JPAAWG 2nd General Meeting / 迷惑メール対策カンファレンスの発表資料です。 送信ドメイン認証や暗号化など様々な技術があり、正直何から手を付けていいのか、どこまで行けばゴールが見えるのかわかりません。本セッションではどういった技術があり、どういう風に活かせるのかを解説しながら、将来のメールセキュリティのトレイルマップを描きます。

1. Copyright© QUALITIA CO., LTD. All Rights Reserved.
メールセキュリティ
トレイルマップ
～DMARCやその先にある世界～
株式会社クオリティア
平野善隆 <hirano@qualitia.co.jp>

2. Copyright© QUALITIA CO., LTD. All Rights Reserved.
会社紹介
社 名 株式会社クオリティア
本 社 東京都中央区日本橋茅場町 3-11-10
資本金 8,500万円
設 立 1993年10月
代 表 松田 賢
⚫ メッセージング関連ソリューションの開発・販売
⚫ コミュニケーションの効率化とセキュリティの強化を支援
⚫ メッセージ関連のクラウド型サービス・ソフトウェアで提供
「コミュニケーション」「セキュリティ」の未来をお客様やパートナーと共創する
Q U A L I T Y M A K E S F U T U R E

3. Copyright© QUALITIA CO., LTD. All Rights Reserved.
自己紹介
名前 平野 善隆
所属 株式会社クオリティア
チーフエンジニア
資格等 Licensed Scrum Master
Certified Scrum Developer
主な活動 M3AAWG
JPAAWG
IA Japan 迷惑メール対策委員会
迷惑メール対策推進協議会
メッセージング研究所(MRI)
Audax Randonneurs Nihonbashi

4. Copyright© QUALITIA CO., LTD. All Rights Reserved.
開発の様子
新製品研究開発の
チームです
チームメンバー
募集中！
開発チームTwitterアカウント

5. Copyright© QUALITIA CO., LTD. All Rights Reserved.
メールセキュリティって
どこまでやったらいいの？

6. Copyright© QUALITIA CO., LTD. All Rights Reserved.
メールセキュリティ技術
SPF
DKIM
誤送信
防止
無害化
Password
ZIP
Anti
Phishing Anti
SPAM
DNS
SEC
SMTP
AUTH
DANE
MTA-
STS
START
TLS
BIMI
ARC
DMARC
TLS-
RPT
Anti
Virus
Virus
Filter
Sand
box
安心
マーク
なんかいろいろあって
よく分からない

7. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何を何から守りたいのか

8. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何から守りたいのか
クオリティア
メール
サーバ
メール
サーバ
なりすまし
乗っ取り
盗聴
改ざん
盗難
漏洩
ウィルス
メール
サーバ
フィッシング

9. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何から守りたいのか
•なりすまし・改ざん
•乗っ取り・踏み台
•盗聴
•スパム・マルウェア・フィッシング
•情報漏洩

10. Copyright© QUALITIA CO., LTD. All Rights Reserved.
なりすまし・改ざん
から守る

11. Copyright© QUALITIA CO., LTD. All Rights Reserved.
なりすまし・改ざんから守る
クオリティア
メール
サーバ
メール
サーバ
メール
サーバ
なりすまし
改ざん

12. Copyright© QUALITIA CO., LTD. All Rights Reserved.
なりすまし・改ざんから守る
•SPF
•DKIM
•DMARC
•ARC
•BIMI

13. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SPFがないとき
192.0.2.1
203.0.113.1
Env From: taro@qualitia.co.jp
From: taro@qualitia.co.jp
Subject: お振り込みください
いつもお世話になっております。
・・・・
振り込みね。ポチっと。
×
クオリティア
なりすまし・改ざんから守る

14. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SPFがあるとき
192.0.2.1
Env From: taro@qualitia.co.jp
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=pass
いつもお世話になっております。
・・・・
qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all”
Envelope FromからIPをチェック
○
本物だな。振り込みっと。
クオリティア
なりすまし・改ざんから守る

15. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SPFがあるとき
192.0.2.1
203.0.113.1
Env From: taro@qualitia.co.jp
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=fail
いつもお世話になっております。
・・・・
qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all”
偽物っぽいなぁ
×
クオリティア
なりすまし・改ざんから守る

16. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
なりすまし・改ざんから守る

17. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SPFがあっても
192.0.2.1
203.0.113.1
Env From: jiro@悪徳グループ.example
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=none
いつもお世話になっております。
・・・・○○会社.example txt “v=spf1 ip4:192.0.2.1 –all”
振り込みね。ポチっと。
クオリティア
なりすまし・改ざんから守る

18. Copyright© QUALITIA CO., LTD. All Rights Reserved.
悪徳グループのSPFで認証
192.0.2.1
203.0.113.1
Env From: jiro@悪徳グループ.example
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=pass
いつもお世話になっております。
・・・・
悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
qualitia.co.jp txt “v=spf1 ip4:192.0.2.1 –all”
振り込み、ポチっと。
クオリティア
なりすまし・改ざんから守る

19. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SPF
•Envelope FromとIPアドレスが正しいか
どうかを確認できる
•RFC4408 (2006/04)
送信元IP = Envelope From = Header From?
なりすまし・改ざんから守る

20. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM
なりすまし・改ざんから守る

21. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIMがないとき
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: dkim=none
いつもお世話になっております。
・・・・
振り込みね。ポチっと。
クオリティア
なりすまし・改ざんから守る

22. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=qualitia.co.jp; s=s1;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: お振り込みください
いつもお世話になっております。
・・・・
DKIMがあるとき
署名して送ります
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
暗号化
Public Key
Private Key
hash
クオリティア
なりすまし・改ざんから守る

23. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=qualitia.co.jp; s=s1;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: dkim=pass
いつもお世話になっております。
・・・・
DKIMがあるとき
安心して振り込みね。ポチっと。
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
複合化
Public Key
Private Key
hash○
クオリティア
なりすまし・改ざんから守る

24. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=qualitia.co.jp;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: お振り込みください
いつもお世話になっております。
・・・・
DKIMがあるとき
署名できない！
暗号化
Private Key
hash
×
クオリティア
なりすまし・改ざんから守る

25. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=qualitia.co.jp; s=s1;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: 泥棒にお振り込みください
いつもお世話になっております。
・・・・
DKIMがあるとき
署名したものを
改ざんします
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
Public Key
Private Key
クオリティア
なりすまし・改ざんから守る

26. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=qualitia.co.jp; s=s1;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: 泥棒にお振り込みください
AR: dkim=fail
いつもお世話になっております。
・・・・
DKIMがあるとき
改ざんされてるかも？！
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
複合化
Public Key
Private Key
hash
×
クオリティア
なりすまし・改ざんから守る

27. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
なりすまし・改ざんから守る

28. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIMがあっても
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: dkim=none
いつもお世話になっております。
・・・・
振り込みね。ポチっと。
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
Private Key
DKIMがないときと
変わらない
クオリティア
なりすまし・改ざんから守る

29. Copyright© QUALITIA CO., LTD. All Rights Reserved.
もしかしたら？
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: dkim=none
いつもお世話になっております。
・・・・
あれ？クオリティアさん
普段、署名付いてるよね
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
Private Key
DKIMがないときと
変わらない
クオリティア
なりすまし・改ざんから守る

30. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=悪徳グループ.example; s=aku;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: お振り込みください
いつもお世話になっております。
・・・・
DKIMがあっても
署名して送ります
aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...”
暗号化
悪徳グループの
Private Key
Private Key
hash
クオリティア
なりすまし・改ざんから守る

31. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=悪徳グループ.example; s=aku;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: dkim=pass
いつもお世話になっております。
・・・・
DKIMがあっても
ポチっと。
複合化
悪徳グループの
Public Key
Private Key
hash○
aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...”
悪徳グループの
Private Key
クオリティア
なりすまし・改ざんから守る

32. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM
•ヘッダや本文に署名して改ざんを防止できる
なりすまし・改ざんから守る

33. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SPF DKIM の問題点
•SPFは第三者がEnvelope Fromをなりすま
してもspf=passしてしまう
•DKIMは第三者が署名してもdkim=passして
しまう
なりすまし・改ざんから守る

34. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DMARC
なりすまし・改ざんから守る

35. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DMARCなら
•Header Fromを基準に確認
•Header From
Envelope From
DKIM署名者
が一致することを確認
なりすまし・改ざんから守る

36. Copyright© QUALITIA CO., LTD. All Rights Reserved.
悪徳グループのSPFで認証 (dmarc p=none)
192.0.2.1
203.0.113.1
Env From: jiro@悪徳グループ.example
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=pass, dmarc=Fail
いつもお世話になっております。
・・・・
悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
_dmarc.qualitia.co.jp txt “v=DMARC1; p=none”
dmarc=failだわ。
×
クオリティア
なりすまし・改ざんから守る

37. Copyright© QUALITIA CO., LTD. All Rights Reserved.
悪徳グループのSPFで認証 (dmarc p=reject)
192.0.2.1
203.0.113.1
Env From: jiro@悪徳グループ.example
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=pass, dmarc=Fail
いつもお世話になっております。
・・・・
悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
× 届かない
_dmarc.qualitia.co.jp txt “v=DMARC1; p=reject”
×
クオリティア
なりすまし・改ざんから守る

38. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=悪徳グループ.example; s=aku;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: dkim=pass, dmarc=fail
いつもお世話になっております。
・・・・
悪徳グループのDKIM署名
悪徳グループの
Public Key
aku._domainkey.悪徳グループ.example txt “v=dkim1;p=ABCDEF...”
悪徳グループの
Private Key
×
_dmarc.qualitia.co.jp txt “v=DMARC1; p=reject”
×届かない
クオリティア
なりすまし・改ざんから守る

39. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
なりすまし・改ざんから守る

40. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIM-Signature: v=1;
d=qualitia.co.jp; s=s1;
h=From:Subject;
b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: [○○ML:1234]久しぶりの投稿
AR: dkim=fail
こんにちは。おひさしぶりです。
・・・・
DKIM + メーリングリスト
大丈夫なのかなぁ。
s1._domainkey.qualitia.co.jp txt “v=dkim1;p=ABCDEF...”
複合化
Public Key
Private Key
hash
×
クオリティア
なりすまし・改ざんから守る

41. Copyright© QUALITIA CO., LTD. All Rights Reserved.
ARC
なりすまし・改ざんから守る

42. Copyright© QUALITIA CO., LTD. All Rights Reserved.
ARCがあれば
arc=passですね。
Private Key
クオリティア
メーリングリスト
サーバ
ml.example.jp
ARC-Seal: i=1; cv=none; d=ml.example.jp;...
ARC-Message-Signature: i=1; d=ml.example.jp;
h=from:subject:dkim-signature:...
ARC-Authentication-Result: i=1; ml.example.jp;
dkim=pass; spf=pass; dmarc=pass
DKIM-Signature: v=1; d=qualitia.co.jp; b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: [○○ML:1234]久しぶりの投稿
AR: dkim=fail, arc=pass
こんにちは。おひさしぶりです。
・・・・
なりすまし・改ざんから守る

43. Copyright© QUALITIA CO., LTD. All Rights Reserved.
ARC
•The Authenticated Received Chain Protocol
•RFC8617 (2019年7月)
•メーリングリストサーバが受信したときに
DKIM=passやARC=passであれば、
ARCとして連番付きで再署名
なりすまし・改ざんから守る

44. Copyright© QUALITIA CO., LTD. All Rights Reserved.
運用
なりすまし・改ざんから守る

45. Copyright© QUALITIA CO., LTD. All Rights Reserved.
最近のDKIM事情
•RFC8301: Cryptographic Algorithm and Key Usage Update
to DomainKeys Identified Mail (DKIM) (2018/1月)
・署名も検証もrsa-sha256を使いましょう(MUST)
・rsa-sha1はやめましょう(MUST)
・署名は1024bit以上(MUST)、2048bit以上(SHOULD)
・検証は1024bit～4096bit(MUST)
※ しかし、2048bitはDNSに書けるサイズ255バイトを超えてしまう
なりすまし・改ざんから守る

46. Copyright© QUALITIA CO., LTD. All Rights Reserved.
最近のDKIM事情
•RFC8463: A New Cryptographic Signature Method for
DomainKeys Identified Mail (DKIM) (2018/9月)
・署名側は実装しましょう(SHOULD)
・検証側は実装必須(MUST)
・後方互換性のために署名はEd25519-SHA256と
RSA-SHA256(1024bit以上)を2つ記述する
Ed25519-SHA256を使いましょう
BASE64後のサイズが44バイトしかないのでDNSの問題もない
なりすまし・改ざんから守る

47. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIMのKey Rotation
•DKIMキーの
ローテーション
も必要
なりすまし・改ざんから守る
https://www.m3aawg.org/sites/default/files/m3aawg-dkim-key-rotation-bp-2019-03.pdf

48. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DKIMの運用
•新しい暗号方式への追従がめんどくさい
•Key Rotationめんどくさい
DKIM署名サービス絶賛開発中
近日公開予定！
注目
なりすまし・改ざんから守る

49. Copyright© QUALITIA CO., LTD. All Rights Reserved.
BIMI
なりすまし・改ざんから守る

50. Copyright© QUALITIA CO., LTD. All Rights Reserved.
BIMI
•DMARCがpassしたら、
送信ドメインの
管理者が指定した
ロゴを表示する
ロゴを表示
注目
なりすまし・改ざんから守る

51. Copyright© QUALITIA CO., LTD. All Rights Reserved.
なりすまし・改ざんから守る （まとめ）
•SPF
•DKIM
•DMARC
•ARC
•BIMI
なりすまし・改ざんから守る

52. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何から守りたいのか
•なりすまし・改ざん
•乗っ取り・踏み台
•盗聴
•スパム・マルウェア・フィッシング
•情報漏洩
乗っ取り・踏み台から守る

53. Copyright© QUALITIA CO., LTD. All Rights Reserved.
乗っ取り・踏み台
から守る
乗っ取り・踏み台から守る

54. Copyright© QUALITIA CO., LTD. All Rights Reserved.
乗っ取り・踏み台から守る
クオリティア
メール
サーバ
メール
サーバ
乗っ取り
乗っ取り・踏み台から守る

55. Copyright© QUALITIA CO., LTD. All Rights Reserved.
POP before SMTP
乗っ取り・踏み台から守る

56. Copyright© QUALITIA CO., LTD. All Rights Reserved.
POP before SMTP
POP3で認証が成功した場合のみ、
SMTPで送信できる
メールサーバ
乗っ取り・踏み台から守る

57. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SMTP AUTH
乗っ取り・踏み台から守る

58. Copyright© QUALITIA CO., LTD. All Rights Reserved.
SMTPAUTH
SMTPでID/パスワード認証が成功した場合のみ、
送信できる
メールサーバ
RFC2554 (1999) → RFC4954 (2007)
乗っ取り・踏み台から守る

59. Copyright© QUALITIA CO., LTD. All Rights Reserved.
OP25B
乗っ取り・踏み台から守る

60. Copyright© QUALITIA CO., LTD. All Rights Reserved.
OP25B
•SMTP(Port587)でID/パスワード認証が
成功した場合のみ送信できる
•PCからPort25はブロックする
メールサーバ
乗っ取り・踏み台から守る

61. Copyright© QUALITIA CO., LTD. All Rights Reserved.
Multi Factor Authentication
多要素認証
乗っ取り・踏み台から守る

62. Copyright© QUALITIA CO., LTD. All Rights Reserved.
Multi Factor Authentication
SMTP AUTH、デバイス認証、生体認証などを
複数組み合わせて、認証できれば送信できる
メールサーバ
デバイス認証
+ 顔認証
OK
乗っ取り・踏み台から守る

63. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デモ
作ってみた
注目
乗っ取り・踏み台から守る

64. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デモ
メールサーバデバイス認証
+ 顔認証
OK
乗っ取り・踏み台から守る

65. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デバイス + 顔認証
送
信
画
面
パ
ケ
ッ
ト
乗っ取り・踏み台から守る
メールを送信

66. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デバイス + 顔認証
送
信
画
面
パ
ケ
ッ
ト
乗っ取り・踏み台から守る
スマホへ認証依頼

67. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デバイス + 顔認証
送
信
画
面
パ
ケ
ッ
ト
乗っ取り・踏み台から守る
顔認証

68. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デバイス + 顔認証
送
信
画
面
パ
ケ
ッ
ト
乗っ取り・踏み台から守る
認証中

69. Copyright© QUALITIA CO., LTD. All Rights Reserved.
デバイス + 顔認証
送
信
画
面
パ
ケ
ッ
ト
乗っ取り・踏み台から守る
認証・送信完了

70. Copyright© QUALITIA CO., LTD. All Rights Reserved.
多要素認証
SMTPの生体認証サービス
βユーザー募集！
注目
なりすまし・改ざんから守る

71. Copyright© QUALITIA CO., LTD. All Rights Reserved.
乗っ取り・踏み台から守る（まとめ）
•POP before SMTP
•SMTP AUTH
•OP25B
•Multi Factor Authentication
乗っ取り・踏み台から守る

72. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何から守りたいのか
•なりすまし・改ざん
•乗っ取り・踏み台
•盗聴
•スパム・マルウェア・フィッシング
•情報漏洩
盗聴から守る

73. Copyright© QUALITIA CO., LTD. All Rights Reserved.
盗聴
から守る
盗聴から守る

74. Copyright© QUALITIA CO., LTD. All Rights Reserved.
盗聴から守る
クオリティア
メール
サーバ
メール
サーバ
盗聴
改ざん
盗難
盗聴から守る

75. Copyright© QUALITIA CO., LTD. All Rights Reserved.
ZIP暗号化
盗聴から守る

76. Copyright© QUALITIA CO., LTD. All Rights Reserved.
ZIP暗号化
クオリティア
メール
サーバ
メール
サーバ
盗聴
改ざん
盗難
パスワード
盗聴から守る

77. Copyright© QUALITIA CO., LTD. All Rights Reserved.
STARTTLS
盗聴から守る

78. Copyright© QUALITIA CO., LTD. All Rights Reserved.
STARTTLS
クオリティア
メール
サーバ
メール
サーバ
盗聴
改ざん
メールサーバー間を暗号化する
盗聴から守る

79. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
盗聴から守る

80. Copyright© QUALITIA CO., LTD. All Rights Reserved.
STARTTLS非対応の場合
クオリティア
メール
サーバ
メール
サーバ2
盗聴
改ざん
サーバーやクライアントが対応
していなければ暗号化なしで
配送される
メール
サーバ1
盗聴から守る

81. Copyright© QUALITIA CO., LTD. All Rights Reserved.
乗っ取られた場合
クオリティア
メール
サーバ
メール
サーバ
暗号化に対応していても無意味
メール
サーバ
ARP
BGP
・・・
盗聴から守る

82. Copyright© QUALITIA CO., LTD. All Rights Reserved.
MTA-STS
盗聴から守る

83. Copyright© QUALITIA CO., LTD. All Rights Reserved.
MTA-STS
•STARTTLSを必ず使って配送する
•TLS1.2以上を必ず使う
•証明書が有効でなければ配送しない
•RFC8461 (2018/09)
盗聴から守る

84. Copyright© QUALITIA CO., LTD. All Rights Reserved.
MTA-STSがあるとき
クオリティア
メール
サーバ
メール
サーバ
暗号化に対応
していなければ送らない
_mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
version: STSv1
mode: enforce
mx: mx1.qualitia.co.jp
max_age: 1296000
https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
＝盗まれない
盗聴から守る
ポリシー

85. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
届かなかったことを知りたい
盗聴から守る

86. Copyright© QUALITIA CO., LTD. All Rights Reserved.
TLS-RPT
盗聴から守る

87. Copyright© QUALITIA CO., LTD. All Rights Reserved.
TLS-RPTがあるとき
クオリティア
メール
サーバ
メール
サーバ暗号化に対応していなければ
レポートを送る
RFC8460 (2018/09)
_mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
version: STSv1
mode: enforce
mx: mx1.qualitia.co.jp
max_age: 1296000
https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
_smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:reports@qualitia.co.jp"
盗聴から守る

88. Copyright© QUALITIA CO., LTD. All Rights Reserved.
注意！
クオリティア
メール
サーバ
メール
サーバ
_mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
version: STSv1
mode: enforce
mx: mx1.qualitia.co.jp
max_age: 1296000
https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
_smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=mailto:reports@qualitia.co.jp"
暗号化に対応して
いないので
レポートが送れない！
盗聴から守る

89. Copyright© QUALITIA CO., LTD. All Rights Reserved.
Report Using HTTPS
クオリティア
メール
サーバ
メール
サーバ
_mta-sts.qualitia.co.jp. IN TXT "v=STSv1; id=20191114123000Z;"
version: STSv1
mode: enforce
mx: mx1.qualitia.co.jp
max_age: 1296000
https://mta-sts.qualitia.co.jp/.well-known/mta-sts.txt
_smtp._tls.qualitia.co.jp. IN TXT "v=TLSRPTv1;rua=https://api.qualitia.co.jp/v1/tlsrpt"
HTTPSも使えます
https://api.qualitia.co.jp.jp/v1/tlsrptPOST
盗聴から守る

90. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
盗聴から守る

91. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DNSハイジャッキング
クオリティア
メール
サーバ
メール
サーバMTA-STSを無効化
メール
サーバ
DNS
盗聴から守る

92. Copyright© QUALITIA CO., LTD. All Rights Reserved.
不正な認証局
クオリティア
メール
サーバ
メール
サーバ
メール
サーバ
ARP
BGP
・・・
公開鍵証明書認証局(CA)
署名
qualitia.co.jp
qualitia.co.jp
署名
問題のある
公開鍵証明書認証局(CA)
送信者からは正しく見える
信頼
盗聴から守る

93. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DANE
盗聴から守る

94. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DANE
•公開鍵証明書認証局(CA)を利用しない
•使用してもよい
•オレオレ証明書でもOK
•DNSSECを利用する
•RFC7672 (2015/10)
盗聴から守る

95. Copyright© QUALITIA CO., LTD. All Rights Reserved.
DANE
クオリティア
メール
サーバ
メール
サーバ
CAの代わりにDNSSECを利用
DNSSEC
公開鍵証明書認証局(CA)
不要
ルートDNS
DNSSEC
信頼
盗聴から守る
_25._tcp.mx1.qualitia.co.jp. IN TLSA 3 0 1 2B73BB905F…"
mx1.qualitia.co.jp

96. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
設定や運用が大変！
盗聴から守る

97. Copyright© QUALITIA CO., LTD. All Rights Reserved.
MTA-STS TLS-RTP DANEの運用
•DNSSECの運用が大変
•そもそもDNSSECが使えない
•Key Rotationめんどくさい
•レポート解析したくない
メール利用者のための
権威DNSSECサービス絶賛開発中
近日公開予定！
注目
盗聴から守る

98. Copyright© QUALITIA CO., LTD. All Rights Reserved.
盗聴から守る (まとめ)
•暗号化ZIP
•STARTTLS
•MTA-STS
•TLS-RPT
•DANE-TLS
•DNSSEC
•DANE-S/MIME (おまけ)
盗聴から守る

99. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何から守りたいのか
•なりすまし・改ざん
•乗っ取り・踏み台
•盗聴
•スパム・マルウェア・フィッシング
•情報漏洩
スパム・マルウェア・フィッシングから守る

100. Copyright© QUALITIA CO., LTD. All Rights Reserved.
スパム・マルウェア・
フィッシング
から守る
スパム・マルウェア・フィッシングから守る

101. Copyright© QUALITIA CO., LTD. All Rights Reserved.
スパムやマルウェアなどから守る
メール
サーバ
メール
サーバ
なりすまし
スパム
ウィルス
フィッシング
スパム・マルウェア・フィッシングから守る

102. Copyright© QUALITIA CO., LTD. All Rights Reserved.
受信メールのセキュリティ
•スパムフィルタ
•ウィルスフィルタ
スパム・マルウェア・フィッシングから守る

103. Copyright© QUALITIA CO., LTD. All Rights Reserved.
だがしかし
ウィルスが暗号化されている！
スパム・マルウェア・フィッシングから守る
ウィルスフィルタで検知できない！

104. Copyright© QUALITIA CO., LTD. All Rights Reserved.
パスワードで解凍してウィルスチェック
パスワードで解凍
ウィルスチェック
サンドボックスで
チェック
安全なもののみ
ダウンロード
注目
スパム・マルウェア・フィッシングから守る

105. Copyright© QUALITIA CO., LTD. All Rights Reserved.
何から守りたいのか
•なりすまし・改ざん
•乗っ取り・踏み台
•盗聴
•スパム・マルウェア・フィッシング
•情報漏洩
情報漏洩から守る

106. Copyright© QUALITIA CO., LTD. All Rights Reserved.
情報漏洩
から守る
情報漏洩から守る

107. Copyright© QUALITIA CO., LTD. All Rights Reserved.
誤送信防止
•メール一時保留
•To, Cc → Bcc変換
•パスワード付きZIP
情報漏洩から守る

108. Copyright© QUALITIA CO., LTD. All Rights Reserved.
WebDownload
クオリティア
メール
サーバ
メール
サーバ
分離
添付ファイル
注目
情報漏洩から守る

109. Copyright© QUALITIA CO., LTD. All Rights Reserved.
EMAILを守るための技術
•なりすまし・改ざん
•乗っ取り・踏み台
•盗聴
•スパム・マルウェア・フィッシング
•情報漏洩
SPF DKIM DMARC ARC BIMI
POP before SMTP SMTP AUTH MFA
STARTTLS MTA-STS TLS-RPT DANE DNSSEC
AntiSPAM AntiVirus SandBox Active! zone
一時保留 PasswordZIP WebDownload Active! gate

110. Copyright© QUALITIA CO., LTD. All Rights Reserved.
紹介した製品・サービス
•BIMI対応ウェブメール 製品
•DKIM署名 サービス
•SMTPの生体認証 製品・サービス
•権威DNSSEC+メール設定支援 サービス
•TLSレポート解析 サービス
•パスワード付きファイルのウィルスチェック 製品
•誤送信防止用 添付ファイル分離 製品・サービス
βユーザ募集！

111. Copyright© QUALITIA CO., LTD. All Rights Reserved.
ご清聴ありがとうございました
• BIMI対応ウェブメール 製品
• DKIM署名 サービス
• SMTPの生体認証 製品・サービス
• 権威DNSSEC+メール設定支援 サービス
• TLSレポート解析 サービス
• パスワード付きファイルのウィルスチェック 製品
• 誤送信防止用 添付ファイル分離 製品
ご清聴ありがとうございました アンケートお願いします