dkim.jp の取り組みについてRFC5863 DomainKeys Identified Mail (DKIM) Development,...

1

dkim.jp の取り組みについて

Japan DKIM Working Group (dkim.jp)

http://www.dkim.jp　 e-mail: [email protected]　 Tel: 050-5817-7650　

2

Copyright©Japan DKIM Working Group. all right reserved.

今日のテーマ　

DKIM Domainkeys identified mail

3


目次

*

1 dkim.jp について

2 DKIM について

3 Phishing 対策と DKIM 　

4 dkim.jp におけるDKIM 普及のロードマップ

5 後に

4


1 dkim.jp について　

5


Japan DKIM Working Group

Japan DKIM Working Group

DKIM の普及を目的として設立

*

6


dkim.jp について

正式名称 Japan DKIM Working Group

通称 dkim.jp

設立日 2010 年 11 月 15 日

参加企業数国内企業約 30 社が参加

オブザーバとして数団体が参加

Web サイト http://www.dkim.jp

dkim.jp

*

7


メンバー一覧 1

Sender　（12）

株式会社アットウェア

エクスペリアンジャパン株式会社

株式会社エイジア

株式会社 HDE

シナジーマーケティング株式会社

トライコーン株式会社

トッパン・フォームズ株式会社

トランスコスモス株式会社

株式会社パイプドビッツ

ユミルリンク株式会社

楽天株式会社

株式会社レピカ

ISP　（12）

イッツ・コミュニケーションズ株式会社

株式会社インターネットイニシアティブ

ＮＥＣビッグローブ株式会社

株式会社ＮＴＴぷらら

ソネットエンタテインメント株式会社

株式会社テクノロジーネットワークス

株式会社ドリーム・トレイン・インターネット

ニフティ株式会社

フリービット株式会社

株式会社ブロードバンドセキュリティ

株式会社NTTPCコミュニケーションズ

ヤフー株式会社

8


メンバー一覧 2

協力団体・オブザーバ　（7）

総務省

フィッシング対策協議会

財団法人インターネット協会

株式会社日本レジストリサービス

一般社団法人JPCERT コーディネーションセンター

新経済連盟

(旧 eビジネス推進連合会)

Vendor　（9）

株式会社アークン

株式会社インフォマニア

クラウドマークジャパン

株式会社シマンテック

センドメール株式会社

ＴｒｕｓｔＳｐｈｅｒｅ

日本オープンウェーブシステムズ株式会社

株式会社日立ソリューションズ

メッセージシステムズ

9


DKIM の普及率

•  Adaptation rate of DKIM in Japan based on trafic –  http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html

Adaptation rate: Around 30% on Nov 2013

dkim.jp started

accelerated

5% 30%

10


Sender の DKIM 対応状況

事業社名 DKIM対応開始 Status

トッパン・フォームズ株式会社 2008.12 対応済

株式会社パイプドビッツ 2010.9 対応済

楽天株式会社 2010.10 対応済

エイケア・システムズ株式会社 2010.12 対応済

株式会社エイジア 2011.5 対応済

株式会社アットウェア 2011.6 対応済

シナジーマーケティング株式会社 2011.6 対応済

株式会社HDE 2011.7 対応済

株式会社プロット 2011.7 対応済

ユミルリンク株式会社 2011.7 対応済

株式会社レピカ 2011.7 対応済

トライコーン株式会社 2011.9 対応済

トランスコスモス株式会社 2012.2 対応済

対応済

11


受信事業者の DKIM 対応状況

ISP Verify

1 its communications Inc. ◯

2 NEC BIGLOBE, Ltd ◯

3 NTT Plala Inc. ✕

4 So-net Entertainment Corporation ◯

5 Technology Networks Inc. ◯

6 Dream Train Internet Inc. 対応予定

7 NIFTY Corporation ◯

8 FreeBit Co., Ltd. 対応予定

9 Internet Initiative Japan Inc. ◯

10 Yahoo Japan Corporation ◯

11 Broadband Security, Inc. ◯

2 10 大手 ISP では DKIM の検証は普及済み

Hotmail, gmail なども対応済み

12


普及率

•  dkim.jp –  http://www.dkim.jp/dkim-jp/dkim-services/

•  データ通信協会 –  http://www.dekyo.or.jp/soudan/auth/

対応状況

13


名称 Status 目的と活動内容

リコメンデーションWG 活動中

DKIM 導入に際してのリコメンデーションの発表。導入形態を標準化し、普及の方向性を定める

RFC 要約 WG 活動中 - DKIM 関連の日本語訳を公開し、日本での DKIM 普及を支援する

広報 WG 活動中

- なりすましの問題と、その解決策としてのDKIM、関連するトピックについて、広く世の中に情報を広め DKIM の普及活動に貢献する。

- dkim.jp のサイトの運営

- 他団体との連携

dkim.jp の活動

14


ミッション　

RFC 要約 WG

Recommendation WG

広報 WG

理解

議論

展開

DKIM 普及

15


Recommendation WG

Webmail MUA ML MSA

Round table

Author/3rd party

Signature MTA

メールの種類ごとの取扱

他技術

DNS DKIM の活用企業ソフトウェア

16


Round table

Table 名テーマ活動期間

Sender Author/3rd party Signature （DKIM-ADSP, DKIM-ATPS）

2012/7 ～

ISP MTA/MSA 2012/7 ～

ML ML 2012/7 ～

Domain Reputation (White List)

DKIM の活用 2012/7 ～

Sender, ISP については Recommendation 発表予定

※ML, whitelist は議論の状況を公開予定

17


RFC# Title ST P#

RFC6376 DomainKeys Identified Mail (DKIM) Signatures DS 76

RFC6541 DomainKeys Identified Mail (DKIM) Authorized Third-Party Signatures XP 16

RFC6377 DomainKeys Identified Mail (DKIM) and Mailing Lists BCP 26

RFC5617 DomainKeys Identified Mail (DKIM) Author Domain Signing Practices (ADSP) PS 21

RFC5451 Message Header Field for Indicating Message Authentication Status PS 43

RFC5518 Vouch By Reference PS 12

RFC6008 Authentication-Results Registration for Differentiating among Cryptographic Results PS 7

RFC6212 Authentication-Results Registration for Vouch by Reference Results PS 7

RFC6591 Authentication Failure Reporting Using the Abuse Reporting Format PS 16

RFC6692 Source Ports in Abuse Reporting Format (ARF) Reports PS 5

RFC4686 Analysis of Threats Motivating DomainKeys Identified Mail (DKIM) I 29

RFC5585 DomainKeys Identified Mail (DKIM) Service Overview I 24

RFC5863 DomainKeys Identified Mail (DKIM) Development, Deployment, and Operations I 51

DMARC Domain-based Message Authentication, Reporting and Conformance (DMARC) -! 70!

RFC 要約 WG

DKIM 関連の RFC の要約を予定

18


2 DKIM について

19


用語

送信ドメイン認証

SPF

Sender ID

DKIM

ADSP

ATPS

第三者署名

作成者署名

Envelope From

Header From

d= (d タグ)

DMARC

20


なりすまし対策の技術と特徴　

技術守るもの方式転送第三者投稿 ML

SPF Envelope From NW ✕ ✕ ◯

DKIM Header From d= のドメイン

NW ◯ ✕ ✕

Sender ID

Envelope From Header From Sender Resent-From Resent-Sender のどれか

電子署名 ✕ ✕ ◯

※ 必ずしも◯✕は正しくない。特徴を端的に表す典型例の表記。

　Header From のドメインを守るなら DKIM

送信ドメイン認証

21


DKIM とは？

署名を検証し送信者の正当性を確認

公開鍵問い合わせ

X.example.com

Z.spam.example.com

Y.example.com

電子署名を利用した送信元認証

MSA/MTA

DNS

MTA

受信

送信

X.example.com

22


作成者署名と第三者署名について

•  作成者署名 –  d= タグと From: で示すドメインが同一 –  標準的な署名方法

•  第三者署名 –  d= タグと From: で示すドメインが異なる

–  以下の例はサブドメイン付きという違いだが、全く違うドメインでも可

DKIM-Signature:

（～略～） d=example.jp; s=dkim20101115; b=xdIeG4cUHIBhU0nix2V5tK9Z （～略～）

From: <[email protected]>

Subject: こんにちは。

お世話になっております。 example.jp です。 …

DKIM-Signature:

（～略～） d=sender.example.jp; s=senderdkim20101115; b=xdIeG4cUHIBhU0nix2V5tK9Z （～略～）

From: <[email protected]>

Subject: こんにちは。

お世話になっております。 example.jp です。 …

署名者(d=) を認証する技術

23


基本モデル

DNS (A) DNS (B) MTA 　　(Sign)

From: A To: C d=A

From: A To: C d=B

MTA (Verify)

第三者署名作成者署名

d=B d=A

ADSP

MTAの管理者の鍵で署名を代行するドメインオーナーの鍵で署名する

24


DKIMとシステムの関係

MTA MTA MUA

受信者送信者ユーザ

署名する(Sign)

検証する(Verify)

可視化する(Visualize)

　DKIM への対応は 3 箇所で必要

ここで discard が理想　

SPF でも同じ　

25


DKIM の「署名(Sign)」に必要な作業

•  DKIMで署名したいドメインを決定する –  あなたがドメインオーナーだと仮定して、

所有するドメインのうちDKIM対応したいもの(“d”)を決定する

•  DKIMに使用するRSA鍵のペアを作成する –  RSA鍵ペアを生成する。「公開鍵」と「秘密鍵」が対になって生成される

（鍵の作成の際には、その組み合わせを示す「セレクタ名(“s”)」を任意に決める）

–  秘密鍵は、MSA(メール送信サーバ)にファイルとして設置する。組織内でも運用担当者のみなど限られたアクセスとする。

–  公開鍵は、そのドメインのDNSサーバにTXT RR（テキストレコード）として設置する。インターネットから誰でも引けるようにしておく。

STEP 1

STEP 2

example.jpドメインのDNS TXTレコード

dkim20101115._domainkey IN TXT "v=DKIM1; g=*; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC42q2GmH+fSCU3z/jqA2makU1NXh18FGpRtDlGg6WQ+Dm0Snh4DZhZaSUFND3kG3V7UteWYHpVojCSaeN+luHHZXTBBMJ4yqBuNphtD+QZhGgrlqAwFH4hBJII7q05cCNCEP+XFwijYuO95FOSAvtn4A9OcaGbS2gwiW9uL841mwIDAQAB"

TXT RR の例

MTA MTA MUA


Sign Verify Visualize

26


DKIM の「署名(Sign)」に必要な作業

•  MSAにDKIM署名を付与する改修を実施する –  秘密鍵とメール本文より、メールごとにDKIMの署名が生成される –  DKIMの署名は ”DKIM-Signature” という専用のヘッダに格納される

STEP 3

DKIM-Signature:

v=1; a=rsa-sha256; c=simple/simple; d=example.jp; s=dkim20101115; t=1308471652; bh=KF7zwHMa9ToPtsGy8urMTpCLCfTnzrcJ6mxHnrWCffQ=; h=To:Sender:MIME-Version:Subject:From:Content-Type: Content-Transfer-Encoding:Message-Id:Date; b=xdIeG4cUHIBhU0nix2V5tK9ZN7QwnKd+qYuFamqtZpon2EfsKfSwdGhSHvU6fRj3z dp6tVjGpT64hx4eayxKcnjHTYMq8yRVgEPp9naNrCD7SIX70P6LvrbFpMZc85Exxpx FZdETOXsumsY7pt6tpP9puwjN3/5EsYuwWM63AUY=

DKIM-Signatureヘッダの例

MTA MTA MUA



27


Authentication-Results: example.com; sender-id=pass header.from=example.jp; dkim=pass (good signature) [email protected]

DKIM の「検証(Verify)」に必要な作業

•  MTAにDKIM署名を検証する改修を実施する –  ①DKIM署名(DKIM-Signatureヘッダ)と ②メール本文、③DNSから得た公開鍵により

、メールごとにDKIMの検証が行えるようになる

•  DKIM検証結果をメールヘッダに格納する –  DKIMの検証結果は ” Authentication-Results” という専用のヘッダに格納される

–  このヘッダの内容を見ることで、MUAなどがメールの制御が可能になる

主な結果内容

pass 検証成功

fail 検証失敗

permerror 永続的検証エラー

temperror 一時的検証エラー

none, neutral 検証せず

STEP 1

STEP 2

認証結果の一覧

MTA MTA MUA



28


ADSP とは？

値概要作成者署名対応率

unknown このドメインから送信されるメールは、いくつか又はすべてに作成者署名対応されている。adsp レコードを記載していない場合は、unknown と同様の扱いになる

0 % ～ 100 %

all このドメインから送信されるメールは、すべてに作成者署名対応されている。

100%

discardable このドメインから送信されるメールは、すべてに作成者署名対応されている。もしそうでないメールの場合は受信者でメールを破棄することが望まれる。

100%

ADSP (Author Domain Signing Protocol); RFC5617 　作成者署名の検証に失敗したメールをどう扱って欲しいかを宣言する規格

_adsp._domainkey.example.com IN TXT "dkim=all"

29


DKIM 処理フロー(+ADSP & ATPS)

dkim = ｐass 以外(fail　や none など)

d= tag と From チェックで一致す

るかどうか？

DKIM Verify

dkim = pass

次の処理

NO ADSP 参照

スコア

ポリシー参照

unknown al l discardable

次の処理

エラー

次の処理

ATPS 参照

From と参照結果を

検証

不一致

一致

※ ATPS の説明は省略。

30


DKIM の「可視化(Visualize)」に必要な作業

•  MUAでのAuthentication-Results利用 –  Authentication-Resultsヘッダだけでは分かりづらい

–  MUAやWebメール上で結果をわかりやすく表示

DKIM… その先の利用

MTA MTA MUA



Gmailでの例（特定のドメインで表示）

•  Domain Reputation –  ドメインごとに評判情報を生成し、迷惑メール判定等に利用

–  受信者に評判の高いドメインは優先的に受信フォルダへ

31


3 Phishing 対策と DKIM

32


Phishing と Email

Phishing の入り口は Email

　入り口での対策(なりすまし対策)が重要

Phishing メールの多くが送信元を詐称

※ Phishing 対策のうちメールで実施すべきものの話

33


基本モデル

MTA (Sender)

Reputation MTA

(Receiver) Inbox

Junkbox

なりすまし

なりすましを見抜く

ドメイン認証ホワイトリスト

なりすまし

正しいメールしか配送しない　

discard

34


SPF の –all もかけるなら書こう

ドメイン認証となりすまし対策

送信者 SPF DKIM ADSP mailbox

5xx Discard

Sender Policy がはっきりしていれば実現できる

Sender Policy

ドメインの評価

Domain Reputation など

Junkbox

PASS

それ以外

PASS

それ以外

※法律への対応は必要

現実的には難しい？

35


Phishing 対策と DKIM

DKIM の作成者署名を強く推奨

DKIM

(作成者署名)

DKIM

(第三者署名)

SPF

(SenderID) ≒

Phishing 対策という意味では、

見えないものの評価

※ Header From に何が設定されていても、PASS させることが出来る

見えるものの評価

36


Phishing 対策　（送信側）

　DKIM の作成者署名を付加する

　これで From Header が守れる　

　ADSP: discardable (all) を宣言する

Phishing 対策における DKIM の使い方

作成者署名が PASS しなかったメール以外は捨てら（discard さ）れる

正当なメールしか届かない

受信事業者が ADSP を解釈すれば

37


ADSP: discardable のリスク

　ML へのメールが配送できない

　加工の加わる転送で出来ない

　ADSP: discardable を宣言できる

コミュニケーションメール以外で、問題になることはあるのか？

メルマガ

販促・広告

リマインダ

パスワード更新

取引完了通知

問題ない

38


まとめ

•  作成者署名を使う •  ADSP は discardable を宣言するべき •  この場合、「ML への配送」ができなく

なると考える。そのリスクを許容出来るメールのほうが多いはず。

ドメインオーナーがそのドメインで送られるメールに責任を持つ

39


4 dkim.jp におけるDKIM 普及のロードマップ

40


戦略

STEP 1

STEP 2

トラフィック　（メッセージ数）

ドメ

イン

数　

Sender

ISP

Hosting, DNS, Domain

MUA, Webmail

トラフィック比に対する普及率

ドメイン数に対する普及率

STEP 1

STEP 2

41


普及の戦略　

dkim.jp 内

dkim.jp 外


ドメイン数比 up のアプローチ(STEP 2)

流量比 up のアプローチ(STEP 1)

今日は、青枠に該当する方が多い？

Verify が広まれば Sign のモチベーションになる

42


メールのプレイヤー（Sign）

ISP/ESP一般受信者

ECサイトドメイン/DNS

ホスティング/ASP

企業/大学

会社員/学生

顧客企業携帯キャリア

一般送信者

企業

送信代行

銀行

Phishing 対策の必要性が高い業種

ドメインを大量に管理している業種

43


第三者署名を使った場合のステップ

第三者署名　　　(MTA の対応)

ATPS 対応　　(DNS の対応)

作成者署名へ切り替え　　

(DNS の対応) 送信代行事業者など

作成者署名 100 %

(MTA の対応)

ADSP: discardable/all の宣言　　　　

(DNS の対応)

Experimental

STEP 0.1

STEP 0.2

STEP 1

STEP 2

STEP 3

終的に第三者署名は無視

※ ATPS は Experimental の範囲で考慮

44


第三者署名に関する補足


From: A To: C d=A

From: A To: C d=B

MTA (Verify)

第三者署名作成者署名

d=B d=A

ADSP

MTA（Sign）がどこにあるか？

45




From: A To: C d=A

From: A To: C d=B

MTA (Verify)

送信 (代行) 者ドメインオーナー

d=B d=A

ADSP

作成者署名を使う

46




From: A To: C d=A

From: A To: C d=B

MTA (Verify)

送信(代行)者ドメインオーナー

d=B d=A

ADSP

「まず」　第三者署名をつける

MTA (sign) で作った鍵を個々に置くと作成者署名になる

47


基本的には作成者署名を利用する

1 通ずつでも対応できる　

作成者署名出来ない場合は、まず「第三者署名」を

DKIM への対応のポイント

終的には 100% のメールにサインする

署名の仕方

展開の仕方

48


直近のゴール

ADSP discardable または all を宣言する

作成者署名の向上

Sign

DKIM, ADSP, ATPS を検証する

Verify

認証結果をユーザに見せる

Visualize

49


5 後に

50


作成者署名の付加　

フィッシング対策協議会への提案

ADSP を discardable (または all) で宣言

メンバー内対応率 100% を目指そう！

1 年以内！！

51


作成者署名の付加　

銀行・金融関係の方

ADSP を discardable で宣言

ホワイトリスト

受信事業者

※ユーザの同意は必要です。

Whitelist table

で議論中

52


Contact

[email protected]

http://dkim.jp

dkim.jp の取り組みについてRFC5863 DomainKeys Identified Mail (DKIM) Development,...

Documents

Transcript of dkim.jp の取り組みについてRFC5863 DomainKeys Identified Mail (DKIM) Development,...