA CO., LTD. All Rights Reserved. ロゴを出したくない場合 default._bimi.example.jp TXT “v=BIMI1;

    l=; a=;” この場合、Authentication-Resultsヘッダは、 Authentication-Results: bimi=declined; になります

  41. QUALITIA CO., LTD. All Rights Reserved. 受信側の実装 •BIMIの認証 •DNSからBIMIレコードの取得 •ロゴの取得・検証

    •証明書の取得・検証

  42. QUALITIA CO., LTD. All Rights Reserved. ロゴの取得 1. DNSレコードのl=が正しくなければ Fail。HTTPSであること

    2. DNSレコードにa=タグがあって、受 信側が対応していれば7.4へ 3. 受信側がBIMI Evidence Document 検証に対応していないか、a=タグがな ければ7.5へ draft-brand-indicators-for-message-identification-00 7.3 Indicator Discovery 7.5.2. root chainまでたどれないような TLSがあればFail 7.6.1. ロゴのサイズをチェック。 サイズはこのドキュメントやBIMI SVG ドキュメントや、独自のサイズ制限 7.6.2. SVGロゴが存在しなかったり SVG、SVGZとして正しくない場合ロゴ は表示されない 7.6.3. SVGの検証をする 7.6.4. 検証が通って、信頼できるところ からのものであれば、受信者のポリシー によってロゴを表示してもよい draft-svg-tiny- ps-abrotman- 02によると非圧 縮で32KB以下 7.4. 別に用意されるそれぞれのBIMI Evidenceドキュメントで検証方法は定 義されます 7.5.1. l=にあるURIからSVGロゴを取 得する。HTTPSでなければならない https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/

  43. QUALITIA CO., LTD. All Rights Reserved. ロゴのフォーマット •現時点では、SVG、SVGZのみ利用可能 ⇨RFC6170の5.2で定義 •さらに制限がある

    •詳細は別のドキュメントで draft-brand-indicators-for-message-identification-00 4.2.2 Supported Image Formats for l= tag https://datatracker.ietf.org/doc/draft-brand-indicators-for-message-identification/

  44. QUALITIA CO., LTD. All Rights Reserved. RFC6170 5.2 •SVGはSVG Tiny

    Profile + 以下の制約に従う •IRI(国際化URI)を参照しない •'script' エレメントを含まない •SVGイメージのhashを計算するときは、改行 はLFを使用する

  45. QUALITIA CO., LTD. All Rights Reserved. ロゴの表示 • ロゴの縦横比については定義されていない •

    しかし、正方形や円の領域に表示することを想定 • 1:1の縦横比で表示することを推奨 https://datatracker.ietf.org/doc/draft-brotman-ietf-bimi-guidance/ draft-brotman-ietf-bimi-guidance-04 6.1 Image Display

  46. QUALITIA CO., LTD. All Rights Reserved. ロゴの作成 SVG P/Sに従おうとするといくつかの問題を経験 するかも知れません

    https://datatracker.ietf.org/doc/draft-brotman-ietf-bimi-guidance/ draft-brotman-ietf-bimi-guidance-04 8. Logo Designers 8.2 Adherence to SVG P/S (SVG P/Sへの遵守) • SVG P/SはSVG Tiny 1.2に基づいており、特定のタイプのグラデーション を許可していない • SVG Tiny 1.2として変換/保存しようとすると、通常、ラスターファイルが 埋め込まれる。これはSVG P/Sには準拠しておらず、表示の問題が発生する 可能性がある • Adobe IllustratorでSVG Tiny 1.2をエクスポートすると、SVGエレメント にアトリビュートx, yを出力するが、SVG P/Sに準拠するためにこれらを削 除する必要がある <svg x="0px" y="0px">

  47. QUALITIA CO., LTD. All Rights Reserved. SVG Tiny 1.2 Portable

    / Secure • https://datatracker.ietf.org/doc/draft-svg-tiny-ps-abrotman/ • 最新 2021/10/11 •<title>エレメントが必須ですよ、とか書いてある SVGの書式なんてよくわからないので、 深追いはやめときます・・・

  48. QUALITIA CO., LTD. All Rights Reserved. ロゴってなりすまされないの?

  49. QUALITIA CO., LTD. All Rights Reserved. 受信側の実装 •BIMIの認証 •DNSからBIMIレコードの取得 •ロゴの取得・検証

    •証明書の取得・検証

  50. QUALITIA CO., LTD. All Rights Reserved. VMC (Verified Mark Certificate)

  51. QUALITIA CO., LTD. All Rights Reserved. VMC証明書とは •SSLのEV証明書のようなもの •ドメイン名が正しいことを証明 •会社名が正しいことを証明

    •実在していることを証明 •ロゴが正しいことを証明

  52. QUALITIA CO., LTD. All Rights Reserved. 証明書の発行者とプロファイルの検証 1. 以下を確認 -

    証明書がrootまでたどれること - root CAが信頼できること - root以外の中間証明書が含まれている ことを確認 2. 証明書のチェーンに含まれる証明書の 有効性を確認 3. 証明書のチェインに含まれる証明書が 取り消されていないことを確認 draft-fetch-validation-vmc-wchuang-01 5.1 Issuance and Profile Verification 4. CT(証明書の透明性)ログをつかって 正しく署名されているか確認する 5. 証明書がid-kp- BrandIndicatorforMessageIdentificat ion拡張キーを持つVMCであることを確 認する https://datatracker.ietf.org/doc/draft-fetch-validation-vmc-wchuang/

  53. QUALITIA CO., LTD. All Rights Reserved. ドメインの検証 draft-fetch-validation-vmc-wchuang-01 5.2 VMC

    Domain Verification VMCのSAN dNSNameのドメイン名それぞれについて dNSNameのドメイン名にセレクター._bimiから始まっていれば、selector-setに追加 それ以外はdomain-setに追加 BIMIのDNSレコードのセレクター._bimiを含む 作成者ドメインや組織ドメインが、selector-set に含まれていれば、検証Ok BIMIのDNSレコードの作成者ドメインや組織ドメインが、domain-setに含まれていれば、検証Ok https://datatracker.ietf.org/doc/draft-fetch-validation-vmc-wchuang/ • selector._bimi.example.jp • example.jp

  54. QUALITIA CO., LTD. All Rights Reserved. VMC Evidence Documentの検証 1.

    a=タグをもとにVMCを取得する。 URIはHTTPSでなければならない (MUST) 2. TLS1.2以上(SHOULD)、RFC8446 で指定されたプロトコルで接続すること (MUST)、TLSの証明書は信頼できる root CAまでたどれること(MUST) でなければ、検証はエラーを返す 3. 証明書に有効なVMCチェインが1つだ け含まれていなければエラー draft-fetch-validation-vmc-wchuang-01 5.3 Validation of VMC Evidence Document 4. 5.1での発行者とプロファイルの検証 が失敗すればエラー 5. 5.2のドメインの検証が失敗すればエ ラー 6. 検証されたVMCから[LogoType]拡張 からSVGロゴを取り出す 7. オプションとして6のロゴとl=タグか ら取得したロゴが異なっていればエラー にしてもよい(MAY) 8. その他のVMCの仕様に合うかどうか 確認して、合わなければエラー https://datatracker.ietf.org/doc/draft-fetch-validation-vmc-wchuang/

  55. QUALITIA CO., LTD. All Rights Reserved. Limited use of HTTP

    Redirects •5.5 •ロゴやevidence documentを取得するとき、 HTTPリダイレクトを辿らなかったり、その回数 を制限してもよい •送信者はリダイレクトしないようにするか、回数 が少なくなるように制限すべき https://datatracker.ietf.org/doc/draft-brotman-ietf-bimi-guidance/

  56. QUALITIA CO., LTD. All Rights Reserved. VMC証明書を見てみる

  57. QUALITIA CO., LTD. All Rights Reserved. 証明書を取得 # dig +short

    default._bimi.cnn.com txt "v=BIMI1; l=https://amplify.valimail.com/bimi/time-warner/yV3KRIg4nJW-cnn.svg; a=https://amplify.valimail.com/bimi/time-warner/yV3KRIg4nJW-cnn.pem" # wget https://amplify.valimail.com/bimi/time-warner/yV3KRIg4nJW-cnn.pem

  58. QUALITIA CO., LTD. All Rights Reserved. VMC証明書の中身は? # openssl x509

    -text -noout -in yV3KRIg4nJW-cnn.pem Certificate: Data: Version: 3 (0x2) Serial Number: 08:21:b8:fe:0a:9c:bc:3b:ac:10:da:08:c0:88:ee:f4 Signature Algorithm: sha256WithRSAEncryption Issuer: C = US, O = "DigiCert, Inc.", CN = DigiCert Verified Mark RSA4096 SHA256 2021 CA1 Validity Not Before: Aug 12 00:00:00 2021 GMT Not After : Aug 12 23:59:59 2022 GMT Subject: businessCategory = Private Organization, jurisdictionC = US, jurisdictionST = Delaware, serialNumber = 2976730, C = US, ST = Georgia, L = Atlanta, street = 190 Marietta St NW, O = "Cable News Network, Inc.", CN = "Cable News Network, Inc.", 1.3.6.1.4.1.53087.1.3 = US, 1.3.6.1.4.1.53087.1.4 = 5817930 Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public-Key: (2048 bit) Modulus: 00:aa:c2:76:c8:1c:66:b7:25:b2:72:fc:6d:a3:7f: ....省略.... Exponent: 65537 (0x10001)

  59. QUALITIA CO., LTD. All Rights Reserved. VMC証明書の中身は? (続き) Certificate: Data:

    .... X509v3 extensions: ....略.... X509v3 Subject Alternative Name: DNS:cnn.com ....略.... 1.3.6.1.5.5.7.1.12: image/svg+xml0#0!0...+............c<f.bb.JxWl..v8.0.......data:image/svg+xml;base64,H4sIAAAAAAAACp1UT W/bOBA9x7+Cq54KkDSHFL+MOEUbFE2BblFgAV8XrqLGwmptQ1bktL9+31AJ0kNQYAsk5HiGnHnz5lGXbx7+7cX UDqfusF9XpE0l2n1zuO32d+vqfvymUvXmanH5h1LiQ7tvh+14GFbi7e3hays+9v39aSwuYWuNy1L8tfkg3j8cD8Mo vvT3d+rjXuji3Mw1ViJoY8S7+66/Fea1EEoh/Wm6+xmErcTX7an9Mhy+dX27rsZu/10dT5XobtfVp+33dvibKgHk+ 9O62o3jcbVcns9nfXb6MNwtrTFmiZSPR1YPfbf/56WDlHNelmi1mLr2/O7wsK6MMCKHqP28liSr03HbAMhxaE/tMLU VMI/d2LdX158/Xy5nc3F53I47Acj9unp1fQ0UYBOI/4wxay+dddpONpCuGyPJ6FoFuClrUhS0lZZ0ahTpLI32yumEP SmvI++NirqWRpGHz+morFUE0j+FWMs6BZ0XF71CcqfIeD7vUIAPJ23x7xVZ3IracSRLQnFc1KHsebKGq/8CV9JO WqSCPyuDmI3IR047LuxxUGWgAIbAfvIvIkgzglqSZgQBCPIjAsocAgJ0AI4kJFUrXop1YxMKNZw9MQ3W4KKvGWM xeQX+Of7sl8U/2zug3nk7KZd12Clv0VQCBBz1GSxHppV8gknBcl8NyRTBQCQmxEeOzHFedwTObOPQmjQyYLoYC mxY6A0QJpVxES0hWnMG9GUlqwomCGtqkiEzAko8DCCdTSaZFhe4HzX97v1NEdxNEd+PavkLfVL0GG6d0H8DjiTY YE2hFpnI6U3pnFf0bFA44DwmBTgqzBsvG5cs6xBjYBnJwDMHEslgVZERVKQsJ85F5iRtSe148qxv/HA1Q0iIl1lCSeD AMus14/L8IHKQrDjsOqGeYz/OMmSeBgtNsprABJJBZ6rmfGAmzyBfgkhPEO0TxPQEMchZ6M8gjfSEnV+znB/cs6s4 LMeYOyT+nwB5bjtWaZyI2+W60DxrQNFMeiwma0DVEBtEoObJ10XuRQ/c1/SkoN+7zQ+DStsYCV5ZUaHhZ2KgA CrfJY4ZrLas0MVOhRJwzBsK43tVPioJf6dHU5ZfN875jYvlMS4uri0aDxK/eR7QJESIp+/kT/qchcxf96vFf2yTubu9BgA A CT Precertificate SCTs: ....略.... 画像データが入ってます

  60. QUALITIA CO., LTD. All Rights Reserved. 画像部分をdecodeしてみる # base64 -d

    < 画像部分.txt | gzip -d <?xml version="1.0" encoding="utf-8"?> <!-- Generator: Adobe Illustrator 24.1.0, SVG Export Plug-In . SVG Version: 6.00 Build 0) --> <svg version="1.2" baseProfile="tiny-ps" id="Layer_1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" viewBox="0 0 967.5 967.5" xml:space="preserve"> <title>CNN</title> <path fill="#CC0000" d="M779.5,323.2v261.4c0,10.4-6.5,19.1-16.2,21.8c-1.9,0.5-3.8,0.8-5.7,0.8c-7.4,0-15.8-3.7-22- 14.1L674,486.9 l-61.3-105.8c-3.4-5.8-8.2-8.5-12.7-7.3c-3.9,1-6.4,4.6-6.4,9v201.8c0,10.4-6.5,19.1-16.2,21.8c-8.3,2.2-19.9-0.1-27.7-13.3 l-56.2-96.9l-66.7-115c-3.4-5.8-8.2-8.5-12.8-7.3c-4,1.1-6.6,4.9-6.4,9v197.3c0,13-11.4,24.4-24.4,24.4H283 c-66.8,0-120.9-54.1-120.9-120.8c0-66.8,54.1-120.9,120.8-120.9h0.1h52v-39.6h-52c-88.6,1-159.7,73.7-158.7,162.3 c1,87.2,71.5,157.7,158.7,158.7h101.2c38.5,0,63.2-22.5,63.1-64.1v- 91.5c0,0,64.5,111.2,67.5,116.2c41,69.6,118.4,40.8,118.4-19.1 v-97.1c0,0,64.5,111.2,67.5,116.2c41,69.6,118.4,40.8,118.4-19.1V323.2H779.5z"/> <path fill="#CC0000" d="M175.3,483.7c0.1,59.4,48.2,107.6,107.7,107.7h100.2c6.3,0,11.2-6,11.2-11.2V382.9 c0-10.4,6.5-19.1,16.2-21.8c8.3-2.2,19.9,0.1,27.7,13.3c0.4,0.7,34.1,58.9,66.8,115.1c28.7,49.4,55.7,96,56.2,96.8 c3.4,5.8,8.2,8.5,12.8,7.3c4-1.1,6.6-4.9,6.4-9V382.9c0-10.4,6.5-19.1,16.1-21.8c8.2-2.2,19.8,0.1,27.6,13.3 c0.4,0.7,30,51.7,61.4,105.8c30,51.7,61,105.2,61.6,106.1c3.4,5.8,8.2,8.5,12.8,7.3c4-1.1,6.6-4.9,6.4-9V323.2h-39.7v155.7 c0,0-64.5-111.2-67.5-116.2c-41-69.6-118.4-40.8-118.4,19.1v97.1c0,0-64.5-111.2-67.5-116.2c-41-69.6-118.4-40.8- 118.4,19.1v159.1 c0.1,5.9-4.5,10.7-10.3,10.8c-0.1,0-0.2,0-0.3,0h-60.8c-37.6,0-68-30.4-68-68s30.4-68,68-68H335V376h-52 C223.6,376.1,175.4,424.3,175.3,483.7z"/> </svg>

  61. QUALITIA CO., LTD. All Rights Reserved. VMC証明書を取得するには •証明書発行機関は、現在DigicertとEntrustのみ •ロゴは商標登録されている必要がある

  62. QUALITIA CO., LTD. All Rights Reserved. 有効な商標の登録先 •日本の特許庁 •United States

    Patent and Trademark Office (USPTO) •Canadian Intellectual Property Office •European Union Intellectual Property Office •UK Intellectual Property Office •Deutsches Patent- und Markenamt •Spanish Patent and Trademark Office O.A. •IP Australia

  63. QUALITIA CO., LTD. All Rights Reserved. BIMIに対応させるステップ example.jpの場合

  64. QUALITIA CO., LTD. All Rights Reserved. STEP 1 •Header From,

    Envelope Fromの両方を example.jpにする

  65. QUALITIA CO., LTD. All Rights Reserved. STEP 2 •SPF、DKIM署名を設定する •DMARCをp=none

    で記述する •DMARCのレポートを受け取れるようにする ➔ DMARCがPASS

  66. QUALITIA CO., LTD. All Rights Reserved. STEP 3 •DMARCのレポートを確認して、STEP2までの抜 け漏れがないことを確認する

  67. QUALITIA CO., LTD. All Rights Reserved. STEP3 平行して •正方形のロゴを作成する •ロゴを商標登録する

    •ロゴをSVG Tiny P/S形式に変換する •ロゴをhttpsのサーバにデプロイする

  68. QUALITIA CO., LTD. All Rights Reserved. STEP 4 •DMARCのポリシーを p=rejectにする

    •BIMIのレコードを記述する (lだけ) default._bimi.example.jp TXT “v=BIMI1; l=https://../ロゴ.svg” https://bimigroup.org/bimi-generator/ チェックサイト

  69. QUALITIA CO., LTD. All Rights Reserved. ちょっと宣伝: QUALITIA DNS

  70. QUALITIA CO., LTD. All Rights Reserved. SVG Tiny P/Sの検証ができます 検証失敗の場合

  71. QUALITIA CO., LTD. All Rights Reserved. STEP4 一部のISPでロゴが表示されます

  72. QUALITIA CO., LTD. All Rights Reserved. STEP 5 •商標登録が終わったら VMC証明書を購入します

  73. QUALITIA CO., LTD. All Rights Reserved. STEP 6 •証明書をhttpsで公開する •BIMIのレコードを記述する

    (lとa) default._bimi.example.jp TXT “v=BIMI1; l=https://../ロゴ.svg; a=https://../証明書”

  74. QUALITIA CO., LTD. All Rights Reserved. STEP 6 Gmailなどに表示されます (たぶん)

  75. QUALITIA CO., LTD. All Rights Reserved. やってみた

  76. QUALITIA CO., LTD. All Rights Reserved. はまりポイント1 •正方形のロゴがない 解決策 上下に空白を追加

  77. QUALITIA CO., LTD. All Rights Reserved. はまりポイント2 •登録商標されたロゴがない 解決策 •海外の早そうなところに申請する

    •商標早期審査・審理を申請

  78. QUALITIA CO., LTD. All Rights Reserved. はまりポイント3 •DMARCでp=rejectにしたのに反映されない Authentication-Results: mx3.messagingengine.com;

    arc=none (no signatures found); bimi=skipped (DMARC Policy is not at enforcement); dkim=pass (1024-bit rsa key sha256) header.d=qualitia.co.jp [email protected] header.b=QxKsWdTk header.a=rsa-sha256 header.s=20201023154424 x-bits=1024; dmarc=pass policy.published-domain-policy=reject policy.published-subdomain-policy=none policy.applied-disposition=none policy.evaluated-disposition=none (p=reject,sp=none,d=none,d.eval=none) policy.policy-from=p header.from=qualitia.co.jp; iprev=pass smtp.remote-ip=18.176.5.155 (ag01t.qualitia.co.jp); spf=pass [email protected] smtp.helo=ag01t.qualitia.co.jp; fastmailのAuthentication-Resultsヘッダ sp=noneが書かれていた!

  79. QUALITIA CO., LTD. All Rights Reserved. はまりポイント3 続き • サブドメインはp=noneとして動作させたい

    (by 情シス) _dmarc.qualitia.co.jp TXT v=DMARC1; p=reject; sp=none _dmarc.qualitia.co.jp TXT v=DMARC1; p=reject _dmarc.sub1.qualitia.co.jp TXT v=DMARC1; p=none _dmarc.sub2.qualitia.co.jp TXT v=DMARC1; p=none ....

  80. QUALITIA CO., LTD. All Rights Reserved. まだ出ない!

  81. QUALITIA CO., LTD. All Rights Reserved. はまりポイント4 •illustratorのSVG Tiny1.2出力そのままでは動かない <?xml

    version="1.0" encoding="utf-8"?> <svg version="1.2" baseProfile="tiny" id="レイヤー_1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0px" y="0px" viewBox="0 0 349.8 349.8" xml:space="preserve"> <title>qualitia.co.jp</title> <rect fill="none" width="349.8" height="349.8"/> <path d="M31.9,1 ... 102.3"/> <g> </g> <g> </g> </svg> 削除 追加 削除

  82. QUALITIA CO., LTD. All Rights Reserved. はまりポイント5 •なんか背景が灰色になっている fastmailでは透明背景は灰 色になるみたい

    ダークモードとかあれば黒 文字のロゴは見えないかも 解決策 •背景を白く塗りました

  83. QUALITIA CO., LTD. All Rights Reserved. やっとできました •やっとできました Authentication-Results: mx2.messagingengine.com;

    ... snip ... bimi=pass header.d=qualitia.co.jp header.selector=default; ... snip ...

  84. QUALITIA CO., LTD. All Rights Reserved. が

  85. QUALITIA CO., LTD. All Rights Reserved. 商標登録の早期審査選定結果 まだまだ道は長そうです

  86. QUALITIA CO., LTD. All Rights Reserved. VMC付きの場合の結果 •SmartHRさんの場合 Authentication-Results: mx5.messagingengine.com;

    ... snip ... bimi=pass header.d=smarthr.co.jp header.selector=default policy.authority=pass policy.authority-uri= https://smarthr.co.jp/assets/images/bimi/smarthr_inc.pem; ... snip ...

  87. QUALITIA CO., LTD. All Rights Reserved. まとめ ロゴを表示するには •Header From,

    Envelope Fromを揃える •SPF, DKIM, DMARCを厳しいポリシーで設定 •ロゴをSVG Tiny P/Sで作成 •ロゴの公開 •BIMIレコードをDNSに記述 •ロゴを登録商標する •VMCを購入 •証明書を公開 この後、さっそくやってみましょう!