2
今日のテーマ
DKIM
目次
1
dkim.jp について
2
DKIM について
3
Phishing 対策と DKIM
4
dkim.jp におけるDKIM 普及のロードマップ
5
最後に
4
Japan DKIM Working Group
Japan DKIM Working Group
6
dkim.jp について
正式名称
Japan DKIM Working Group
通称
dkim.jp
設立日
2010 年 11 月 15 日
参加企業数
国内企業約
30 社が参加
オブザーバとして数団体が参加
Web サイト
http://www.dkim.jp
dkim.jp
メンバー一覧 1
Sender (12)
株式会社 アットウェア
エクスペリアンジャパン株式会社
株式会社エイジア
株式会社 HDE
シナジーマーケティング株式会社
トライコーン株式会社
トッパン・フォームズ株式会社
トランスコスモス株式会社
株式会社パイプドビッツ
ユミルリンク株式会社
楽天株式会社
株式会社レピカ
ISP (12)
イッツ・コミュニケーションズ株式会社
株式会社インターネットイニシアティブ
NECビッグローブ株式会社
株式会社NTTぷらら
ソネットエンタテインメント株式会社
株式会社テクノロジーネットワークス
株式会社ドリーム・トレイン・インターネット
ニフティ株式会社
フリービット株式会社
株式会社ブロードバンドセキュリティ
株式会社NTTPCコミュニケーションズ
ヤフー株式会社
8
メンバー一覧 2
協力団体・オブザーバ (7)
総務省
フィッシング対策協議会
財団法人インターネット協会
株式会社日本レジストリサービス
一般社団法人JPCERT コーディネーションセ
ンター
新経済連盟
(旧 eビジネス推進連合会)
Vendor (9)
株式会社アークン
株式会社インフォマニア
クラウドマーク ジャパン
株式会社シマンテック
センドメール株式会社
TrustSphere
日本オープンウェーブシステムズ株式会社
株式会社 日立ソリューションズ
メッセージシステムズ
DKIM の普及率
•
Adaptation rate of DKIM in Japan based on trafic
–
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html
Adaptation rate: Around 30% on Nov 2013
dkim.jp started
accelerated
10
Sender の DKIM 対応状況
事業社名
DKIM対応開始
Status
トッパン・フォームズ株式会社
2008.12
対応済
株式会社パイプドビッツ
2010.9
対応済
楽天株式会社
2010.10
対応済
エイケア・システムズ株式会社
2010.12
対応済
株式会社エイジア
2011.5
対応済
株式会社アットウェア
2011.6
対応済
シナジーマーケティング株式会社
2011.6
対応済
株式会社HDE
2011.7
対応済
株式会社プロット
2011.7
対応済
ユミルリンク株式会社
2011.7
対応済
株式会社レピカ
2011.7
対応済
トライコーン株式会社
2011.9
対応済
トランスコスモス株式会社
対応済
2012.2
対応済
受信事業者の
DKIM 対応状況
ISP Verify
1 its communications Inc. ◯
2 NEC BIGLOBE, Ltd ◯
3 NTT Plala Inc. ✕
4 So-net Entertainment Corporation ◯ 5 Technology Networks Inc. ◯ 6 Dream Train Internet Inc. 対応予定 7 NIFTY Corporation ◯ 8 FreeBit Co., Ltd. 対応予定 9 Internet Initiative Japan Inc. ◯ 10 Yahoo Japan Corporation ◯
11 Broadband Security, Inc.
2 10
◯大手 ISP では DKIM の検証は普及済み
12
普及率
• dkim.jp
–
http://www.dkim.jp/dkim-jp/dkim-services/
• データ通信協会
–
http://www.dekyo.or.jp/soudan/auth/
対応状況
名称
Status
目的と活動内容
リコメンデーショ
ン
WG
活動中
DKIM 導入に際してのリコメンデーションの発表。
導入形態を標準化し、普及の方向性を定める
RFC 要約 WG
活動中
- DKIM 関連の日本語訳を公開し、日本での DKIM
普及を支援する
広報
WG
活動中
- なりすましの問題と、その解決策としてのDKIM、
関連するトピックについて、広く世の中に情報を広め
DKIM の普及活動に貢献する。
- dkim.jp のサイトの運営
- 他団体との連携
dkim.jp の活動
14
ミッション
RFC 要約 WG
Recommendation
WG
広報 WG
理解
議論
展開
DKIM 普及
Recommendation WG
Webmail
MUA
ML
MSA
Round table
Author/3
rdparty
Signature
MTA
メールの種類ごと
の取扱
他技術
DNS
DKIM の活用
企業
ソフトウェア
16
Round table
Table 名
テーマ
活動期間
Sender
Author/3
rdparty Signature
(DKIM-ADSP, DKIM-ATPS)
2012/7 ~
ISP
MTA/MSA
2012/7 ~
ML
ML
2012/7 ~
Domain
Reputation
(White List)
DKIM の活用
2012/7 ~
Sender, ISP については Recommendation 発表予定
RFC# Title ST P#
RFC6376 DomainKeys Identified Mail (DKIM) Signatures DS 76 RFC6541 DomainKeys Identified Mail (DKIM) Authorized Third-Party Signatures XP 16 RFC6377 DomainKeys Identified Mail (DKIM) and Mailing Lists BCP 26 RFC5617 DomainKeys Identified Mail (DKIM) Author Domain Signing Practices (ADSP) PS 21 RFC5451 Message Header Field for Indicating Message Authentication Status PS 43 RFC5518 Vouch By Reference PS 12 RFC6008 Authentication-Results Registration for Differentiating among Cryptographic Results PS 7 RFC6212 Authentication-Results Registration for Vouch by Reference Results PS 7 RFC6591 Authentication Failure Reporting Using the Abuse Reporting Format PS 16 RFC6692 Source Ports in Abuse Reporting Format (ARF) Reports PS 5 RFC4686 Analysis of Threats Motivating DomainKeys Identified Mail (DKIM) I 29 RFC5585 DomainKeys Identified Mail (DKIM) Service Overview I 24 RFC5863 DomainKeys Identified Mail (DKIM) Development, Deployment, and Operations I 51 DMARC Domain-based Message Authentication, Reporting and Conformance (DMARC) -! 70!
RFC 要約 WG
18
用語
送信ドメイン認証
SPF
Sender ID
DKIM
ADSP
ATPS
第三者署名
作成者署名
Envelope From
Header From
d= (d タグ)
DMARC
20
なりすまし対策の技術と特徴
技術
守るもの
方式
転送
第三者投稿
ML
SPF
Envelope From
NW
✕
✕
◯
DKIM
Header From
d= のドメイン
NW
◯
✕
✕
Sender ID
Envelope From
Header From
Sender
Resent-From
Resent-Sender
のどれか
電子署名
✕
✕
◯
※ 必ずしも◯✕は正しくない。特徴を端的に表す典型例の表記。Header From のドメインを守るなら DKIM
DKIM とは?
署名を検証し送信者の正当性を確認
公開鍵問い合わせ
X.example.com
Z.spam.example.com
Y.example.com
電子署名を利用した送信元認証
MSA/
MTA
DNS
MTA
受信
送信
X.example.com
22
作成者署名と第三者署名について
• 作成者署名
– d= タグと From: で示すドメインが同一
– 標準的な署名方法
• 第三者署名
– d= タグと From: で示すドメインが異なる
– 以下の例はサブドメイン付きという違
いだが、全く違うドメインでも可
DKIM-Signature: (~略~) d=example.jp; s=dkim20101115; b=xdIeG4cUHIBhU0nix2V5tK9Z (~略~)From: <info@example.jp> Subject: こんにちは。 お世話になっております。 example.jp です。 … DKIM-Signature: (~略~) d=sender.example.jp; s=senderdkim20101115; b=xdIeG4cUHIBhU0nix2V5tK9Z (~略~)
From: <info@example.jp> Subject: こんにちは。
お世話になっております。 example.jp です。
…
基本モデル
DNS (A)
MTA
DNS (B)
(Sign)
From: A
To: C
d=A
From: A
To: C
d=B
MTA
(Verify)
第三者署名
作成者署名
d=B
d=A
ADSP
24
DKIMとシステムの関係
MTA
MTA
MUA
受信者
送信者
ユーザ
署名する
(Sign)
検証する
(Verify)
可視化する
(Visualize)
DKIM への対応は 3 箇所で必要
ここで discard が理想
SPF でも同じ
DKIM の「署名(Sign)」に必要な作業
• DKIMで署名したいドメインを決定する
– あなたがドメインオーナーだと仮定して、 所有するドメインのうちDKIM対応したいもの(“d”)を決定する• DKIMに使用するRSA鍵のペアを作成する
– RSA鍵ペアを生成する。「公開鍵」と「秘密鍵」が対になって生成される (鍵の作成の際には、その組み合わせを示す「セレクタ名(“s”)」を任意に決める) – 秘密鍵は、MSA(メール送信サーバ)にファイルとして設置する。 組織内でも運用担当者のみなど限られたアクセスとする。 – 公開鍵は、そのドメインのDNSサーバにTXT RR(テキストレコード)として設置する。 インターネットから誰でも引けるようにしておく。STEP 1
STEP 2
example.jpドメインのDNS TXTレコード
dkim20101115._domainkey IN TXT "v=DKIM1; g=*; k=rsa;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC42q2GmH+fSCU3z/ jqA2makU1NXh18FGpRtDlGg6WQ
+Dm0Snh4DZhZaSUFND3kG3V7UteWYHpVojCSaeN
+luHHZXTBBMJ4yqBuNphtD+QZhGgrlqAwFH4hBJII7q05cCNCEP
TXT RR の例
MTA
MTA
MUA
受信者
送信者 ユーザ
26
DKIM の「署名(Sign)」に必要な作業
• MSAにDKIM署名を付与する改修を実施する
– 秘密鍵とメール本文より、メールごとにDKIMの署名が生成される – DKIMの署名は ”DKIM-Signature” という専用のヘッダに格納されるSTEP 3
DKIM-Signature:
v=1; a=rsa-sha256; c=simple/simple; d=example.jp; s=dkim20101115; t=1308471652; bh=KF7zwHMa9ToPtsGy8urMTpCLCfTnzrcJ6mxHnrWCffQ=; h=To:Sender:MIME-Version:Subject:From:Content-Type: Content-Transfer-Encoding:Message-Id:Date; b=xdIeG4cUHIBhU0nix2V5tK9ZN7QwnKd +qYuFamqtZpon2EfsKfSwdGhSHvU6fRj3z dp6tVjGpT64hx4eayxKcnjHTYMq8yRVgEPp9naNrCD7SIX70P6LvrbFpMZc 85Exxpx FZdETOXsumsY7pt6tpP9puwjN3/5EsYuwWM63AUY= DKIM-Signatureヘッダの例
MTA
MTA
MUA
受信者
送信者 ユーザ
Authentication-Results: example.com; sender-id=pass header.from=example.jp;
dkim=pass (good signature) [email protected]
DKIM の「検証(Verify)」に必要な作業
• MTAにDKIM署名を検証する改修を実施する
– ①DKIM署名(DKIM-Signatureヘッダ)と ②メール本文、③DNSから得た公開鍵 により 、メールごとにDKIMの検証が行えるようになる• DKIM検証結果をメールヘッダに格納する
– DKIMの検証結果は ” Authentication-Results” という専用のヘッダに格納される – このヘッダの内容を見ることで、MUAなどがメールの制御が可能になる 主な結果 内容 pass 検証成功 fail 検証失敗 permerror 永続的検証エラーSTEP 1
STEP 2
認証結果の一覧
MTA
MTA
MUA
受信者
送信者 ユーザ
28
ADSP とは?
値
概要
作成者署名
対応率
unknown
このドメインから送信されるメールは、いくつか又はすべてに作成者
署名対応されている。
adsp レコードを記載していない場合は、
unknown と同様の扱いになる
0 % ~ 100 %
all
このドメインから送信されるメールは、すべてに作成者署名対応され
ている。
100%
discardable
このドメインから送信されるメールは、すべてに作成者署名対応され
ている。
もしそうでないメールの場合は受信者でメールを破棄するこ
とが望まれる
。
100%
ADSP (Author Domain Signing Protocol); RFC5617
作成者署名の検証に失敗したメールをどう扱って欲し
いかを宣言する規格
DKIM 処理フロー(+ADSP & ATPS)
dkim = pass 以外(fail や none など)
d= tag と
From チェッ
クで一致す
るかどうか?
DKIM Verify
dkim = pass
次の処理
NO
ADSP 参照
スコア
ポリシー参照
unknown
al l
discardable
次の
処理
エラー
次の処理
ATPS 参照
From と参
照結果を
検証
不一致
一致
※ ATPS の説明は省略
。
30
DKIM の「可視化(Visualize)」に必要な作業
• MUAでのAuthentication-Results利用
– Authentication-Resultsヘッダだけでは分かりづらい
– MUAやWebメール上で結果をわかりやすく表示
DKIM… その先の利用
MTA
MTA
MUA
受信者
送信者 ユーザ
Sign Verify Visualize
Gmailでの例
(特定のドメインで表示)
• Domain Reputation
– ドメインごとに評判情報を生成し、迷惑メール判定等に利用
– 受信者に評判の高いドメインは優先的に受信フォルダへ
32
Phishing と Email
Phishing の入り口は Email
入り口での対策(なりすまし対策)が重要
Phishing メールの多くが送信元を詐称
※ Phishing 対策のうちメールで実施すべきものの話
基本モデル
MTA
(Sender)
Reputation
MTA
(Receiver)
Inbox
Junkbox
なりすまし
なりすましを見抜く
ドメイン認証
ホワイトリスト
なりすまし
正しいメールしか配送しない
discard
34
SPF の –all もかけるなら書こう
ドメイン認証となりすまし対策
送信者
SPF
DKIM
ADSP
mailbox
5xx
Discard
Sender Policy がはっきりしていれば実現できる
Sender Policy
ドメインの
評価
Domain Reputation
など
Junkbox
PASS
それ以外
PASS
それ以外
※法律への対応は必要
現実的には難しい?
Phishing 対策と DKIM
DKIM の作成者署名を強く推奨
DKIM
(作成者署名)
DKIM
(第三者署名)
SPF
(SenderID)
≒
Phishing 対策という意味では、
見えないものの評価
※ Header From に何が設定されていても
、
PASS させることが出来る
見えるものの評価
36
Phishing 対策 (送信側)
DKIM の作成者署名を付加する
これで From Header が守れる
ADSP: discardable (all) を宣言する
Phishing 対策における DKIM の使い方
作成者署名が PASS しなかったメール以外は捨てら(discard さ) れる
正当なメールしか届かない
受信事業者が ADSP
を解釈すれば
ADSP: discardable のリスク
ML へのメールが配送できない
加工の加わる転送で出来ない
ADSP: discardable を宣言できる
コミュニケーションメール以外で
、
問題になることはあるのか?
メルマガ
販促・広告
リマインダ
パスワード更新
取引完了通知
問題ない
38
まとめ
• 作成者署名を使う
• ADSP は discardable を宣言するべき
• この場合、「ML への配送」 ができなく
なると考える。そのリスクを許容出来
るメールのほうが多いはず。
ドメインオーナーがそのドメインで送られるメールに
責任を持つ
40
戦略
STEP 1
STEP 2
トラフィック (メッセージ数)
ドメ
イ
ン
数
Sender
ISP
Hosting, DNS, Domain
MUA, Webmail
トラフィック比に対する普及率
ドメイン数に対する普及率
STEP 1
STEP 2
普及の戦略
dkim.jp 内
dkim.jp 外
Sign
Verify
Visualize
ドメイン数比 up のアプローチ(STEP 2)
流量比 up のアプローチ(STEP 1)
今日は、青枠に該当する方が多い?
Verify が広まれば Sign の
モチベーションになる
42
メールのプレイヤー(
Sign)
ISP/ESP
一般受信者
ECサイト
ドメイン/DNS
ホスティング
/ASP
企業/大学
会社員/学生
顧客企業
携帯キャリア
一般送信者
企業
送信代行
銀行
Phishing 対策の必
要性が高い業種
ドメインを大量に管
理している業種
第三者署名を使った場合のステップ
第三者署名
(MTA の対応)
ATPS 対応
(DNS の対応)
作成者署名へ
切り替え
(DNS の対応)
送信代行事
業者など
作成者署名
100 %
(MTA の対応)
ADSP: discardable/
all の宣言
(DNS の対応)
Experimental
STEP 0.1
STEP 0.2
STEP 1
STEP 2
STEP 3
最終的に第三者署名は無視
44
第三者署名に関する補足
DNS (A)
MTA
DNS (B)
(Sign)
From: A
To: C
d=A
From: A
To: C
d=B
MTA
(Verify)
第三者署名
作成者署名
d=B
d=A
ADSP
MTA(Sign) がどこにあるか?
第三者署名に関する補足
DNS (A)
MTA
DNS (B)
(Sign)
From: A
To: C
d=A
From: A
To: C
d=B
MTA
(Verify)
送信 (代行) 者
ドメインオーナー
d=B
d=A
ADSP
作成者署名を使う
46
第三者署名に関する補足
DNS (A)
MTA
DNS (B)
(Sign)
From: A
To: C
d=A
From: A
To: C
d=B
MTA
(Verify)
送信(代行)者
ドメインオーナー
d=B
d=A
ADSP
「まず」 第三者署名をつける
MTA (sign) で作っ
た鍵を個々に置くと
作成者署名になる
基本的には作成者署名を利用する
1 通ずつでも対応できる
作成者署名出来ない場合は、まず 「第三者署名」 を
DKIM への対応のポイント
最終的には 100% のメールにサインする
署名の仕方
展開の仕方
48
直近のゴール
ADSP discardable または all を宣言する
作成者署名の向上
Sign
DKIM, ADSP, ATPS を検証する
Verify
認証結果をユーザに見せる
50
