antispam_conf_1402214.pptx

Agenda 送 信 ドメイン 認 証 技 術 迷 惑 メールの 動 向 SPF DKIM 送 信 ドメイン 認 証 技 術 の 利 用 DMARC 課 題

送 信 ドメイン 認 証 技 術 (1) 基 本 的 な 仕 組 み 送 り 手 は 送 信 元 を 明 確 に 表 明 (ごまかしがきかない 情 報 を 利 用 ) 受 け 手 は 送 信 元 情 報 が 正 しく 表 明 されているか 確 認 ( 認 証 ) DNS を 利 用 することにより 外 部 の 認 証 機 関 が 不 要 メール 送 信 側 送 信 元 ドメイン のSPFレコード を 確 認 (SPF) 受 信 メールのDNS サーバから 公 開 鍵 情 報 取 得 (DKIM) DNSサーバ メールヘッダ 本 文 を 署 名 し DKIM- Signatureを 付 与 (DKIM) 送 信 者 送 信 用 サーバ (SMTP) メール 受 信 側 SPF: Sender Policy Framework (RFC4408) DKIM: DomainKeys IdenGfied Mail (RFC6376, STD76)

送 信 ドメイン 認 証 技 術 (2) 期 待 される 効 果 信 頼 できる 送 信 者 からのメールを 識 別 優 先 受 信 等 巧 妙 化 する 不 正 行 為 を 事 前 に 見 破 る 有 名 サイトを 騙 ったフィッシング 偽 のサイトへ 誘 導 し ID やパス ワードを 搾 取 信 頼 性 が 高 そうな 送 信 者 を 騙 った 不 正 プログラムの 実 行 ( 添 付 ファイ ルや 不 正 サイトへの 誘 導 ) botnet の 拡 散 spyware の 混 入 情 報 搾 取 を 目 的 とした 標 的 型 攻 撃 内 部 情 報 の 外 部 への 漏 洩 等 etc 迷 惑 メールを 判 定 するのではなく 送 信 者 情 報 を 認 証 する 技 術 メールに 関 連 する 種 々の 問 題 を 解 決 するための 基 盤 技 術

迷 惑 メールの 動 向 (1) 平 成 25 年 中 のインターネットバンキングに 係 る 不 正 送 金 事 犯 の 発 生 状 況 等 について ( 平 成 26 年 1 月 30 日 警 察 庁 広 報 資 料 ) 1,315 件, 約 約 14 億 600 万 円 と 過 去 最 大 の 被 害 特 に6 月 以 降 急 増 犯 行 等 の 状 況 被 害 口 座 は 個 人 名 義 がほとんどである 被 害 口 座 に 係 るパスワード 等 を 入 手 する 方 法 は コンピュータウイルスで 表 示 した 不 正 画 面 に 入 力 を 求 めるものが 主 ただし 11 月 以 降 メールでフィッ シングサイトに 誘 導 するものが 多 発 不 正 送 金 等 の 態 様 不 法 に 売 買 された 口 座 を 用 いて 送 金 し 出 金 役 がATMで 引 き 出 すもの~ 約 5 割 真 正 な 名 義 の 口 座 を 用 いるものの 資 金 移 動 業 者 を 介 して 不 法 に 国 外 送 金 するもの~ 約 2 割 金 融 機 関 等 の 対 策 により 被 害 状 況 が 変 化 対 策 を 講 じたことにより 夏 以 降 ほぼ 発 生 がない 金 融 機 関 もある 被 害 件 数, 被 害 額 平 成 25 年 1,315 件 14 億 600 万 円 平 成 24 年 64 件 4,800 万 円 平 成 23 年 165 件 3 億 800 万 円

迷 惑 メールの 動 向 (2) 迷 惑 メールの 動 向 電 気 通 信 事 業 者 13 社 の 協 力 により 総 務 省 とりまとめ 58.67% (2013.09, 迷 惑 メール 割 合 )

SPF の 動 向 (1) IETF spwis (SPF Update) WG (2011.11 ) MARID WG (2004-2006), Experimental RFC4405 RFC4408 (April, 2006) その 後 SPF が 広 く 導 入 されたことを 背 景 にこれまでの 経 験 を 集 約 し 仕 様 の 改 訂 を 目 指 す Standard Track 状 態 に 持 って 行 く 議 論 の 前 提 SPF は 成 功 したが Sender- ID はそうではない SPF の 仕 様 改 訂 は 間 違 いの 訂 正 利 用 していない 機 能 の 削 除 既 に 広 く 使 われ 手 いる 拡 張 の 追 加 など SPF の 拡 張 や 使 われている 機 能 の 削 除 はしない

SPF の 動 向 (2) Internet Dra\ の 概 要 dra\- ie]- spwis- 4408bis- 21 DNS RR Type SPF RR type (99) ではなく TXT RR を 利 用 認 証 失 敗 時 の 扱 いについて Local policy で 判 断 マクロ 機 能 とりあえず 残 す 方 向 認 証 結 果 の 記 録 Received-SPF: ヘッダと Authentication-Results: ヘッダ の 併 用 転 送 とメーリングリストとの 関 係 それほど 議 論 にはならなかった 模 様 (RFC5321.From の 書 き 換 えや 受 け 側 での whitelist による 対 応 )

SPF の 動 向 (3) SPF の 導 入 状 況 電 気 通 信 事 業 者 7 者 の 協 力 により 総 務 省 のとりまとめ 92.47% (2013.09 認 証 結 果 none 以 外 の 割 合 )

DKIM の 動 向 (1) DKIM の 導 入 状 況 電 気 通 信 事 業 社 4 社 の 協 力 により 総 務 省 がとりまとめ 40.26% (2013.09, 認 証 結 果 none 以 外 の 割 合 )

SPFとDKIMの 動 向 Gmail (Google) の 調 査 結 果 hap://googleonlinesecurity.blogspot.sg/2013/12/internet- wide- efforts- to- fight- email.html

DMARC Domain- based Message AuthenGcaGon, ReporGng & Conformance 目 的 ドメイン 詐 称 を 防 ぐために 既 にある 個 別 の 仕 組 みをオープン 化 認 証 識 別 子 の 標 準 的 な 利 用 方 法 の 確 立 認 証 の 運 用 上 の 各 種 問 題 解 決 に 役 立 てる SPF & DKIM のより 広 い 導 入 の 動 機 付 け より 積 極 的 な 認 証 方 針 (policy) への 奨 励 特 徴 複 数 の 認 証 技 術 (SPF, DKIM) を 利 用 信 頼 関 係 を 築 きより 強 い 方 針 (policy) を 導 入 できるように 受 信 側 から 送 信 側 へフィードバックを 行 う 認 証 の 対 象 は メールヘッダ 上 (From: ヘッダ) のドメイン

DMARC (2) 動 機 と 経 緯 ebay, PayPal と Yahoo!, Google (Gmail) が DKIM を 利 用 した フィッシング 対 策 を 開 始 ebayとpaypal, フィッシング 対 策 でGmailと 協 力 (2008.07.09, 日 経 BP ITpro News) 初 期 のテスト 結 果 は 比 較 的 良 好 しかしながら 認 証 が 失 敗 するケースも 多 少 あった 単 一 の 認 証 技 術 だけでなく 複 数 の 認 証 技 術 を 利 用 すことに 認 証 失 敗 の 原 因 を 究 明 できるよう Feedback が 行 えるような 仕 組 みも 必 要 さらに 他 の 送 受 信 事 業 者 を 含 めてより 広 いグループに 拡 張 グループで 初 期 ドラフトを 作 成 し 2011 年 の MAAWG で 提 示 2012.01.30 DMARC.org として 発 足 (dmarc- discuss ML) 2012.11 85 th IETF @ Atlanta で dmarc WG を 提 案 その 後 IETF へ (dmarc- ie] ML)

DMARC (3) 送 信 側 としての 準 備 DKIM と SPF の 導 入 (and/or) 利 用 する 識 別 子 の 整 理 (IdenGfier Alignment) フィードバック 受 信 の 準 備 (メールアドレスの 用 意 ) DMARC policy (DMARC record) の 宣 言 対 象 となるドメインの _dmarc サブドメインの TXT RR 最 初 は p=none から _dmarc.example.jp TXT "v=dmarc1; p=none; rua=mailto:dmarc- feedback@example.jp" 送 信 ドメイン 認 証 の 結 果 確 認 と 調 整 (feedback を 利 用 ) DMARC policy の 調 整 ( pct= と p= による 段 階 的 な 強 化 ) 次 の 段 階 として p=quarangne と pct= 小 さい 値 さらに 次 の 段 階 として pct=100 に さらに p=reject と pct= 小 さい 値 段 階 的 に p と pct を 引 き 上 げて 行 く

DMARC (4) 受 信 側 の 導 入 ヘッダ From (RFC5322.From) からドメインを 取 り 出 す 取 り 出 すドメインは 一 つだけ DMARC policy レコードを 取 り 出 す DMARC TXT レコードが 存 在 しない 場 合 OrganizaGonal Domain に 問 い 合 わせを 行 う DKIM 署 名 の 検 証 と SPF 認 証 を 行 う 認 証 が 成 功 (pass) したドメインを 利 用 する 認 証 された 識 別 子 (ドメイン) と IdenGfier Alignment をチェック DMARC 方 針 (policy) を 適 用 して 処 理 する DMARC Feedback rua= : 集 約 レポート (aggregate reports), XML 形 式 ruf= : 失 敗 レポート (failure reports, forensic reports), ARF を 利 用

送 信 ドメイン 認 証 技 術 の 利 用 Sender AuthenGcaGon & DMARC 正 当 なメールの 送 信 元 がほとんど 対 応 していることを 前 提 に pass 以 外 は 詐 称 と 判 断 して reject ( 最 終 形 ) 認 証 結 果 none のメールを 柔 軟 に 対 応 ( 移 行 期 ) Domain ReputaGon 認 証 された 送 信 者 情 報 ( 詐 称 されていない) を 評 価 して 受 け 取 るべきメールだけを 受 け 取 る (Domain White List の 利 用 ) Spam Filter ドメインレピュテーションで 判 定 ができなかった 送 信 元 のメールを 内 容 などを 基 に spam 判 定 結 果 はレピュテーションへ feedback

課 題 メール 配 送 形 態 による 認 証 の 失 敗 メール 転 送 による SPF の 認 証 失 敗 転 送 元 での RFC5321.From の 書 き 換 え 転 送 先 で SPF は pass DMARC では RFC5322.From と 不 一 致 (fail) DKIM の 導 入 or 転 送 先 でのホワイトリスト ( 転 送 者 転 送 受 信 者 なので) で 対 応 メーリングリスト 機 能 Mailman などでは RFC5321.From はメーリングリスト 管 理 アドレス SPF は pass DMARC では RFC5322.From と 不 一 致 (fail) Subject: ヘッダの 書 き 換 え ([dmarc- ie]] の 付 与 等 ) DKIM の 認 証 失 敗 コンテンツの 改 変 を 止 める Mailman の 次 バージョンでは From: ヘッダを 書 き 換 える 機 能 が 追 加 されるとの 情 報 もあり 日 本 におけるDKIMの 普 及

普 及 に 向 けて 向 かうべき 方 向 性 SPF, DKIM 双 方 の 良 いところをうまく 活 用 メールの 責 任 の 所 在 を 明 確 に RFC5322.From (ヘッダ From) を 基 軸 に 認 証 がうまくいかないケースが 見 つけ 出 せる 仕 組 み & 対 策 の 検 討 feedback の 仕 組 み DMARC (Domain- based Message AuthenGcaGon, ReporGng & Conformance)

普 及 に 向 けて RFC5322.From (ヘッダFrom) わかりやすさが 重 要 RFC5322.From (ヘッダFrom)