第 12 回 迷 惑 メール 対 策 カンファレンス お 客 様 に 迷 惑 メールと 思 われない 高 速 かつ 大 量 のメール 配 信 を 実 現 するために 2015 年 10 月 9 日 遠 藤 慈 明 (パイプドビッツ) 小 早 志 康 次 (エクスペイリアンジャパン) 加 藤 理 人 (ビッグローブ) 加 瀬 正 樹 (ニフティ) 1
講師紹介 遠藤 慈明 株式会社パイプドビッツ プラットフォーム事業本部 スパイラル事業部 部長 小早志 康次 エクスペリアンジャパン株式会社 製品開発部/インフラ運用部 統括部長 加藤 理人 写真 ビッグローブ株式会社 クラウド スマートサービス事業部 主任 加瀬 正樹 ニフティ株式会社 ネットワークサービス事業部 カスタマーサービス部 今日のファシリテータを務めさせていただきます 課長 2
このセッションでは 今 日 は 送 信 側 と 受 信 者 側 の 対 決!!!! ではありません 両 者 が 取 り 組 んでいるメールシステムの 安 定 運 用 技 術 を 知 り 将 来 の 協 働 を 考 え ていくのが 目 的 です 3
アジェンダ 時 間 は2コマ 分 (40 分 2) テーマは4つ パネルディスカッション 形 式 会 場 からもご 意 見 ください 4
はじめに 5
はじめに 電 子 メールって 将 来 なくなってしまうのか?? 電 子 メールよりもライトな コミュニケーション 手 段 必 要 なメッセージが 埋 もれてしまう スパム ウイルス マルウェアの 脅 威 6
はじめに 電 子 メールのポジションが 変 化 しているのは 明 らか [ 引 用 ] Email Security Conference 2014 資 料 7
はじめに 若者 20代 にとって日常会話は LINE 40代以上だと電子メールが LINE を逆転 [引用] 平成27年版 情報通信白書 総務省 http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc122330.html 8
はじめに 頼みごと 抗議 謝罪は電子メールが多くなる 言い換えると 大事な報告は電子メールにしがち [引用] 平成27年版 情報通信白書 総務省 http://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc122330.html 9
はじめに それでもメールの利用は減っていない むしろ回答 者の約半分が 今後二年間でメールの扱い量は増える と答えている 嫌われない程度にやれば メールは依然として貴重 なマーケティングチャネルなのだ [引用] コミュニケーション サービス多様化の中でメールは今でもピンピン元気 という調査結果 http://jp.techcrunch.com/2015/08/28/20150827study-42-of-americans-check-their-email-in-the-loo/ 10
はじめに やはり ビジネスシーンでの 主 役 はメールのまま [ 引 用 ] ビジネスメール 実 態 調 査 2015( 一 般 社 団 法 人 日 本 ビジネスメール 協 会 ) http://www.sc-p.jp/news/pdf/150701pr.pdf 11
はじめに マーケティングツールとしての 電 子 メール 視 点 によっては LINE,プッシュ >>>>>> メール しかし 多 くの 人 に 能 動 的 に 伝 える 手 段 としては 今 でも 現 役 ビジネスユースとしての 電 子 メール 標 的 型 攻 撃 やなりすまし 問 題 をはらんでいる しかし 企 業 間 のコミュニケーションでは 駆 逐 されにくい いや 使 い 方 が 変 わりな がら 駆 逐 されない! 12
テーマ1 送 信 側 受 信 側 のしくみと 事 情 遠 藤 さん 小 早 志 さん 加 藤 さん 加 瀬 13
テーマ2 迷 惑 メールの 分 類 と 整 理 14
テーマ2 迷 惑 メールの 分 類 と 整 理 How 迷 惑? 無 駄? 脅 威? Whom 誰 にとって 迷 惑 なの? 迷 惑 メール あるいは スパムメール Where 技 術 的 な 視 点? 本 質 的 な 視 点? 小 早 志 さん 15
テーマ2 迷 惑 メールの 四 象 限 正 当 なメール ほ し く な い N/A ほ し い 本 質 的 には 詐 称 メールはほしくない 詐 称 メール 16
テーマ2 迷 惑 メールの 四 象 限 正 当 なメール ほ し く な い 読 まない メール フィッシング メール N/A ほ し い 詐 称 メール 17
テーマ2 迷 惑 メールの 四 象 限 正 当 なメール ほ し く な い 広 告 メール トランザクションメール N/A コミュニケー ションメール 通 知 メール ほ し い 詐 称 メール 18
テーマ2 迷 惑 メールの 四 象 限 正 当 なメール ほ し く な い 読 まない メール フィッシング メール 広 告 メール トランザクションメール N/A コミュニケー ションメール 通 知 メール ほ し い 詐 称 メール 19
テーマ2 迷 惑 メールの 四 象 限 + 対 応 技 術 安 全 なオプトアウトが 有 効 な 技 術 手 段 4 ほ し く な い 読 まない メール フィッシング メール 正 当 なメール 広 告 メール トランザクションメール N/A コミュニケー ションメール 通 知 メール 3 なりすまし 対 策 が 有 効 な 技 術 手 段 ほ し い 詐 称 メール 20
休 憩 (15 分 ) 21
テーマ3 なりすまし 対 策 とその 実 際 22
Part 1 のおさらい 正 当 なメール ほ し く な い 読 まない メール フィッシング メール 広 告 メール トランザクションメール N/A コミュニケー ションメール 通 知 メール 3 なりすまし 対 策 が 有 効 な 技 術 手 段 ほ し い 詐 称 メール 23
テーマ3 なりすまし 対 策 みなさんのシステムでは なりすまし 対 策 どこまで 対 応 が 進 んでいるのでしょうか? 遠 藤 さん 加 藤 さん 加 瀬 24
送 信 代 行 事 業 者 送 信 ドメイン 認 証 対 応 状 況 25
送 信 代 行 サービスから 配 信 されるメールの 前 提 ユーザーは 送 信 代 行 事 業 者 が 管 理 するクラウド 環 境 上 からメールを 配 信 1.envelopeFromドメイン(RFC5322) エラーメール 管 理 の 為 送 信 代 行 サービスドメイン サービス 側 で 予 め 宣 言 しているのでSPFはpass docomo-spfはヘッダfrom(rfc5321) 判 定 の 為 softfail 2.ヘッダFromドメイン(RFC5321) 受 信 者 が 直 接 目 に 触 れる 為 ユーザー 企 業 の 送 信 ドメインが 設 定 可 能 企 業 ドメインではなく サービスブランドなどのドメインの 場 合 もあり 26
送 信 代 行 事 業 者 のサービス 対 応 状 況 (1) ヘッダFromドメインの 制 限 (なりすましメール 送 信 防 止 ) - 利 用 開 始 時 に 送 信 ドメイン 検 閲 (エクスペリアン 社 ) - メール 受 信 可 能 なドメインのみ 設 定 可 能 (パイプドビッツ 社 ) docomo-spf 対 応 送 信 代 行 サービスの 送 信 元 IPは 大 量 の 為 includeしたドメインをサポートサイト 等 に 公 開 し ヘッダFromドメインのspfレコードに 宣 言 していただく 27
送信代行事業者のサービス対応状況 2 DKIM 作成者署名支援対応 利用ユーザーが作成者署名できる環境を提供 機能提供/個別対応 キーペアの生成と公開鍵ダウンロードもしくは秘密鍵の登録が可能 セレクタ ドメイン キーペア生成方法 鍵長選択 28
送信代行事業者のサービス対応状況 3 送信ドメイン認証チェック パイプドビッツ社 配信設定時にSPF/DKIM/DMARCなどで設定状況をチェック 設定が不適切な状態の場合は なりすましメールと誤解される リスクがある為 注意もしくは配信できないようにしています 29
送信代行事業者のサービス対応状況 4 海外のメール配信サービスは 基本すべての送信ドメイン認証に対応 理由 主要受信ドメインが送信ガイドラインやbest practicesを公開 Gmail https://support.google.com/mail/answer/81126 Yahoo https://help.yahoo.com/kb/sln3435.html Hotmail: http://mail.live.com/mail/policies.aspx AOL https://postmaster.aol.com/best-practices 30
送 信 代 行 事 業 者 のユーザー 対 応 状 況 送 信 側 は 受 信 事 業 者 の 制 御 対 応 に 合 わせて 対 応 する 流 れ 対 象 SPF docomo-spf DKIM ( 作 成 者 署 名 ) DMARC 状 況 100% 宣 言 envelopeが 送 信 代 行 サービスの 為 ユーザー 対 応 必 要 なし 携 帯 向 け 配 信 のユーザーは 大 体 対 応 ユーザーの 意 志 によって 宣 言 していただく 為 宣 言 率 は 不 明 で すが 宣 言 しないと 届 かないケースが 発 生 する 為 大 体 のユー ザーが 宣 言 している 2007 年 のドコモ 社 リリースがきっかけ 1% 程 度 最 近 金 融 機 関 の 宣 言 が 徐 々に 増 えている 感 覚 送 信 元 表 示 安 心 マーク 等 の 受 信 側 制 御 が 動 機 と 考 える ほとんどいない 送 信 者 メリットが 少 ない 状 況 のため 今 後 受 信 側 の 制 御 活 用 と 同 時 に 普 及 想 定 31
ISP 送 信 ドメイン 認 証 対 応 状 況 32
@niftyメールシステムのなりすまし 対 策 受 信 用 設 備 SPF/DKIM ラべリング Junk Box 他 社 システム 安 心 マーク @nifty 利 用 者 SPF/DKIM/DMARC 差 出 人 一 致 性 受 信 箱 攻 撃 者 送 信 用 設 備 33
補 足 説 明 SPF/DKIM ラべリング 安 心 マーク DMARC Reporting SPF/DKIM/DMARC 差 出 人 一 致 性 FeedBack SPF/DKIM/ADSP は 認 証 認 証 結 果 をヘッダー 記 載 信 頼 ドメインへマーク 表 示 未 実 装 未 実 装 DMARC については p=none 特 定 条 件 下 で 一 致 性 を 要 求 する 未 実 装 34
テーマ4 安 全 なオプトアウト 35
Part 1 のおさらい 安 全 なオプトアウトが 有 効 な 技 術 手 段 4 ほ し く な い 読 まない メール フィッシング メール 正 当 なメール 広 告 メール トランザクションメール N/A コミュニケー ションメール 通 知 メール ほ し い 詐 称 メール 36
テーマ4 安 全 なオプトアウト オプトアウトを 確 実 に 実 施 する 受 信 不 要 になったメールマガジンなどについては フィルタリングなど によって 受 信 拒 否 設 定 をするのではなく きちんと 登 録 の 解 除 (オプ トアウト)を 行 いましょう [ 引 用 ] 迷 惑 メール 対 策 ハンドブック http://www.dekyo.or.jp/soudan/image/anti_spam/book/14-hb14.pdf 電 子 メールにあるリンクはクリックしないように メール 本 文 中 のリンクはフィッシングサイトに 誘 導 される 危 険 がありますので URLを 直 接 入 力 してサイトを 開 きましょう [ 引 用 ] フィッシング 対 策 協 議 会 STOP!フィッシング 詐 欺 http://www.antiphishing.jp/stop_phishing/gokajou.html 37
テーマ4 安 全 なオプトアウト ユーザにとっては 迷 惑 メール 不 要 なメールは 似 たよ うなもの 安 全 にメールの 配 信 停 止 はできないもので しょうか 小 早 志 さん 加 瀬 38
送 信 代 行 事 業 者 の 安 心 なオプトアウト 39
ISPのList-Unsubscribe 対 応 状 況 国 内 での 利 用 ユーザが 多 いISPでは GmailとHotmailが 対 応 hotmailは mailto: のみ 対 応 (httpは 無 視 される) DKIM 作 成 者 署 名 でpassした 場 合 に 表 示 される Gmailの 例 40
List-Unsubscribeの 対 応 状 況 Mail Publisher 提 供 形 態 オプション 標 準 CCMP 設 定 状 況 ほぼ 未 設 定 すべてのメールに 設 定 オプトアウト 方 法 お 客 様 のシステムのオプトア ウト 空 メールのアドレス 等 を 設 定 お 客 様 のシステムでオプトア ウト オプトアウト 率 N/A 1% 未 満 オプトアウト 空 メールをCCMP が 受 信 オプトアウトと 同 じ 状 態 にス テータスを 変 更 し 次 回 から 配 信 停 止 41
List-Unsubscribeの 課 題 正 当 な 送 信 者 であることを 受 信 者 がどう 見 分 けるか 悪 意 ある 送 信 者 に 解 除 依 頼 すると メールアドレスの 生 存 確 認 に 使 われ ているかもしれない 悪 意 ある 送 信 者 は ランディングページにmalwareを 仕 掛 けているかも しれない hotmailがmailtoのみした 理 由 のひとつ 42
ISPの 安 心 なオプトアウト 43
@niftyメールの通報機能 受信箱に届いた迷惑メールを拒否 通報する機能 44
@niftyメールのオプトアウト機能 イメージ 受信箱に届いた不要メールはオプトアウト 通報 メール本文をクリックせずに オプトアウトが可能になる オプトアウト メールマガジンの 購読解除 @nifty から送信元へ購読解除を連絡します 今後 このメールアドレスへの配信は停止します 個人情報の取り扱いについて このメールはオプトアウト違反として送信元に通報しま す 通報されたメールや通報履歴は @nifty で集約を行 い 今後のメール環境の向上に利用させていただきます メールをごみ箱に移動する 45
@niftyメールのオプトアウト機能 イメージ 受信箱に届いた不要メールはオプトアウト 通報 オプトアウト メールマガジンの 購読解除 @nifty から送信元へ購読解除を連絡します 今後 このメールアドレスへの配信は停止します 個人情報の取り扱いについて このメールはオプトアウト違反として送信元に通報しま す 通報されたメールや通報履歴は @nifty で集約を行 い 今後のメール環境の向上に利用させていただきます メールをごみ箱に移動する オプトアウトしたにも関わらず 特電メールが届いた場合の 通報が可能になる 46
@niftyメールのオプトアウト 機 能 ( 雑 記 ) 1 通 ずつの 個 別 同 意 をとりやすい オプトアウトの 履 歴 はどうやって 保 持 するか オプトアウトダイアログを 出 す 条 件 はどうするか 購 読 解 除 URLへのフィッシング 対 策 はどうするか とはいうものの 投 資 がかかる メールアドレス 変 更 をした 場 合 ISPが 自 動 的 にオ プトアウトしてもいいのだろうか 47
会 場 からのご 質 問 ご 意 見 48
まとめ 49
ありがとうございました 50