DNSとメール

Similar documents
PowerPoint プレゼンテーション

AWS からのメール配信の選択肢 1. EC2 上に Mail Transfer Agent (MTA) を構築して配信 2. Amazon Simple Service (SES) の利利 用 3. 外部 配信サービスの利利 用 3. については AWS 特有の 手順はない

PowerPoint プレゼンテーション

ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

DNSの負荷分散とキャッシュの有効性に関する予備的検討

マーケティングメールやビジネスメールにおけるDMARCの活用事例 公開版_3

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

( )

Microsoft PowerPoint - s03-水越賢治-IW2011-S3DKIM-3 [互換モード]

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

送信ドメイン認証 導入指南 2018

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

SMTP FP Mail MX /

DNSSEC性能確認手順書v1.2

導入ドキュメント

DNSSECの基礎概要

Microsoft PowerPoint - private-dnssec

導入ドキュメント

DNS DNS 2002/12/19 Internet Week 2002/DNS DAY 2

Microsoft PowerPoint - BIND9新機能.ppt

目次 1. はじめに 2 2. ドメイン名の移行に伴う変更箇所について 3 3. スケジュールについて 4 4.DNS サーバー /DNS レコードの設定要否について 5 5. ドメイン名 DNS サーバーの管理元を確認する方法について 6 6.DNS サーバーの設定 7 7.DNS レコードの設定

スライド 1

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える

examp examp 1 1 SPF le. jp le. jp DNS IP (MX ) 1) SMTP IP 2) SMTP MAIL FROM SMTP EHLO 3) SPF RR IP 4) 1) 3) 2

nifty.com ドメイン名 /DNS の移行につきまして ( ビジネスメール ) 富士通クラウドテクノロジーズ株式会社

antispam_conf_141008_1.pptx

初心者のためのDNSの設定とよくあるトラブル事例

DNSのセキュリティとDNSに関する技術

2 注意事項 教材として会場を提供していただいている ConoHa さんのドメイン名とその権威ネームサーバを使 用しています conoha.jp ns1.gmointernet.jp

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 レコードタイプ... 2 初期ゾーン... 3 コントロールパネル操作メニュー一覧 コントロールパネル ユーザ認証 ドメイン所有者確認

目次 1. サービス概要 提供機能... 2 DNS ゾーン... 2 正引き 逆引き... 2 権威ネームサーバへの反映... 2 レコードタイプ... 2 初期ゾーン... 3 GUI 操作メニュー一覧 エンドユーザ GUI ユーザ認証... 4

DNSOPS.JP BoF nginxを利 した DNS over TLS 対応フルリゾルバの作り ( 株 ) ハートビーツ滝澤隆史

DNSを「きちんと」設定しよう

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

MUA (Mail User Agent) MTA (Mail Transfer Agent) DNS (Domain Name System) DNS MUA MTA MTA MUA MB mailbox MB

058 LGWAN-No155.indd

−uDNSƒzƒXƒeƒB?ƒOƒT?ƒrƒX−v??ƒU?ƒ}ƒj?ƒA?_

PowerPoint プレゼンテーション

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

スマート署名(Smart signing) BIND 9.7での新機能

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

Zone Poisoning

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

JPRS JANOG13 1. JP DNS Update 2. ENUM (ETJP) 3. JP ( ) 3 1. JP DNS Update

untitled

DNSにおけるキャッシュ汚染攻撃

untitled

PowerPoint プレゼンテーション

当社は 7-dj.com DNS アウトソーシングサービス に加入したく 7-dj.com インターネットサービス規約を承認の上 下記の通り申込みます 初期費用 月額費用は貴社の指定する課金方法にて支払います お申込者申込年月日年月日 フリガナ 法人名 フリガナ ご住所 フリガナ 連絡担当者氏名 (

HDE Controller X 1-5. DNS サーバー

PowerPoint プレゼンテーション

HENNGE One HENNGE DLP 移行作業手順書 HENNGE DLP( 旧基盤 ) ご利用中のお客様向け資料 発行日 :2019 年 2 月

MRS-NXシリーズご利用ガイド

Transcription:

Internet Week 2013 DNS DAY DNS とメール - 送信ドメイン認証の普及に伴う DNS の負荷影響 - Genki Yasutaka E-mail: genki.yasutaka@mail.rakuten.com

自己紹介 氏名 : 安髙元気 ( やすたかげんき ) 所属 : 楽天株式会社 最初は メールシステムの開発 運用に従事 DKIM 等の送信ドメイン認証技術を導入 Japan DKIM Working Group(dkim.jp) に参加 メール運用に関する社内レギュレーションを規定 その後 DNS チームに異動 DNS の保守運用 ドメイン管理やドメイン設計の技術的なサポート 2

Agenda 1 送信ドメイン認証の考え方とその仕組み 2 権威 DNS サーバへのクエリと負荷 3 キャッシュ DNS サーバへのクエリと負荷 4 まとめ 3

1 送信ドメイン認証の考え方とその仕組み 4

近年の迷惑メール対策 1. 送信させない 2. 受信しない 3. 見せない OP25B 指定ドメイン制限 迷惑メールフィルタ ( ヒューリスティック URL ) レート制限 ブラックリスト IP レピュテーション Outbound Antispam ハーベスティング対策 マルウェア対策 これでも すり抜けるメールがある 5

近年の迷惑メール対策 4. 見分ける / 見せる 送信ドメイン認証 なりすましメールかどうかを見抜く - 差出人 は詐称できる - 確かにそのドメインから送信されていることを機械的に照合する - ドメインをなりすまして送信しても 受信時に見破ることが出来る SPF IP アドレス方式 DKIM 電子署名方式 送信ドメイン認証 がトレンド 送信ドメイン認証全体の精度を高めるためには SPF と DKIM をそれぞれ異なる技術を組み合わせて使うことが必要 6

送信ドメイン認証に関連する主な技術 制御 DMARC DKIM- ADSP (RFC5617) 送信ドメイン認証 Sender ID (RFC4406) SPF (RFC4408) DKIM (RFC6376) DKIM ATPS (RFC6541) 送受信 DNS (RFC1034 ) SMTP (RFC5322 ) DNSSEC (RFC4033 ) DMARC http://www.dmarc.org/ SPF/DKIM 認証レポートの送信 認証結果 (SPF, DKIM) に不整合が生じた場合の取り扱いポリシーの宣言 none, "quarantine, "reject" DKIM-ADSP RFC 5617 (Standards Track) DKIM の認証失敗時の取り扱いポリシーの宣言 unknown, all, discadable 7

送信ドメイン認証の仕組み 送信者 MSA 送信側の対応 Sign 受信者 MTA 受信側の対応 Verify 送信側と受信側でそれぞれ対応が必要 8

送信ドメイン認証の普及課題 送信者 MSA 送信側の対応 Sign 受信者 MTA 受信側の対応 Verify Sign/Verify どちらが先? 問題 Verify ( 検証 ) してないから Sign ( 署名 ) しない Signature ( 署名 ) がないから Verify ( 検証 ) しない 優先 注 ) 課題はこれだけではありません 9

SPF の普及状況 ( 送信側 ) 総務省の統計 http://www.soumu.go.jp/main_content/000254522.pdf JP ドメインにおけるドメイン認証技術の普及率 * 43.89%(2012/5) 90% SPF の普及率は 90 % 超 ( 流量比 ) (*) http://member.wide.ad.jp/wg/antispam/stats/index.html.ja 10

DKIM の普及状況 ( 送信側 ) 総務省の統計 http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/p df/120726_3.pdf JP ドメインにおけるドメイン認証技術の普及率 * 0.50%(2012/5) 40% 急増 2011 年から DKIM の署名率は増加して 40 % 超 ( 流量比 ) (*) http://member.wide.ad.jp/wg/antispam/stats/index.html.ja 11

DKIM の動作 example.jp の管轄範囲 Sign Mail MSA RSA 鍵ペア生成 秘密鍵は MSA に設置 公開鍵問い合わせ DNS Authority DNS Cache Mail MTA Verify 公開鍵はそのドメインの権威 DNS サーバに TXT RR( テキストレコード ) として設置する MailBox 12

各 TXT RR の例 SPF mail.rakuten.co.jp. IN TXT "v=spf1 include:spf01.rakuten.co.jp include:spf02.rakuten.co.jp ~all DKIM dkim20101115._domainkey IN TXT "v=dkim1; g=*; k=rsa; p=migfma0gcsqgsib3dqebaquaa4gnadcbiqkbgqc42q2gmh+fscu3z/jqa2m aku1nxh18fgprtdlgg6wq+dm0snh4dzhzasufnd3kg3v7utewyhpvojcsaen+lu HHZXTBBMJ4yqBuNphtD+QZhGgrlqAwFH4hBJII7q05cCNCEP+XFwijYuO95FOSAvt n4a9ocagbs2gwiw9ul841mwidaqab" DMARC _dmarc.emagazine.rakuten.co.jp. IN TXT "v=dmarc1 ; p=none ; rf=afrf ; rua=mailto:dmarc-report-a@rx.rakuten.co.jp ; ruf=mailto:dmarc-reportf@rx.rakuten.co.jp 13

送信ドメイン認証の仕組みで気になる DNS の影響 Mail Sign MSA 1 2 DNS Authority DNS Cache Mail MTA Verify 1 キャッシュ DNS サーバから権威 DNS サーバへのクエリ 2 Verify する MTA から DNS キャッシュサーバへのクエリ 14

2 権威 DNS サーバへのクエリと負荷 15

送信ドメイン認証の仕組みで気になる DNS の影響 Mail Sign MSA 1 DNS Authority DNS Cache Mail MTA Verify 1 キャッシュ DNS サーバから権威 DNS サーバへのクエリ 16

Query Type の内訳 楽天の権威 DNS サーバへのクエリ状況 A AAAA CNAME PTR MX TXT Other 2013/11/2-2013/11/8 のクエリで算出 MX RR と TXT RR のクエリ数はそれぞれ 1% 未満 メール関連のクエリ数はあまりなく 影響はそれほどない 17

送信ドメイン認証 /DKIM の普及状況 ( 受信側 ) 送信者 MSA 送信側の対応 Sign 受信者 MTA 受信側の対応 Verify SPF 90% ( 流量比 ) DKIM 40% ( 流量比 )? ( 公表されていない ) DNS 保守運用者が気になるのはこっち 18

送信ドメイン認証 /DKIM の普及状況 ( 受信側 ) 仮説 TXT RR / MX RR (TXT RR の IP アドレスのユニーク数 / MX RR の IP アドレスのユニーク数 ) 受信側の送信ドメイン認証対応の普及率 楽天のメールは送信ドメイン認証に対応済み 楽天のメールはメールの配信先が不特定多数 19

送信ドメイン認証 /DKIM の普及状況 ( 受信側 ) 検証 MX RR のユニーク数を 100 とした場合の DKIM と SPF の TXT RR SPF DKIM 37.5 25.0 22.5 15 10 2013/11/2-2013/11/8 のクエリで算出 SPF も DKIM も送信側の対応に比べるとまだまだ 受信側の対応は SPF も DKIM もこれから本格化する 20

ここまでのまとめ 送信ドメイン認証は送信側が対応して普及した DKIM は署名率の普及が先行 受信側もこれから対応が進む 受信側の MTA からの TXT RR の増加する キャッシュ DNS サーバへの影響は? 21

3 キャッシュ DNS サーバへのクエリと負荷 22

送信ドメイン認証の仕組みで気になる DNS の影響 Mail Sign MSA 2 DNS Authority DNS Cache Mail MTA Verify 2 Verify する MTA から DNS キャッシュサーバへのクエリ 23

検証概要 次の条件でキャッシュ DNS サーバ単体の負荷影響を検証 DNS Server 加負荷機 Query DNS Cashe OS Software ( 全て OSS) CentOS6.4 bind-9.9.4 Pattern DKIM verify 鍵長 (packet size) EDNS0 1 しない 2 する 1024bit 3 2048bit (< 512 byte) 4 2048bit (> 512 byte) ON 5 OFF EDNS0 = Extension Mechanisms for DNS 24

MTA からキャッシュ DNS サーバへのクエリ Pattern 1. DKIM verify しない ( 通常メール受信時のクエリ ) Cnt Query 1 送信元 IP を逆引き 2 逆引きしたホスト名の A レコードの問い合わせ 3 送信元ドメインの AAAA レコード問い合わせ 4 送信元ドメインの A レコード問い合わせ 5 送信元ドメインの MX レコード問い合わせ Pattern 2-5. DKIM verify する Cnt Query + 6 DKIM TXT record の問い合わせ

Test Case (Case 1) 鍵長が 長く なることによる影響 Pattern 1 3 で比較 (Case 2) 鍵長のサイズが 512byte 超えることによる影響 Pattern 4 5 で比較 Pattern DKIM verify 鍵長 (size) EDNS0 1 しない 2 する 1024bit 3 2048bit (< 512 byte) 4 2048bit (> 512 byte) ON 5 OFF EDNS0 = Extension Mechanisms for DNS

(Case 1) 鍵長が 長く なることによる影響 27

1-1. Query 処理性能 Pattern DKIM verify 結果 ( 鍵長が 長く なることによる影響 ) 鍵長 Query/msg 想定 msg/s QPS Ave latency (us) 1 しない 0bit 5 2,000 10,000 193.435 2 する 1024bit 6 2,000 12,000 200.790 3 する 2048bit 6 2,000 12,000 200.837 Average Latency(usec) 300.000 250.000 200.000 150.000 100.000 50.000 0.000 1.03802 倍 1.00023 倍 193.435 200.790 200.837 P-1 P-2 P-3 1. dkim-verify しない 2. 1024bit 3. 208bit 鍵長が 長く なるとレイテンシが大きくなる 28

結果 ( 鍵長が 長く なることによる影響 ) 1-2. DNS Status ( クエリの内訳 ) P-1 P-2 P-3 クエリの回数は DKIM Verify 時の TXT RR が増える 鍵長の 長さ はクエリの回数に関係ないので変わらない 29

1-3. Interface Traffic 結果 ( 鍵長が 長く なることによる影響 ) P-1 P-2 P-3 Incoming Traffic は変わらない Outgoing Traffic は鍵長が 長く なると増加する 30

結果 ( 鍵長が 長く なることによる影響 ) 1-4. System Status (named CPU 使用量 ) Pattern DKIM verify 鍵長 %CPU 1 しない 0bit 45.91 2 する 1024bit 49.18 3 する 2048bit 52.46 P-1 P-2 P-3 鍵長が 長く なると CPU 使用率は高くなる 31

(Case 2) 鍵長のサイズが 512byte 超えることによる影響 32

結果 ( 鍵長のサイズが 512byte 超えることによる影響 ) 2-1. Query 処理性能 Pattern EDNS0 Query/msg msg/s QPS Ave latency (us) 4 ON 6 1,933 11,600 210.239 5 OFF 6 1,917 11,503 239.305 Averrage Latency(usec) 300.000 250.000 200.000 150.000 100.000 1.138252 倍 239.305 210.239 P-4 P-5 50.000 0.000 4. EDNS0 ON 5. EDNS0 OFF TCP フォールバック分 レイテンシが大きくなる 33

結果 ( 鍵長のサイズが 512byte 超えることによる影響 ) 2-2. DNS Status ( クエリの内訳 ) P-4 P-5 クエリの回数は TXT RR が 1 回から 2 回に増える 34

結果 ( 鍵長のサイズが 512byte 超えることによる影響 ) 2-3. Interface Traffic P-4 P-5 Incoming Traffic は TCP フォールバックで増える Outgoing Traffic も同様 35

結果 ( 鍵長のサイズが 512byte 超えることによる影響 ) 2-4. System Status (named CPU 使用量 ) Pattern EDNS0 %CPU 4 ON 52.45 5 OFF 51.00 P-4 P-5 CPU 使用率は EDNS0 の処理がないため下がる 36

今回の課題 ( 継続検証に向けて ) Case1 で EDNS0 の ON/OFF の検証 セッション数の UDP と TCP の差を確認する BIND のバージョン差異や BIND 以外のソフトウェアで検証する Unbound など 実際のメール受信処理環境で検証する MTA のソフトウェアも選択肢がある ex.) ENMA 37

4 まとめ 38

まとめ これから送信ドメイン認証 /DKIM は受信側の対応が進む DKIM は署名率の普及が先行 受信 MTA からキャッシュ DNS サーバへのクエリが増える キャッシュ DNS サーバへの影響を確認する 39

今回の検証の考察と課題 (Case 1) 鍵長が 長く なることによる影響 Pattern DKIM verify 鍵長 Ave latency (us) %CPU 1 しない 0bit 193.435 45.91 2 する 1024bit 200.790 49.18 3 2048bit 200.837 52.46 一通あたりの DNS Query 応答が遅延する 1 2: 1.03802 倍 (3.8% up) 2 3: 1.00023 倍 (0.023% up) CPU 使用率は増える 1 2: 1.07129 倍 (7.1% up) 2 3: 1.06654 倍 (6.7% up) 40

今回の検証の考察と課題 (Case 2) 鍵長のサイズが 512byte 超えることによる影響 Pattern EDNS0 Ave latency (us) %CPU 4 ON 210.239 52.45 5 OFF 239.305 51.00 一通あたりの DNS Query 応答が遅延する 4 5: 1.138252 倍 CPU 使用率は少し減る 4 5: 0.97220 倍 41

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック