Upgrade to Pro — share decks privately, control downloads, hide ads and more …

A16_Meeting for Japanese ISPs (Part 2)

JPAAWG
November 15, 2019
350

A16_Meeting for Japanese ISPs (Part 2)

JPAAWG

November 15, 2019
Tweet

Transcript

  1. 2 ソフトバンク株式会社 ネットワーク運用本部 プラットフォーム運用統括部 サーバプラットフォーム運用部 プラットフォーム運用1課 北崎 恵凡 Kitazaki Ayachika SRE 一般財団法人

    インターネット協会 迷惑メール対策委員会 副委員長 一般財団法人 日本データ通信協会 迷惑メール対策推進協議会 構成員 モデレータ
  2. ▪割と何でも屋に近い、開発もする運用担当
 ▪1999/4~ DTI
 ▪ISPのサーバサービス全般
 ▪ DNS, Radius, WWW, Mail, …

    (NWと顧客DB以外何でも)
 ▪調達関係、対外接触、データセンタ構築運用
 ▪入社3日目に新データセンタ構築にアサインされる
 ▪2007/8~ freebitに買収され、遊撃隊仕事
 ▪その中でGmail対抗メールサービスの開発・構築・運用
 ▪2015/5~ freebitに転籍
 ▪現在はOEM向けメールサービスとDNS担当
 ▪DTIのISPサーバサービス運用も引き続き担当
 5 自己紹介

  3. JPAAWG 2nd General Meeting ソニーネットワークコミュニケーションズ株式会社 © 2019 Sony Network Communications

    Inc. 【A-16】再び!メールサービスを支える運用者の集い(後半) 『新しい技術への追従はどうしていますか?』
  4. 自己紹介 8 名前: ニコライ ボヤジエフ 出身: ブルガリア 《България》 IDN ccTLD: бг (xn--90ae)

    所属: 株式会社コミュニティネットワークセンター (CNCI)   技術本部 サーバグループ 担当: メール、DNS、ストレージ、ネットワーク、仮想化 etc. etc. サーバインフラの企画・構築・運用やってます       複数の帽子をかぶってます 在日ブルガリア人: 300人未満!
  5. 21 ・SPAMHAUSからのxBL登録通知 ・ReturnPath Postmaster ・Outlook.com SNDS (Microsoft JMRP) ・Abuse@メールドメイン宛の申告 ・情報交換スキーム

    ・自社なりすまし (事例) CNCI ニコライさん Q6. レピュテーション管理 はどうしていますか?
  6. ▪クラウド化は手段。あなたの目的は?
 ▪単純なP2V+従来型の設計
 
 
 ▪クラウドサービスを使ってゼロから設計
 ▪注意すること
 ▪必要な性能が保証できるか?
 ▪ 制御できない要因: 見えない同居人の影響


    ▪ Disk I/Oの帯域・レイテンシは管理されてないことがある
 ▪ ネットワークのパケットがソフトで運ばれる
 ▪障害の発生パターン(=基盤の構成)の想定
 ▪ 不意に落ちることはある
 ▪ 影響範囲の管理: その冗長系は本当に冗長か?
 設備のクラウド化(一般論)
 25
  7. ▪メールサービスの性質
 ▪メールストアは単系イメージ
 ▪ 大きなドメインで配送/アクセス系が 複雑化
 ▪だいたいDisk I/Oが性能ネック
 ▪ 容量よりメッセージ数
 ▪

    流入量を制御できない
 ▪ しかもローカリティがない
 ▪ 整合性を固くするとI/O増
 ▪ アカウントDBもネックに
 ▪基盤によっては他の課題も
 ▪ 時計ずれやすかったり
 ▪ FWやLBの仕様・挙動
 フリービットの場合
 ▪ よかったこと
 ▪ 調達・構築・運用の容易化(物理の 管理主体分離) ▪ 頑張ればデプロイまで自動化可
 ▪ 設備集約
 ▪ 予備リソースのシェア
 ▪ 総コスト低減
 ▪ 悪かったこと
 ▪ 結局基盤構造は気にする
 ▪ 気軽に集約しすぎ問題
 ▪ 全負荷でないと発生しない問題
 ▪ Disk I/Oレイテンシ悪化
 ▪ キャッシュの性能・更新挙動とか
 ▪ 巨大化するインデックス
 ▪ IPアドレス沢山必要
 ▪ 改造OSSの最新版追従
 26
  8. ソニーネットワークコミュニケーションズ株式会社  ISP事業部サービス2部 2019/11/15 29 例)DMARC DMARCの2つの機能: 1) SPF/DKIM検証のエラー状況・統計情報のレポーティング機能 2) SPF/DKIM検証失敗メールの取扱いを送信者側が指定する機能

    いますぐ書こう、DMARC: _dmarc.example.jp IN TXT “v=DMARC1; p=none; rua=mailto:[email protected]” 受信メール例: Authentication-Results: ...; dmarc=fail action=...; ←この場合、『DMARCレコードが見つかり、送信者のポリシーに適合しなかった』と いうことがわかる
  9. ソニーネットワークコミュニケーションズ株式会社  ISP事業部サービス2部 2019/11/15 30 「メールソフトの振り分け機能等へ設定いただきご活用ください」 具体的にどうする? 「DMARC」対応ISPを利用しているユーザが Outlookを使っている場合: 1. 自動仕分けウィザード

    > テンプレートからルールを作成 > 特定の人から受信したメッセージを移動する > 新しいルールを作成 > 受信メール用に…… 2. 自動仕分けウィザード > 条件を指定してください > 「メッセージヘッダーに特定の文字列が含まれる場合」 > 文字の指定 > dmarc=fail 3. 自動仕分けウィザード > メッセージに対する処理を選択してください > 指定フォルダへ移動する > 迷惑メール みたいなことをすればメールを削除することなく「受信トレイ」から見えなくすることができる Office365の管理者の場合: - [Office 365 でのスプーフィング対策保護 | Microsoft Docs](https://docs.microsoft.com/ja-jp/microsoft-365/security/office-365-security/anti-spoofing-protection) を見て『スプーフィング対策の設定』を見つけ、自組織を守る対応を行う
  10. ソニーネットワークコミュニケーションズ株式会社  ISP事業部サービス2部 2019/11/15 31 RFC 7489 DMARC (March 2015) RFC

    7489が発行されてからもうすぐ5年 • 送信者がDMARCレコードを公開しない • 受信者がDMARC検証結果をレポートしない
  11. 40 ・SPAMHAUSからのxBL登録通知 ・ReturnPath Postmaster ・Outlook.com SNDS (Microsoft JMRP) ・Abuse@メールドメイン宛の申告 ・情報交換スキーム

    ・自社なりすまし (事例) CNCI ニコライさん Q6. レピュテーション管理 はどうしていますか?
  12. 攻撃対策の自動化 41 1) 同じIDで複数国からの打ち込み対策 • 海外フラグ無効化 2) 同じIDで単一IPからの打ち込み対策 • IDの流量制限

    3) 認証なしの打ち込み対策 • IPの流量制限 4) 同じIPからのパスワード攻撃対策 • snowshoe型リスト攻撃 (POP/IMAP/SMTPA) が多い • IPブロック