8. 8
Ⓒ 2021 TwoFive,Inc.
S/MIME (Secure / Multipurpose Internet Mail Extensions)
送信者がメールデータを利⽤して電⼦署名を⾏い、受信者がPKIを使って検証する技術
受信者の証明書を保存していれば、メール⾃体を暗号化して送信できる
◦ 電⼦署名検証: 内容が改ざんされていないか
◦ 証明書の検証: メールアドレスは正しいか、正当な認証局から発⾏された証明書か
証明書
秘密鍵
③
認証局 ① メールアドレス、公開鍵を含む電⼦証明書を発⾏する。
送信者
② メールソフト上に保存した秘密鍵を使ってメールに電⼦署名を付加する。
③ 電⼦署名付きメールを電⼦証明書と共に送信する。
受信者
④ メールソフト上で電⼦証明書を使って電⼦署名、メールアドレスを検証する。
⑤ メールソフト上で電⼦証明書のCAが信頼済みかを確認する。
①
②
証明書
④
社員 A
taro@example.jp 取引先 B
認証局A
認証局A
信頼済み認証局
⑤
15. 15
Ⓒ 2021 TwoFive,Inc.
SPF の問題点
社員 A
taro@example.jp
取引先 B
MAIL FROM:<taro@example.jp>
From: <taro@example.jp>
EHLO example.jp メールサーバ
(IP アドレス)
エンベロープ
From
ヘッダー
From
SPF では直前のメールサーバとエンベロープ From の⼀致のみ確認する
詐称が可能
16. 16
Ⓒ 2021 TwoFive,Inc.
DKIM の問題点
社員 A
taro@example.jp
取引先 B
MAIL FROM:<taro@example.jp>
From: <taro@example.jp>
EHLO example.jp メールサーバ
(IP アドレス)
エンベロープ
From
ヘッダー
From
DKIM では電⼦署名の正しさ(署名ドメイン)のみ確認する
秘密鍵
署名ドメイン
詐称が可能
17. 17
Ⓒ 2021 TwoFive,Inc.
SPF と DKIM 共通の問題点
社員 A
taro@example.jp
取引先 B
jiro@twofive25.com
MAIL FROM:<taro@example.jp>
From: <taro@example.jp>
EHLO example.jp
メールの転送によって、SPF 認証が失敗する
個⼈メール
jiro@gmail.com
MAIL FROM:<taro@example.jp>
From: <taro@example.jp>
EHLO twofive25.com メールサーバ
(IP アドレス)
エンベロープ
From
ヘッダー
From
SPF 偽陽性
秘密鍵
署名ドメイン
18. 18
Ⓒ 2021 TwoFive,Inc.
SPF と DKIM 共通の問題点
社員 A
taro@example.jp
取引先 B
メーリングリスト
MAIL FROM:<taro@example.jp>
From: <taro@example.jp>
EHLO example.jp
メーリングリストによって件名などが変更され、DKIM 認証が失敗する
取引先
社員アドレス
MAIL FROM:<ml@twofive25.com>
From: <taro@example.jp>
EHLO twofive25.com
ヘッダー
From
DKIM 偽陽性
秘密鍵
署名ドメイン
メールサーバ
(IP アドレス)
エンベロープ
From