Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

DMARCレポートの可視化ツールの作成と運用した結果

yjszk
July 17, 2024
75

 DMARCレポートの可視化ツールの作成と運用した結果

yjszk

July 17, 2024
Tweet

Transcript

  1. 0. 自己紹介 Yuji Suzuki(@yjszk666) Copyright © Livesense Inc. • 仕事:リブセンスでSRE的な仕事してる

    ◦ 兼務:ソリューション‧エンジニア採⽤広報 • 趣味:公営賭博、地⽅競⾺場は全部⾏った • 略歴 ◦ 無内定卒業→フリーター ▪ 占い師とか出版社で校正とか⾊々 ◦ 夜勤オペレータ ◦ SIer ◦ コンサル ◦ リブセンス • 写真は⼟佐清⽔の⾜摺岬
  2. 1. DMARCについて • 認証に合格しなかった場合のメールの処理⽅法を指定できる ◦ none(何もしない) / quarantine(迷惑メール送り) / reject(受け取らない)の3つのポリ

    シーがある ◦ その他細かいオプションがある ▪ pct(適⽤割合) / adkim(DKIMアライメントの厳密さ) / aspf(SPFアライメントの 厳密さ) など • 指定したアドレスにDMARCレポートが届くようになる ◦ 数百万⾏あるXMLが毎⽇何⼗、何百通も届くようになるので、可視化が必要 DMARCを設定するとどうなるか Copyright © Livesense Inc.
  3. 1. DMARCについて DMARCを設定するとどうなるか Copyright © Livesense Inc. こんなレポートが届きます 長いもので5百万行くらいあるものも https://github.com/domainaware/parsedmarc/blob/maste

    r/samples/aggregate/invalid_xml.xml より そのままでは読むのが辛いのでparsedmarc というOSSの解析・可視化ツールを使用します
  4. 2. DMARCレポート可視化ツールについて Copyright © Livesense Inc. 受信したメールをparsedmarcを 使ってOpenSearchに格納 OpenSearchのデータをECSで ホストしたGrafanaにて可視化

    複数事業部のデータを一元管理 し、Grafanaダッシュボードの URLをフィルタして事業部に展開 詳細は →https://made.livesense.co.jp/entry/2024/04 /02/080000
  5. 2. DMARCレポート可視化ツールについて • 事業部ごとのDMARCのパス率のダッシュボードを作り、定期的に監視 • おかしい値が⾒つかったらドリルダウンする ◦ DMARCのパス率の確認 ◦ SPF

    / DKIMアライメントのパス率の確認 ◦ SPFアライメント / DKIMアライメントの詳細 ▪ アライメントがfailしている場合ヘッダーFROM / エンベロープFROMを確認 運⽤⽅法 Copyright © Livesense Inc.
  6. 3. 活用できた事例 Copyright © Livesense Inc. 事例1 : 急にDKIMアライメントの不合格率が増加 •

    調査 ◦ 該当のメールは迷惑メールに⼊っていた ◦ Gmailのクライアントで⾒ると、DKIMが不合格となっていた • 原因 ◦ メルマガ配信システムで独⾃にDKIMを設定していたが、メルマガ配信システムのデ フォルトのDKIMを誤って選択しており、鍵が⼀致せずfailした
  7. 3. 活用できた事例 Copyright © Livesense Inc. 事例2 : ずっとDMARCがパスしない •

    調査 ◦ 設定は正しかった…が • 原因 ◦ メーリングリストによって転送されていた ▪ メーリングリストは受信したメールを参加者へ送信するため、ヘッダFromは そのままでエンベロープFromがメーリングリストになり、⼀致しなくなる ◦ ARCのpass率を調べたところ無事に送信されていることがわかった ▪ 今後のためにARC⽤のダッシュボードを作成した ARCとは DMARC 認証結 果を上書きして 転送する技術
  8. 4. 運用の課題 Copyright © Livesense Inc. DMARC Conference 2024のレポートにある⽂章が印象的だったので引⽤します。 >>DMARC

    も過去の技術がバベルの塔のように積み上がったメールセキュリティというひとき わ難易度の⾼い領域(https://scan.netsecurity.ne.jp/article/2024/07/01/51219.html) DMARCのパス率を監視しても… • レポートは1⽇1回なので後⼿の対応になってしまう • スパマーに対しては別途バウンスメールの監視とスパムメールのブロックが必要 ◦ リブセンスではこれをやっています というつらみがあります メール、⾟い