スパムメール撲滅を目指す送信ドメイン認証技術

前回の勉強内容

ponsuke-tarou.hatenablog.com

今回の勉強内容 : メールの安全対策

勉強のきっかけになった問題

スパムメールへの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

ア. 送信側メールサーバにおいてディジタル署名を電子メールのヘッダに付与し,受信側メールサーバにおいてそのディジタル署名を公開鍵によって検証する仕組み << 正解
イ. 送信側メールサーバにおいて利用者が認証された場合,電子メールの送信が許可される仕組み
ウ. 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて,メール送信元のIPアドレスを検証する仕組み
エ. ネットワーク機器において,内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する仕組み

https://www.sc-siken.com/kakomon/25_haru/am2_16.html

メールアドレスのドメインを検証することでなりすましや改ざんを検知できるようにする技術を送信ドメイン認証技術といいます。

残念なことにメールは送信元を偽ることができちゃいます。

http://www.infomania.co.jp/images/narisumasi.gif
送信ドメイン認証について

送信ドメイン認証技術には、IPアドレスを利用するタイプと電子署名を利用するタイプがあります。

送信ドメイン認証技術 利用するもの
SFP IPアドレス
Sender ID IPアドレス
DKIM 電子署名

IPアドレスを利用するタイプは、あらかじめDNSサーバにIPアドレスを公開しておいて、受信側がDNSIPアドレスを検証します。

http://www.infomania.co.jp/images/spf.gif
送信ドメイン認証について

https://sendgrid.kke.co.jp/blog/wp/wp-content/uploads/2016/09/1f4815d36a36fa914b05ccb4be9c7968.png
SPFとは? | SendGridブログ

認証方法によって、送信メールサーバのIPアドレスの取得元が異なります。

送信ドメイン認証 IPアドレスの取得元
SFP エンベロープFromにあるメールアドレス
Sender ID メールヘッダのFromやSenderにあるメールアドレス

SFPは、メールの「エンベロープFromにあるメールアドレス」から取得します。

  • 英語:Sender Policy Framework

https://www.ipa.go.jp/files/000015419.png
https://www.ipa.go.jp/files/000015420.png
なりすましメール撲滅に向けたSPF(Sender Policy Framework)導入の手引き:IPA 独立行政法人 情報処理推進機構

SPF(Sender Policy Framework)の仕組みはどれか。

イ. 電子メールを受信するサーバが,電子メールの送信元のドメイン情報と,電子メールを送信したサーバのIPアドレスから,ドメインの詐称がないことを確認する。
https://www.fe-siken.com/kakomon/30_haru/img/40.gif
平成30年春期問40 SPFの仕組みはどれか|基本情報技術者試験.com

エンベロープFrom」とは、配信処理用のメールアドレスのことです。

  • 英語 : envelope(封筒) from

エンベロープFromは、実際の送信者メールアドレスであり、宛先にメールが届くとエンベロープFromは削除されます。
メールヘッダにあるFromは、設定で変更することができます。
迷惑メールなどはメールヘッダにあるFromを詐称していたりします。

https://biz.biglobe.ne.jp/column/cda7q70000002i3z-img/img_mail_system.jpg
本当の送信元と送信先を知る! メールシステムに関する用語集 ~中級編~ | コラム・活用方法 | BIGLOBE biz.

https://www.cuenote.jp/documents/img/envelope-image02.gif
3 エンベロープ(envelope)From/To とヘッダーのFrom/To|Cuenote

エンベロープFrom」は、メールが宛先に到着してSMTPが終わると消えます。
でもなくなると問題があったときの送信先に困っちゃうので、メールの「Return-Path」に出力されます。
なので、Return-Pathを確認することでエンベロープFromが確認できます。
例えば、三井住友銀行からもらったお知らせメールの場合はこんな感じ。

...ここでエンベロープFromが確認できます。...
Return-Path: <51212-585086@envelope-from.smbc.co.jp>
...
From: "三井住友銀行" <smbc_info@ra.smbc.co.jp>
To: ponsukeのメアド
Subject: <重要>【三井住友銀行】 三井住友銀行アプリ「プッシュ通知」の一部サービス終了のお知らせ
....

なので、エンベロープFromにあるメールアドレス」のドメインから送信側メールサーバのIPアドレス取得して検証します。

https://sendgrid.kke.co.jp/blog/wp/wp-content/uploads/2018/08/01_mail_example.png
SPF, DKIMの特徴と違い | SendGridブログ

Sender IDは、「メールヘッダのFromやSenderにあるメールアドレスからします。

メールヘッダのFromやSender」はメーラなどの表示用のメールアドレスです。
メールヘッダのFromやSenderは、配信処理には使用されず送信者以外のアドレスを使用することが可能です。
メールヘッダのFromやSenderにあるメールアドレスのことをPRA(Purported Responsible Address)ともいいます。
Sender IDは、PRAのドメインと同じサーバから送信されているかどうかを検証します。
PRAでは、Resent-Sender / Resent-From / Received / Senderなどのから情報を取得します。
取得方法の詳細は、RFC 4407 - Purported Responsible Address in E-Mail Messagesの2. Determining the Purported Responsible Addressに記載されています。

f:id:ponsuke_tarou:20200915235847j:plain
西巣鴨にある朝倉のチーズケーキは絶品

電子署名を利用するタイプは、あらかじめDNSサーバに公開鍵を公開しておいて、受信側がメールヘッダの電子署名DNSで公開鍵を取得して検証します。

  • 流れ
    1. 送信側がDNSサーバに公開鍵を公開する
    2. 送信側が秘密鍵電子署名をつくってメールヘッダにくっつける
    3. 受信側がメールヘッダにあるメールアドレスのドメインからDNSサーバで公開鍵を取得する
    4. その公開鍵で検証する

DKIMは、送信側メールサーバでディジタル署名を電子メールのヘッダに付与して、受信側メールサーバで検証します。

  • 読み方:ディーキム

電子署名を利用するタイプにIIM(Identified Internet Mail)とDomainKeysという認証方法がありました。
この認証方法が合体してDKIMができました。

送信側のメールサーバで、メールヘッダとボディからディジタル署名を作成して、DKIM-Signatureヘッダに追加します。
例えば、三井住友銀行からもらったお知らせメールの場合はこんな感じ。

......
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=ra.smbc.co.jp; s=smbcrmpc; t=1...; bh=Et...; h=From:To:Subject:Reply-To:Message-Id:Date:MIME-Version:
	 Content-Type; b=dw8...
From: "三井住友銀行" <smbc_info@ra.smbc.co.jp>
To: ponsukeのメアド
Subject: <重要>【三井住友銀行】 三井住友銀行アプリ「プッシュ通知」の一部サービス終了のお知らせ
....

スパムメールの対策であるDKIM(DomainKeys Identified Mail)の説明はどれか。

ア. 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して,受信側メールサーバで検証する。
平成30年春期問12 DKIMの説明はどれか|情報処理安全確保支援士.com

http://www.infomania.co.jp/images/dk.gif
送信ドメイン認証につい DKIMとDomainKeys

http://image.itmedia.co.jp/ait/articles/0602/16/r20_01.gif
電子署名方式の最新技術「DKIM」とは (1/4):送信ドメイン認証技術解説 - @IT

DMARCは、送信ドメイン認証での「認証結果によるメール配信制御」「認証結果のレポート」を行うシステムです。

  • 英語:Domain-based Message Authentication, Reporting and Conformance
  • 読み方:ディーマーク

https://mailmarketinglab.jp/word-dir/wordpress/wp-content/uploads/2017/04/20170331_04-768x729.jpg
DMARCとは?送信ドメイン認証の仕組みを理解して、なりすまし対策をしよう! | メルラボ

https://cloud.watch.impress.co.jp/img/clw/docs/1066/519/dmarc_s.jpg
TwoFive、なりすまし対策に有効なDMARCレポートを集計・可視化するサービス「DMARC / 25 Analyze」を提供開始 - クラウド Watch

「検証結果でそのメールをどう扱って欲しいか」を記述した情報の定義をSSPといいます。
  • 英語:Sender Signing Practice
  • SSPは、DNSサーバにあります。

f:id:ponsuke_tarou:20180913225716j:plain

次回の勉強内容

ponsuke-tarou.hatenablog.com