8割近くの企業は電子メールのなりすましを防ぐDMARCを採用していない 32
ストーリー by hylom
あまりまだ知られていないのだろうか 部門より
あまりまだ知られていないのだろうか 部門より
Anonymous Coward曰く、
電子メールにおける「なりすまし」を防ぐための技術として「DMARC」があるが、世界の企業でこれを採用している例はまだ少ないという。
セキュリティ分析会社250okが、Fortune 500にランクインしている企業や米国政府などが使用するドメインを対象にDMARCの利用状況を調査した。それによると、約79.7%がDMARCを利用していないという(調査結果PDF)。これは、ほとんどの企業がビジネス用電子メールのBEC攻撃、フィッシングEメール、およびEメール詐欺に対して脆弱であることを意味している。
DMARCの普及が進まないのは、DMARCを採用するメリットがあまり理解されていないためだという。それでもDMARCの採用率は、以前より改善しているそうだ。FTCの2017年の調査データによると、重要なオンラインプレゼンスを持つ569の企業のうち、自社ドメインにDMARCポリシーを展開しているのは10%だった。また、2018年11月に行われたAgariのレポートでは、Fortune 500企業の半数がDMARCをサポートしていたという。
ただし、偽装ドメインからのスパム、フィッシング、および詐欺を防ぐためのポリシーを設定しているのは、そのうちの13%に過ぎないとのことで、まだまだ改善の余地があるようだ(ZDNet、Slashdot)。
理解されない (スコア:3, すばらしい洞察)
PRや啓蒙は大切だ
>DMARCの普及が進まないのは、DMARCを採用するメリットがあまり理解されていないためだという。
こんなに優秀なオレサマが就職できないのは、企業がオレサマを理解できないからだ
という怨嗟の声を連想した
Re: (スコア:0)
PRや啓蒙は大切だ
プラス設定のしやすさや構築時のデフォルトでの有効化ですね
SPFにしろDKIMにしろDMARCにしろ
それなりの構築スキルないと触れないし
にわか設定して事故ったら情報届かなくなるんで
構築初心者は手出せない
この手のものはどうにも聖域的な圧力があるのか
普及とは真反対の仕様で作られちゃってるんですよねぇ
昔ながらのコンソールでconf書いてく手法は残っていてほしいですが
そろそろ未来的に機能や制限をWYSIWYGに配置構築していくらい
わかりやすいUIを目指してもいいんじゃないかな
仕様策定者的には
そんなの実装するやつが考えろとか
実運用のことなんて知らん
ってな感じなんでしょうかねぇ
普及するもんてその辺まで考えてるから普及するもんなんですけれどね
# もしくは法による強制実装ですかね
Re: (スコア:0)
Win9xの頃に、Windowsのウィザードを筆頭にその手の物は大量に開発されてたよ。
なんとか使える物もあったけど、かなりの数が「顧客が本当に必要だったもの [nicovideo.jp]」みたいな出来損ないだった。
技術じゃなくて意思疎通の問題だからねぇ……
設定方法を統合するAPIとか用意して寄せてくことは可能だろうけど。
DMARC (スコア:0)
なんか新しい圧縮形式かと思った
Re:DMARC (スコア:2)
Device Mapper ARChive(r)とかあるのかとおもた。
Re: (スコア:0)
Direct Mail Archiver
Re: (スコア:0)
Direct Mail Archiver
メールを圧縮。。。LHCか!
# ブラウン管工房を確保しなきゃ
Re: (スコア:0)
メール署名だけだとダメなの?
# 最近Comodoの無料メール署名サービスがなくなって、しょんぼり
たいした意味ないような? (スコア:0)
なりすましって、本物に似た紛らわしいドメイン名取得してそれを使った奴が多いけど、
そういうのはDMARCじゃ防げないでしょ。
ドメイン詐称のspamは昔はすごく多かったけど、昔に比べると今はすごく減ってて、
自前でドメインとってSPFもDKIMもpassするようなspam送ってきたり、
詐称するんじゃなくて無料メールサービスからホントに送るようなものが
すごく増えた。こういうのもDMARCじゃ防げない。
あと多いのは、マルウェアで利用者のPCを乗っ取って、乗っ取ったアカウントを
使って正規のメールサーバーからspamを送るタイプ。日本のサーバーから届く
英語spamはこういうタイプがわりと多い。
当然DMARCじゃ防げない。
Re: (スコア:0)
DKIMをpassするってのはメールサーバが乗っ取られる以外に考えられないのだが???
Re: (スコア:0)
いや、正規のドメインが example.com の場合、
exanple.com をとってそっち側でSPF、DKIMをpassさせるだけだろ、ってことかと。
Re: (スコア:0)
他でも書かれていますが、awsなんかでメールサーバを動かし、SPFやDKIMをpassしたメール送ってくるんですよね。
ドメインを似せたり、fromの名前だけ詐称した子供騙しのようなメールが多いですが、オレオレ詐欺と同じで一部でも引っかかれば、という感じです。
Re: (スコア:0)
gmailからSPAMを送る的なことなので特にサーバ乗っ取る必要ないすよね
Re: (スコア:0)
まぁドメインが違うなら利用実績やらでフィッシングドメインフィルターしてけばかなりマシになるでしょ。
ぶっちゃけ送信実績の大きいドメインだけのホワイトリストで事足りる人間も多いだろうしね。
しかしこの話、https://srad.jp/comment/3639485 を思い出すな。
ドメイン偽装は困難って話に正規の送信元がクラックされただの、
既存名類似ですらない雑多な詐欺用ドメインの数がとても多いだの、
オープンリレーしてる間抜けドメイン以外はメールアドレス偽装じゃないよなぁ……
受け身の技もまた極められ、実戦での戦闘力を失くしていたのだ。 (スコア:0)
こういうタイプが増えてしまって、正規のアドレスから送られてくるようになった結果、SPFもDKIMも信用度が下がり、前より分別が難しくなってしまった。
次はどうしましょう。送信時に生体認証して署名しないとダメとかにします?
Re: (スコア:0)
スパムを中継しちゃうような企業のメールは全部拒否でいいだろ何いってんだ。
普及啓蒙 (スコア:0)
こういうものの普及は情報提供を進めてこそだと思います。
その音頭をとるのはどこなのか、情報セキュリティという日々状況が変わるような課題について
的確な情報提供をする部署って、日本だとどこになるのでしょうね。
そして、元記事にはある、
「全米上位500社のうちDMRC導入は18年11月で13%、19年7月には23%に上昇した。一方、中国ではメール以外のSMS等の利用が
中心となっているためか、6。5%程度の導入率だった」という一節がたれ込みから抜け落ちてる点を指摘しておきます。
Re:普及啓蒙 (スコア:2, 参考になる)
日本なら、迷惑メール対策推進協議会 [dekyo.or.jp]。
ちょうどこの8月に「迷惑メール白書2019」(上記リンクからDL可)を出したばっかりだから、皆様にご一読をお勧めします。
日本のTLD別DMARC普及率は、
トップのad.jpで3%程度、go.jpが1.5%を越した程度、ne.jp・ac.jp辺りが1%前後で、co.jp等大半は0.5%を切っている。
DKIM必須にしてSPF認証は参考扱いに留めろ (スコア:0)
多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、
うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
それもこれも、SPFレコードにIPアドレスをCIDR指定できるせい。
それと、配信側ではDNSへのTXT記述だけで済む導入簡単なSPF認証は、スパム・迷惑メール配信業者にとっても導入が簡単なんでしょーね。
#スパム・迷惑メール配信業者にとっては受信時にSPF認証処理する必要なんてないわけだし。
悪質業者がやってるSPFレコード周りの手法例:
- SPFレコードに悪質業者お抱えネットワークを全指定。
- CIDRのネットマスクを浅くしたり、(たぶん)無関係なレコードで水増しすることで、
SPFレコードからの、スパム送信元SMTPサーバー逆探を妨げる。
- SPFレコードにAWS全域指定して、AWSにSMTPサーバー用意(AWSなのでブラックリストに登録しずらい)。
- SPFレコード提供ドメインを立ち上げて、実際に迷惑メールに使う個々のアドレスのドメインには
そのデータをインクルードさせることで省力化。
- SPFレコードをわざと再帰ループさせて、自動分析しようとする人に一手間かけさせる。
SPF認証は、残り2割の、ボット系迷惑メール排除には役立つし、配信業者に手間=コストををかけさせる点で
無駄とまでは言わないが、
IPアドレスに何でも指定できるSPFは、DKIMと異なり、DMARCの価値を棄損させると言い切ってもいいだろう。
というか、”メリットがあまり理解されていない”と記事にはあるけれど、
どう考えても、SPF認証だけのDMARCには価値がないという”デメリットを皆が判っている”上で
お手軽なSPF認証導入と違って、面倒なDKIM導入まで手が届いてない、ことこそが本質じゃないのか?
Re: (スコア:0)
> 多くの事業者が手軽なSPF認証だけ導入して何かやった気になっているが、
> うちに来るスパムの8割はSPF認証が通っていて、スパム・迷惑メール排除にはほとんど役に立っていない。
おまけにSPFにはメールの転送機能との相性が最悪という根本的欠陥もありますしね。
(SRSやってるサイトなんてめちゃめちゃ限られてるし)
なんであんなものをみんなで進めようとしてるんだかホントわかんない。
Re: (スコア:0)
SPFにしろDKIMにしろ防げるのはあくまでドメインの"詐称"。
送信元がspammerだろうが、自前でちゃんと用意したドメインならSPF・DKIMにpassするメールを出せる。
ということで、DKIM必須にしろというのも筋違い。という認識。
ほとんどの人は送信元のドメインまでちゃんとチェックしないから、spammerにとっては正規のドメインを詐称せずとも、紛らわしいドメインを使ったり、なんなら全然違うドメインでも数打ちゃ当たる方式で大量に送ったりというのが成り立つのでしょう。
Re: (スコア:0)
>ほとんどの人は送信元のドメインまでちゃんとチェックしない
スマートフォンのUIだとその辺確認するすべすらない。Gmailですらもそうだ。メール本体を平文で確認する方法がない。
(PCのウェブ向けUIだと確認可能)
Re: (スコア:0)
いやFromのアドレス、ドメインは見えるぞ、一応。
ソースは見れないけど……
DMARC面白いよ使ってみて (スコア:0)
自分のドメインが実際にどれだけ送信元として勝手に利用されてるか、レポートとして上がってくるから面白い。
仕事で使ってるドメインはほぼなかったけど、個人で使ってるドメインは結構使われてた。
今はrejectにしたのでもう送れない(受信サーバーが拒否してる)はず。
Re: (スコア:0)
> 今はrejectにしたのでもう送れない(受信サーバーが拒否してる)はず。
DKIMオンリーで運用しているならいいけど、
SPFで運用していてrejectにすると、
あなたが出したメールを受け取った人が .forward 等でメールを外に転送している場合、
転送されたメールが受け取り拒否されてメールがロストしますよ。
(厳密にいうと転送時にSRSしていればロストしませんがそんなサイトは殆ど存在しないので誤差)
もしそうだとすると「個人で使ってるドメインは結構使われてた」ではなく
「個人で使ってるドメインから出したメールが結構ロストしている」ってことになります。
SPFでリジェクト運用ってこういうリスクがあるんだけど
十分啓蒙されてないのに広まっててほんとひどい。
Re: (スコア:0)
知識不足でごめんけど、
DMARCってSPFとDKIM両方使うのが基本じゃないの?
だから、自分が出したものはDKIMがpassしてあるはずだから、転送時でも問題ないはずでは。
自分じゃないけど自分がSPFで認めてるサーバーからならDKIMつかないから転送はロストするでしょうけども。
Re:DMARC面白いよ使ってみて (スコア:1)
> DMARCってSPFとDKIM両方使うのが基本じゃないの?
規格上はDKIMの方を重視していると思います。
ただ
https://dmarc.org/2017/03/can-i-use-dmarc-if-i-have-only-deployed-spf/ [dmarc.org]
を見ると「you can use DMARC with only SPF 」とあるわけで
こういう質問と答を公式が用意するくらいには SPF だけで運用しているところがあるってことじゃないかと。
実際どれくらいのサイトが SPF だけで DMARC 運用しているのかは知らないので、資料があれば知りたいです。
Re:DMARC面白いよ使ってみて (スコア:1)
調べていただいて恐縮です。
必須要件ではないんですね。
自分がDMARCに興味を持って導入方法について調べた時は、どれもDKIM導入もセットで解説されてたので、必須だと思ってました。
自分はG Suiteですが、DKIMを使うように書いてあります。
>DMARC を設定する前に、SPF(Sender Policy Framework)と DKIM(DomainKeys Identified Mail)を設定してください。
https://support.google.com/a/answer/2466580?hl=ja [google.com]
SPFだけでDMARC使ってるサイト、少なそうですけどねぇ。そもそもDMARC設定してるケースが少ないんですから。
でもDNSレコードだけでできちゃうから存在はしてそう。
Re: (スコア:0)
あ、一点、書き忘れました。
> だから、自分が出したものはDKIMがpassしてあるはずだから、転送時でも問題ないはずでは。
> 自分じゃないけど自分がSPFで認めてるサーバーからならDKIMつかないから転送はロストするでしょうけども。
DKIMがついてればその通りですね。
なので #3662451の「DKIMオンリーで運用しているならいいけど」は間違いで
「DKIMで使っているならいいけど/DKIMも併用しているならいいけど」が正しい表現でした。
すみません。
完備してない (スコア:0)
SPF/DKIM/DMARCは、ドメインの詐称を検知するだけなので、これだけでspamが止まるわけではない。spammerも普通にドメイン取って認証passしてくるしね。
ドメイン詐称をできなくした上で、ドメインレピュテーションまでやらないと、ドメイン名を使ったspam対策にはならない。
これは、送信ドメイン認証技術をやろうと言い出したストーリーの元々の規定路線。
問題は、ドメインレピュテーションについては全然着手されてないこと。
Re: (スコア:0)
普及が進まないと効果が低いまま
↓ ↑
効果が低いので普及が進まない
の悪循環になっている可能性…
「メールを送信致しましたが、確認して頂けましたでしょうか?」 (スコア:0)
日本の企業は以前から成りすましメールを未然に防いでいたかもしれない