dkim.jp の取り組みについてrfc5863 domainkeys identified mail (dkim) development,...
TRANSCRIPT
1
dkim.jp の取り組みについて
Japan DKIM Working Group (dkim.jp)
http://www.dkim.jp e-mail: [email protected] Tel: 050-5817-7650
2
Copyright©Japan DKIM Working Group. all right reserved.
今日のテーマ
DKIM Domainkeys identified mail
3
Copyright©Japan DKIM Working Group. all right reserved.
目次
*
1 dkim.jp について
2 DKIM について
3 Phishing 対策と DKIM
4 dkim.jp におけるDKIM 普及のロードマップ
5 後に
4
Copyright©Japan DKIM Working Group. all right reserved.
1 dkim.jp について
5
Copyright©Japan DKIM Working Group. all right reserved.
Japan DKIM Working Group
Japan DKIM Working Group
DKIM の普及を目的として設立
*
6
Copyright©Japan DKIM Working Group. all right reserved.
dkim.jp について
正式名称 Japan DKIM Working Group
通称 dkim.jp
設立日 2010 年 11 月 15 日
参加企業数 国内企業約 30 社が参加
オブザーバとして数団体が参加
Web サイト http://www.dkim.jp
dkim.jp
*
7
Copyright©Japan DKIM Working Group. all right reserved.
メンバー一覧 1
Sender (12)
株式会社 アットウェア
エクスペリアンジャパン株式会社
株式会社エイジア
株式会社 HDE
シナジーマーケティング株式会社
トライコーン株式会社
トッパン・フォームズ株式会社
トランスコスモス株式会社
株式会社パイプドビッツ
ユミルリンク株式会社
楽天株式会社
株式会社レピカ
ISP (12)
イッツ・コミュニケーションズ株式会社
株式会社インターネットイニシアティブ
NECビッグローブ株式会社
株式会社NTTぷらら
ソネットエンタテインメント株式会社
株式会社テクノロジーネットワークス
株式会社ドリーム・トレイン・インターネット
ニフティ株式会社
フリービット株式会社
株式会社ブロードバンドセキュリティ
株式会社NTTPCコミュニケーションズ
ヤフー株式会社
8
Copyright©Japan DKIM Working Group. all right reserved.
メンバー一覧 2
協力団体・オブザーバ (7)
総務省
フィッシング対策協議会
財団法人インターネット協会
株式会社日本レジストリサービス
一般社団法人JPCERT コーディネーションセンター
新経済連盟
(旧 eビジネス推進連合会)
Vendor (9)
株式会社アークン
株式会社インフォマニア
クラウドマーク ジャパン
株式会社シマンテック
センドメール株式会社
TrustSphere
日本オープンウェーブシステムズ株式会社
株式会社 日立ソリューションズ
メッセージシステムズ
9
Copyright©Japan DKIM Working Group. all right reserved.
DKIM の普及率
• Adaptation rate of DKIM in Japan based on trafic – http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html
Adaptation rate: Around 30% on Nov 2013
dkim.jp started
accelerated
5% 30%
10
Copyright©Japan DKIM Working Group. all right reserved.
Sender の DKIM 対応状況
事業社名 DKIM対応開始 Status
トッパン・フォームズ株式会社 2008.12 対応済
株式会社パイプドビッツ 2010.9 対応済
楽天株式会社 2010.10 対応済
エイケア・システムズ株式会社 2010.12 対応済
株式会社エイジア 2011.5 対応済
株式会社アットウェア 2011.6 対応済
シナジーマーケティング株式会社 2011.6 対応済
株式会社HDE 2011.7 対応済
株式会社プロット 2011.7 対応済
ユミルリンク株式会社 2011.7 対応済
株式会社レピカ 2011.7 対応済
トライコーン株式会社 2011.9 対応済
トランスコスモス株式会社 2012.2 対応済
対応済
11
Copyright©Japan DKIM Working Group. all right reserved.
受信事業者の DKIM 対応状況
ISP Verify
1 its communications Inc. ◯
2 NEC BIGLOBE, Ltd ◯
3 NTT Plala Inc. ✕
4 So-net Entertainment Corporation ◯
5 Technology Networks Inc. ◯
6 Dream Train Internet Inc. 対応予定
7 NIFTY Corporation ◯
8 FreeBit Co., Ltd. 対応予定
9 Internet Initiative Japan Inc. ◯
10 Yahoo Japan Corporation ◯
11 Broadband Security, Inc. ◯
2 10 大手 ISP では DKIM の検証は普及済み
Hotmail, gmail なども対応済み
12
Copyright©Japan DKIM Working Group. all right reserved.
普及率
• dkim.jp – http://www.dkim.jp/dkim-jp/dkim-services/
• データ通信協会 – http://www.dekyo.or.jp/soudan/auth/
対応状況
13
Copyright©Japan DKIM Working Group. all right reserved.
名称 Status 目的と活動内容
リコメンデーションWG 活動中
DKIM 導入に際してのリコメンデーションの発表。導入形態を標準化し、普及の方向性を定める
RFC 要約 WG 活動中 - DKIM 関連の日本語訳を公開し、日本での DKIM 普及を支援する
広報 WG 活動中
- なりすましの問題と、その解決策としてのDKIM、関連するトピックについて、広く世の中に情報を広め DKIM の普及活動に貢献する。
- dkim.jp のサイトの運営
- 他団体との連携
dkim.jp の活動
14
Copyright©Japan DKIM Working Group. all right reserved.
ミッション
RFC 要約 WG
Recommendation WG
広報 WG
理解
議論
展開
DKIM 普及
15
Copyright©Japan DKIM Working Group. all right reserved.
Recommendation WG
Webmail MUA ML MSA
Round table
Author/3rd party
Signature MTA
メールの種類ごとの取扱
他技術
DNS DKIM の活用 企業 ソフトウェア
16
Copyright©Japan DKIM Working Group. all right reserved.
Round table
Table 名 テーマ 活動期間
Sender Author/3rd party Signature (DKIM-ADSP, DKIM-ATPS)
2012/7 ~
ISP MTA/MSA 2012/7 ~
ML ML 2012/7 ~
Domain Reputation (White List)
DKIM の活用 2012/7 ~
Sender, ISP については Recommendation 発表予定
※ML, whitelist は議論の状況を公開予定
17
Copyright©Japan DKIM Working Group. all right reserved.
RFC# Title ST P#
RFC6376 DomainKeys Identified Mail (DKIM) Signatures DS 76
RFC6541 DomainKeys Identified Mail (DKIM) Authorized Third-Party Signatures XP 16
RFC6377 DomainKeys Identified Mail (DKIM) and Mailing Lists BCP 26
RFC5617 DomainKeys Identified Mail (DKIM) Author Domain Signing Practices (ADSP) PS 21
RFC5451 Message Header Field for Indicating Message Authentication Status PS 43
RFC5518 Vouch By Reference PS 12
RFC6008 Authentication-Results Registration for Differentiating among Cryptographic Results PS 7
RFC6212 Authentication-Results Registration for Vouch by Reference Results PS 7
RFC6591 Authentication Failure Reporting Using the Abuse Reporting Format PS 16
RFC6692 Source Ports in Abuse Reporting Format (ARF) Reports PS 5
RFC4686 Analysis of Threats Motivating DomainKeys Identified Mail (DKIM) I 29
RFC5585 DomainKeys Identified Mail (DKIM) Service Overview I 24
RFC5863 DomainKeys Identified Mail (DKIM) Development, Deployment, and Operations I 51
DMARC Domain-based Message Authentication, Reporting and Conformance (DMARC) -! 70!
RFC 要約 WG
DKIM 関連の RFC の要約を予定
18
Copyright©Japan DKIM Working Group. all right reserved.
2 DKIM について
19
Copyright©Japan DKIM Working Group. all right reserved.
用語
送信ドメイン認証
SPF
Sender ID
DKIM
ADSP
ATPS
第三者署名
作成者署名
Envelope From
Header From
d= (d タグ)
DMARC
20
Copyright©Japan DKIM Working Group. all right reserved.
なりすまし対策の技術と特徴
技術 守るもの 方式 転送 第三者投稿 ML
SPF Envelope From NW ✕ ✕ ◯
DKIM Header From d= のドメイン
NW ◯ ✕ ✕
Sender ID
Envelope From Header From Sender Resent-From Resent-Sender のどれか
電子署名 ✕ ✕ ◯
※ 必ずしも◯✕は正しくない。特徴を端的に表す典型例の表記。
Header From のドメインを守るなら DKIM
送信ドメイン認証
21
Copyright©Japan DKIM Working Group. all right reserved.
DKIM とは?
署名を検証し送信者の正当性を確認
公開鍵問い合わせ
X.example.com
Z.spam.example.com
Y.example.com
電子署名を利用した送信元認証
MSA/MTA
DNS
MTA
受信
送信
X.example.com
22
Copyright©Japan DKIM Working Group. all right reserved.
作成者署名と第三者署名について
• 作成者署名 – d= タグと From: で示すドメインが同一 – 標準的な署名方法
• 第三者署名 – d= タグと From: で示すドメインが異なる
– 以下の例はサブドメイン付きという違いだが、全く違うドメインでも可
DKIM-Signature:
(~略~) d=example.jp; s=dkim20101115; b=xdIeG4cUHIBhU0nix2V5tK9Z (~略~)
From: <[email protected]>
Subject: こんにちは。
お世話になっております。 example.jp です。 …
DKIM-Signature:
(~略~) d=sender.example.jp; s=senderdkim20101115; b=xdIeG4cUHIBhU0nix2V5tK9Z (~略~)
From: <[email protected]>
Subject: こんにちは。
お世話になっております。 example.jp です。 …
署名者(d=) を認証する技術
23
Copyright©Japan DKIM Working Group. all right reserved.
基本モデル
DNS (A) DNS (B) MTA (Sign)
From: A To: C d=A
From: A To: C d=B
MTA (Verify)
第三者署名 作成者署名
d=B d=A
ADSP
MTAの管理者の鍵で署名を代行する ドメインオーナーの鍵で署名する
24
Copyright©Japan DKIM Working Group. all right reserved.
DKIMとシステムの関係
MTA MTA MUA
受信者 送信者 ユーザ
署名する(Sign)
検証する(Verify)
可視化する(Visualize)
DKIM への対応は 3 箇所で必要
ここで discard が理想
SPF でも同じ
25
Copyright©Japan DKIM Working Group. all right reserved.
DKIM の「署名(Sign)」に必要な作業
• DKIMで署名したいドメインを決定する – あなたがドメインオーナーだと仮定して、
所有するドメインのうちDKIM対応したいもの(“d”)を決定する
• DKIMに使用するRSA鍵のペアを作成する – RSA鍵ペアを生成する。「公開鍵」と「秘密鍵」が対になって生成される
(鍵の作成の際には、その組み合わせを示す「セレクタ名(“s”)」を任意に決める)
– 秘密鍵は、MSA(メール送信サーバ)にファイルとして設置する。組織内でも運用担当者のみなど限られたアクセスとする。
– 公開鍵は、そのドメインのDNSサーバにTXT RR(テキストレコード)として設置する。インターネットから誰でも引けるようにしておく。
STEP 1
STEP 2
example.jpドメインのDNS TXTレコード
dkim20101115._domainkey IN TXT "v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC42q2GmH+fSCU3z/jqA2makU1NXh18FGpRtDlGg6WQ+Dm0Snh4DZhZaSUFND3kG3V7UteWYHpVojCSaeN+luHHZXTBBMJ4yqBuNphtD+QZhGgrlqAwFH4hBJII7q05cCNCEP+XFwijYuO95FOSAvtn4A9OcaGbS2gwiW9uL841mwIDAQAB"
TXT RR の例
MTA MTA MUA
受信者 送信者 ユーザ
Sign Verify Visualize
26
Copyright©Japan DKIM Working Group. all right reserved.
DKIM の「署名(Sign)」に必要な作業
• MSAにDKIM署名を付与する改修を実施する – 秘密鍵とメール本文より、メールごとにDKIMの署名が生成される – DKIMの署名は ”DKIM-Signature” という専用のヘッダに格納される
STEP 3
DKIM-Signature:
v=1; a=rsa-sha256; c=simple/simple; d=example.jp; s=dkim20101115; t=1308471652; bh=KF7zwHMa9ToPtsGy8urMTpCLCfTnzrcJ6mxHnrWCffQ=; h=To:Sender:MIME-Version:Subject:From:Content-Type: Content-Transfer-Encoding:Message-Id:Date; b=xdIeG4cUHIBhU0nix2V5tK9ZN7QwnKd+qYuFamqtZpon2EfsKfSwdGhSHvU6fRj3z dp6tVjGpT64hx4eayxKcnjHTYMq8yRVgEPp9naNrCD7SIX70P6LvrbFpMZc85Exxpx FZdETOXsumsY7pt6tpP9puwjN3/5EsYuwWM63AUY=
DKIM-Signatureヘッダの例
MTA MTA MUA
受信者 送信者 ユーザ
Sign Verify Visualize
27
Copyright©Japan DKIM Working Group. all right reserved.
Authentication-Results: example.com; sender-id=pass header.from=example.jp; dkim=pass (good signature) [email protected]
DKIM の「検証(Verify)」に必要な作業
• MTAにDKIM署名を検証する改修を実施する – ①DKIM署名(DKIM-Signatureヘッダ)と ②メール本文、③DNSから得た公開鍵 により
、メールごとにDKIMの検証が行えるようになる
• DKIM検証結果をメールヘッダに格納する – DKIMの検証結果は ” Authentication-Results” という専用のヘッダに格納される
– このヘッダの内容を見ることで、MUAなどがメールの制御が可能になる
主な結果 内容
pass 検証成功
fail 検証失敗
permerror 永続的検証エラー
temperror 一時的検証エラー
none, neutral 検証せず
STEP 1
STEP 2
認証結果の一覧
MTA MTA MUA
受信者 送信者 ユーザ
Sign Verify Visualize
28
Copyright©Japan DKIM Working Group. all right reserved.
ADSP とは?
値 概要 作成者署名 対応率
unknown このドメインから送信されるメールは、いくつか又はすべてに作成者署名対応されている。adsp レコードを記載していない場合は、unknown と同様の扱いになる
0 % ~ 100 %
all このドメインから送信されるメールは、すべてに作成者署名対応されている。
100%
discardable このドメインから送信されるメールは、すべてに作成者署名対応されている。もしそうでないメールの場合は受信者でメールを破棄することが望まれる。
100%
ADSP (Author Domain Signing Protocol); RFC5617 作成者署名の検証に失敗したメールをどう扱って欲しいかを宣言する規格
_adsp._domainkey.example.com IN TXT "dkim=all"
29
Copyright©Japan DKIM Working Group. all right reserved.
DKIM 処理フロー(+ADSP & ATPS)
dkim = pass 以外(fail や none など)
d= tag と From チェックで一致す
るかどうか?
DKIM Verify
dkim = pass
次の処理
NO ADSP 参照
スコア
ポリシー参照
unknown al l discardable
次の処理
エラー
次の処理
ATPS 参照
From と参照結果を
検証
不一致
一致
※ ATPS の説明は省略。
30
Copyright©Japan DKIM Working Group. all right reserved.
DKIM の「可視化(Visualize)」に必要な作業
• MUAでのAuthentication-Results利用 – Authentication-Resultsヘッダだけでは分かりづらい
– MUAやWebメール上で結果をわかりやすく表示
DKIM… その先の利用
MTA MTA MUA
受信者 送信者 ユーザ
Sign Verify Visualize
Gmailでの例(特定のドメインで表示)
• Domain Reputation – ドメインごとに評判情報を生成し、迷惑メール判定等に利用
– 受信者に評判の高いドメインは優先的に受信フォルダへ
31
Copyright©Japan DKIM Working Group. all right reserved.
3 Phishing 対策と DKIM
32
Copyright©Japan DKIM Working Group. all right reserved.
Phishing と Email
Phishing の入り口は Email
入り口での対策(なりすまし対策)が重要
Phishing メールの多くが送信元を詐称
※ Phishing 対策のうちメールで実施すべきものの話
33
Copyright©Japan DKIM Working Group. all right reserved.
基本モデル
MTA (Sender)
Reputation MTA
(Receiver) Inbox
Junkbox
なりすまし
なりすましを見抜く
ドメイン認証 ホワイトリスト
なりすまし
正しいメールしか配送しない
discard
34
Copyright©Japan DKIM Working Group. all right reserved.
SPF の –all もかけるなら書こう
ドメイン認証となりすまし対策
送信者 SPF DKIM ADSP mailbox
5xx Discard
Sender Policy がはっきりしていれば実現できる
Sender Policy
ドメインの評価
Domain Reputation など
Junkbox
PASS
それ以外
PASS
それ以外
※法律への対応は必要
現実的には難しい?
35
Copyright©Japan DKIM Working Group. all right reserved.
Phishing 対策と DKIM
DKIM の作成者署名を強く推奨
DKIM
(作成者署名)
DKIM
(第三者署名)
SPF
(SenderID) ≒
Phishing 対策という意味では、
見えないものの評価
※ Header From に何が設定されていても、PASS させることが出来る
見えるものの評価
36
Copyright©Japan DKIM Working Group. all right reserved.
Phishing 対策 (送信側)
DKIM の作成者署名を付加する
これで From Header が守れる
ADSP: discardable (all) を宣言する
Phishing 対策における DKIM の使い方
作成者署名が PASS しなかったメール以外は捨てら(discard さ) れる
正当なメールしか届かない
受信事業者が ADSP を解釈すれば
37
Copyright©Japan DKIM Working Group. all right reserved.
ADSP: discardable のリスク
ML へのメールが配送できない
加工の加わる転送で出来ない
ADSP: discardable を宣言できる
コミュニケーションメール以外で、問題になることはあるのか?
メルマガ
販促・広告
リマインダ
パスワード更新
取引完了通知
問題ない
38
Copyright©Japan DKIM Working Group. all right reserved.
まとめ
• 作成者署名を使う • ADSP は discardable を宣言するべき • この場合、「ML への配送」 ができなく
なると考える。そのリスクを許容出来るメールのほうが多いはず。
ドメインオーナーがそのドメインで送られるメールに責任を持つ
39
Copyright©Japan DKIM Working Group. all right reserved.
4 dkim.jp におけるDKIM 普及のロードマップ
40
Copyright©Japan DKIM Working Group. all right reserved.
戦略
STEP 1
STEP 2
トラフィック (メッセージ数)
ドメ
イン
数
Sender
ISP
Hosting, DNS, Domain
MUA, Webmail
トラフィック比に対する普及率
ドメイン数に対する普及率
STEP 1
STEP 2
41
Copyright©Japan DKIM Working Group. all right reserved.
普及の戦略
dkim.jp 内
dkim.jp 外
Sign Verify Visualize
ドメイン数比 up のアプローチ(STEP 2)
流量比 up のアプローチ(STEP 1)
今日は、青枠に該当する方が多い?
Verify が広まれば Sign のモチベーションになる
42
Copyright©Japan DKIM Working Group. all right reserved.
メールのプレイヤー(Sign)
ISP/ESP一般受信者
ECサイト ドメイン/DNS
ホスティング/ASP
企業/大学
会社員/学生
顧客企業携帯キャリア
一般送信者
企業
送信代行
銀行
Phishing 対策の必要性が高い業種
ドメインを大量に管理している業種
43
Copyright©Japan DKIM Working Group. all right reserved.
第三者署名を使った場合のステップ
第三者署名 (MTA の対応)
ATPS 対応 (DNS の対応)
作成者署名へ切り替え
(DNS の対応) 送信代行事業者など
作成者署名 100 %
(MTA の対応)
ADSP: discardable/all の宣言
(DNS の対応)
Experimental
STEP 0.1
STEP 0.2
STEP 1
STEP 2
STEP 3
終的に第三者署名は無視
※ ATPS は Experimental の範囲で考慮
44
Copyright©Japan DKIM Working Group. all right reserved.
第三者署名に関する補足
DNS (A) DNS (B) MTA (Sign)
From: A To: C d=A
From: A To: C d=B
MTA (Verify)
第三者署名 作成者署名
d=B d=A
ADSP
MTA(Sign) がどこにあるか?
45
Copyright©Japan DKIM Working Group. all right reserved.
第三者署名に関する補足
DNS (A) DNS (B) MTA (Sign)
From: A To: C d=A
From: A To: C d=B
MTA (Verify)
送信 (代行) 者 ドメインオーナー
d=B d=A
ADSP
作成者署名を使う
46
Copyright©Japan DKIM Working Group. all right reserved.
第三者署名に関する補足
DNS (A) DNS (B) MTA (Sign)
From: A To: C d=A
From: A To: C d=B
MTA (Verify)
送信(代行)者 ドメインオーナー
d=B d=A
ADSP
「まず」 第三者署名をつける
MTA (sign) で作った鍵を個々に置くと作成者署名になる
47
Copyright©Japan DKIM Working Group. all right reserved.
基本的には作成者署名を利用する
1 通ずつでも対応できる
作成者署名出来ない場合は、まず 「第三者署名」 を
DKIM への対応のポイント
終的には 100% のメールにサインする
署名の仕方
展開の仕方
48
Copyright©Japan DKIM Working Group. all right reserved.
直近のゴール
ADSP discardable または all を宣言する
作成者署名の向上
Sign
DKIM, ADSP, ATPS を検証する
Verify
認証結果をユーザに見せる
Visualize
49
Copyright©Japan DKIM Working Group. all right reserved.
5 後に
50
Copyright©Japan DKIM Working Group. all right reserved.
作成者署名の付加
フィッシング対策協議会への提案
ADSP を discardable (または all) で宣言
メンバー内 対応率 100% を目指そう!
1 年以内!!
51
Copyright©Japan DKIM Working Group. all right reserved.
作成者署名の付加
銀行・金融関係の方
ADSP を discardable で宣言
ホワイトリスト
受信事業者
※ユーザの同意は必要です。
Whitelist table
で議論中