そのメール、ちゃんと届いていますか？DMARC・DKIM・SPFをしっかり運用管理してドメインの信頼を守る

そのメール、ちゃんと届いていますか？・・をしっかり運用管理してドメインの信頼を守る株式会社平野善隆

自己紹介名前平野善隆所属 Hornetsecurity株式会社 (旧Vade Japan) Principal Messaging
Engineer 好きなメール、DNS、Python、Go 技術 AWS、Serverless 趣味長距離の自転車大会(1,200kmとか、2,000kmとか) バンド演奏主な活動 M3AAWG JPAAWG 迷惑メール対策推進協議会 Audax Randonneurs Nihonbashi

とは設立 2009年、フランス共和国リールにて設立 2024年 3月ドイツ Hornetsecurityのグループとなる 2017年に日本市場に参入。日本国内にスレットセンター設立約700名
ドイツ、フランス、アメリカ、カナダ、スペイン、イギリス、イタリア、北マケドニア、マルタ、日本拠点社員数国内エンドユーザ約75,000社／パートナー 12,000社顧客数

保護しているメールボックス数億全世界億日本

• 運用の全体像 •なぜ今が必要なのか • の仕組み •設定の落とし穴 • でできること •メールに自社のロゴを表示する
•脱と暗号化 •まとめもくじ

安定運用までの流れやを設定ポリシーをに設定レポートの分析設定に問題がないことを確認ポリシーを
に設定レポートの分析設定に問題がないことを確認問題があれば正しく設定対応全体の全体の全体の全体の全体の全体の

大阪の出展社のみなさんの割合やを設定ポリシーをに設定レポートの分析設定に問題がないことを確認ポリシーを

東京の出展社のみなさんの割合やを設定ポリシーをに設定レポートの分析設定に問題がないことを確認ポリシーを

•なりすましを防ぎたい ⇧ 受信者の理屈 •メールを届けたい •受信者がやれというから仕方がない ⇧ 送信者のモチベーションが必要な理由

年月日米が大量送信者に厳しくすると発表を書いていないとメールを受けないぞ！

なぜが必要なのか

•なりすましを見抜けるようにする仕組み • • なりすましたメールが届かないようにする • • なりすましたメールも届くようにするとは

登場人物有名なドメインでもないのでなりすまされていない。知らんがなよくドメインがなりすまされているなんとかしないとなぁふふふ、フィッシングをばんばん送ってもうけるぜ商店
会社悪い人

のなかった世界

ドメインの評価のなかった世界会社商店悪い人商店会社会社悪い人良い
ドメイン悪いドメインめちゃ悪いドメイン

ドメインの評価のなかった世界会社会社会社悪いドメイン受信者としてはなりすまされているのか悪い人のドメインなのか
区別が付かない

のある世界

の世界会社商店悪い人商店会社会社悪い人全員がの世界では、誰も
なりすましできない

ドメインの評価の世界会社商店悪い人商店会社会社悪い人悪いメールを送るのは
悪いドメインだけ良いドメインめちゃ悪いドメイン良いドメイン

ではない場合

ドメインの評価を使わないと古い会社古い商店古い悪い人古い商店古い会社古い会社古い悪い人を使わなければ
良いドメインとは言い切れないめちゃ悪いドメインなしなし悪いドメインなしよくわからないけど、まぁ、届く

ドメインの評価では古い会社古い商店古い悪い人古い商店古い会社古い会社古い悪い人を使っても
では意味がないよくわからないけど、まぁ、届くめちゃ悪いドメイン悪いドメインでなければ良いドメインとは言い切れない

攻撃者はではないドメインを狙う古い会社古い商店古い商店古い会社古い会社なりすましのターゲットにされるめちゃ
悪いドメイン悪いドメイン古い商店

でなければメールが届かなくなる古い会社古い商店古い商店古い会社古い会社なりすましのターゲットにされるめちゃ悪い
ドメイン悪いドメイン古い商店

•攻撃者はの設定が弱いところをなりすましてメールを送る。なぜが必要なのか会社のメールが届かなくなる会社のブランドイメージが毀損する会社に問い合わせが来るでは不十分

メールの対策 SPFかDKIM、もしくはDMARCの認証を導入・判定クリアしていないメールは迷惑メールと判定したり、受信を拒否したりする場合があります。（2024年12月時点）

•スパムメールを配信するようなドメインからは受けたくない •なりすまされている可能性のあるメールは受けたくない ➔ にしてほしい受信サーバーの管理者の立場として

の仕組み

• ・の検証が両方失敗したときにどうして欲しいかを宣言する仕組み •ただし、やのドメインはヘッダのドメインと同じであることとは

とは自社メール配信業者悪い人確認アドレスを登録送信送信送信
③ ② ① ④ ⑤

とはメール配信業者悪い人確認登録送信送信送信預けるハンコがない
送信元も改ざんされていないなりすましているかも ③ ② ① ④ ⑤ ⑥

• • ヘッダの送信者メールソフトに表示されるアドレスは参照しない • •署名者は誰でもいい悪い人でも署名できる •
ヘッダの送信者とは関係ないなぜだけではだめなのか

はなりすませる自社メール配信業者悪い人確認登録送信送信送信
確認登録

もなりすませるメール配信業者悪い人確認登録送信送信送信預ける
送信元も改ざんされていない確認送信元も改ざんされていない改ざんなりすまし

• の • 通常のに加えて •ヘッダのドメインがのドメインと同じ • の
•通常のに加えて • ヘッダのドメインが署名者と同じの悪い人は送信ドメインのなりすましではきない

実際の設定

•「何をやったらいいのかさっぱりわからない」 •「用語だけで頭が爆発しそう」 •「DNSパパッと書くだけだよ」 •「ちょっと勉強すればすぐ慣れる感じやね」 •「ミスするとめんどくさいから、慎重にやった方がいいよ」の設定は難しい？

の設定

• のレコードにメール送信サーバーのアドレスを記述 •別のレコードをすることも可能の設定方法 •送信サーバー：
•配信事業者の指定の

どのレコードが正しいですか

どのレコードが正しいですか × × × ×

の設定は難しいあり設定ミスなし

よくあるの間違い

レコードが複数登録されているレコードはつしか書けません

文法間違い空白がないが回あるになっているスペースは不要不要なのスペルミスピリオドではなくコンマ
別のレコードが混ざっている

• はの参照が回までしかできないの数の制限

の参照は何回でしょう回

の参照は何回でしょう回 ③ ② ① ④

ドメイン東京の出展社のの参照回数上限超え

• はが存在しない場合、エラーになるのができない場合 v=spf1 include:ok1.example.jp include:ng.example.com include:ok2.example.jp -all
は参照されない回までは許容される

• のドメインを購入 • に自分のサーバーのを記述 • をなりすまして送信 example.jp TXT
“v=spf1 include:spf1.example.jp include:spf2.example.com –all” の書き間違い

を設定したと思っているけど期待通り動作していない

簡易診断やってます

の設定

受信サーバがメールを受けたとき、のまたはが失敗した。このときにどうして欲しいか •受信拒否 •隔離 •なにもしないレポートの送信先書くことはこれだけ

• • • • よくある設定ミス

• • • • よくある設定ミス謎のピリオド「」は最初に書く方がいい

設定の簡易診断やってます秒でできます

安定運用までの流れ

•設定の文法がわからない • の設定部署が別で、変更に時間がかかる • の参照が回を超える • で十分だと思っている •送信サーバや配信事業者が把握し切れていない
ので怖くてにできない • レポートの見方が分からない運用でよく困るところ

の紹介

• などのの設定支援 • の回以上参照問題の解決 • レポートのわかりやすい分析 • のロゴ、証明書ホスティング
• のポリシーホスティングの特長

設定は大変サーバーメールセキュリティやブランドの管理者の管理者の設定・変更設定依頼にサーバー追加してよちょっと立て込
んでるから、来週まで待ってで、具体的にどう書けばいいのえ、わからないんだけどレコードは書くけど、その中身は分からないよえー、じゃ調べるよないとき

の設定支援サーバーなどで転送設定メールセキュリティやブランドの管理者わかりやすいの管理者最初に回だけ
設定などのレコードはここで自動生成あるとき

の設定画面あるとき設定ミスしようと思ってもできないコメントも残せます

のの参照回数制限 ③ ② ① ④ ⑤ ⑥ ⑦ ⑧
⑨ ⑩ ⑪ ないとき

フラットニングがアドレスに展開あるとき

•メールに添付されて送られてくる •形式は • やで圧縮されている •あちこちから送られてくる •あまり欲しい情報が書かれていない • 送信メールアドレス、件名などはない。レポートは難しい
ないとき

レポートの例ないとき送信元のの結果ヘッダのドメインの結果

わかりやすい分析画面だめ送信毎に表示あるとき

詳細を展開送信した国送信ホスト名送信元あるときだめ

実際の例これは自分のメールサーバー結構失敗してる

失敗してる部分の詳細このはにもいれてあるレンタルサーバーのホスト名だ

さらに詳細はドメインが違うのでのは署名なし届いていない失敗

何が起きていたのかメールサーバーサーバー正しいドメインのレンタルサーバーのドメインのワードプレスのフォームからのお知らせメール

無事がしました受信者が転送した

配送状況も確認できます配送された転送も配送されたなりすましなので配送されなかった

状態に変化があったらアラートが来ます

メールにロゴを表示する

似たようなドメインでなりすます会社会杜会社会杜もももバッチリだぜ杜会社
悪い人会社悪い人

• などでロゴが表示される • が必要 •登録商標が必要 • 証明書が必要 • の登録
•配布用サーバの用意

ロゴと証明書を簡単に管理・配布

脱と暗号化

送信者に依頼するうち、暗号化が必須なので、にパスワード付けて送ってくださいね。了解。です！

送信サーバーに依頼するうち、暗号化が必須なので、で暗号化せずに送らないでくださいね了解。です！

•配送したかどうかのレポート送信先をに記述 • にを使うことを記述 • サーバーにポリシーを記述 • サーバーに受信メールサーバ一覧を記述設定はやや複雑
• の証明書必須 • が決まっている • ファイルのも決まっている •

でのどのポリシーにするかを選ぶだけ

状況のレポートも見れます

まとめ

• の運用はを継続的に維持することが大切 • で管理を分離しよう • で設定ミスを撲滅しよう • で自信を持って
にしよう • で安心してを維持しようまとめ

質問はこちらまで！資料

そのメール、ちゃんと届いていますか？DMARC・DKIM・SPFをしっかり運用管理してドメイン...

そのメール、ちゃんと届いていますか？DMARC・DKIM・SPFをしっかり運用管理してドメインの信頼を守る

More Decks by HIRANO Yoshitaka

Other Decks in Technology

Featured

Transcript