DMARCについて

ねこさんさん  
(No.1)
spfやdkimなどの検証に失敗した場合、DMARCはメールのheader-fromのドメインのdnsサーバに問い合わせを行うとありますが、検証に失敗してるのでheader-fromが偽装されてたら偽装したドメインのdnsサーバに問い合わせを行い、攻撃者のdmarcポリシが適用されてしまうので、もしpタグのポリシがnoneにされていた場合、dmarcの意味をなさない気がするのですがどうなんでしょう。
知識のある方お教えください。
2024.04.11 19:14
ねこさんさん  
(No.2)
令和1年  秋  午後1  問1の出題で疑問になりました
2024.04.11 19:15
pixさん 
SC ダイヤモンドマイスター
(No.3)
SPFやDMARCの基本動作について誤解があるようです。
攻撃者がドメインを偽装しているのであって、DNSサーバは偽装された側、
つまり本物のDNSサーバです。
本物のDNSサーバにSPFやDMARCのレコードを確認しに行くので、その
レコードの情報は本物です。
2024.04.11 19:24
ねこさんさん  
(No.4)
受信サーバがdmarcのポリシを確認する際はheader-fromのドメインのdnsサーバに確認するそうです。
そして途中でメールの偽装された場合ははheader-fromが書き換えされやすいです。エンベロープfromは送信者が指定するため書き換えが困難。
つまりdmarcが正しく動作する前提条件は、フィッシングメールのヘッダFromが自組織のドメインであること。自組織のドメインと関係ないメールアドレスがヘッダFromだったときには効果がありません。とありますが私の意味をなさないという理解は正しいでしょうか?
2024.04.11 20:42
pixさん 
SC ダイヤモンドマイスター
(No.5)
>そして途中でメールの偽装された場合ははheader-fromが書き換えされやすいです。
>エンベロープfromは送信者が指定するため書き換えが困難。
>つまりdmarcが正しく動作する前提条件は、フィッシングメールの
>ヘッダFromが自組織のドメインであること。自組織のドメインと
>関係ないメールアドレスがヘッダFromだったときには効果がありません。
>とありますが私の意味をなさないという理解は正しいでしょうか?
申し訳ありませんが、送信元ドメイン認証についての理解が曖昧のようです。

攻撃者がFromアドレスをuser@abc.comのメールになりすましたと仮定します。
受信側は受信時に、abc.comのDNSサーバにSPFのチェックにいきます。
DNSのSPFレコードにはabc.comの正規のメールサーバのIPアドレスが
設定されています。
送信メールサーバのIPアドレスを確認して、SPFレコードのIPアドレスと
不一致ならば送信ドメイン認証失敗になります。
またこの際にDMARCレコードもabc.comのDNSサーバに確認に行きます。

この一連の中で利用されるDNSサーバはabc.comの正規のDNSサーバのみです。
不正なDNSサーバは流れの中には出てきません。
2024.04.11 21:02
ねこさんさん  
(No.6)
>> 攻撃者がFromアドレスをuser@abc.comのメールになりすましたと仮定します。

前提として攻撃者がエンベロープfromを詐称していた場合でかつ、メールソフトから見れるheader-fromのドメインも正規のドメインから送信したように詐称されていた場合はspfでpassされますよね?(spfはエンベロープfromのドメインとsmtp接続で得た宛先のipアドレスを比較検証するため)
そしてheader-fromとエンベロープが両方詐称されてた場合委、dmarcを導入してもspfでパスされてかつ、dmarcはheader-fromのドメインとエンベロープfromのドメインが一致するからパスされますよね?
2024.04.11 21:34
ねこさんさん  
(No.7)
>> この一連の中で利用されるDNSサーバはabc.comの正規のDNSサーバのみです。
不正なDNSサーバは流れの中には出てきません。

前提として攻撃者はheader-fromを詐称したい(メールソフトから受信者がみるため)
ってことであってますかね。。??
なので攻撃者は正しいheder-fromに詐称するのでそのドメインにdmarcのポリシを問い合わせることで検証可能って認識でよろしいでしょうか。
2024.04.11 21:37
pixさん 
SC ダイヤモンドマイスター
(No.8)
>前提として攻撃者がエンベロープfromを詐称していた場合でかつ、メールソフトから
>見れるheader-fromのドメインも正規のドメインから送信したように詐称されていた
>場合はspfでpassされますよね?(spfはエンベロープfromのドメインとsmtp接続で
>得た宛先のipアドレスを比較検証するため)
申し訳ありませんが、
「spfでpassされますよね?(spfはエンベロープfromのドメインとsmtp接続で得た
宛先のipアドレスを比較検証するため)」
この段階で誤解があるようです。

攻撃者がメールアドレス(ドメイン)を偽装して、攻撃者のメールサーバから
送信した場合、ドメインのDNSレコードのSPFレコードのIPアドレスは、攻撃者の
メールサーバのIPアドレスと不一致し、SPFのチェックで失敗します。
スレ主様はなぜ、攻撃者のメールサーバのIPアドレスとSPFレコードのIPアドレスが
一致すると考えているのでしょうか。
その点がクリアにならないと、SPFの根本を理解していないことになります。
2024.04.11 21:57
ねこさんさん  
(No.9)
spfはエンベロープfromと送信したサーバとsmtp接続したメールサーバのipアドレスを比較検証するものなので、前提としてheader-fromを保証するものではないですよね?

攻撃者がエンベロープfromを正当な送信者ドメインに偽装し、かつ受信者が見る事のできるheader-fromを正当な送信者に偽装した場合、smtp接続した送信サーバも攻撃者の場合spfは成功する。
しかしdmarcを導入していた場合はspfで検証が成功した場合、dmarcはheader-fromとエンベロープfromを一致しているか検証するため、正当なheader-fromに偽装してる場合dmarcのポリシの問い合わせが正当なドメインに走り、エンベロープfromとheader-fromが検証され双方が一致するのでpassする(spf=pass & エンベロープとheader-fromが同じドメイン)だとdmarcはpassなため。

しかし攻撃者がheader-fromだけを正当な送信者に偽装し、エンベロープfromは攻撃者自身のもので送信したとすると、spfはmailfromコマンドの引数(エンベロープfromのドメイン)と送信してきたサーバを比較するので検証に成功するが、dmarcはエンベロープfromとheader-fromのドメインを検証するため失敗し、送信者が表明したルールに従って処理が走る。



間違えてるのでしょうか。。
spf及びdkim、dmarcの解説サイトで確認&
copilotやgptに投げても正しいと帰ってきます
2024.04.11 23:29
ねこさんさん  
(No.10)
ドメインを詐称といっていますが、エンベロープfromから偽装するのかheader-fromのみを偽装するのかでspfのpass結果は変わるような、、
2024.04.11 23:38
ねこさんさん  
(No.11)
極端な例を挙げると、
・Envelope-From:ユーザ@example.com
・ヘッダFrom (RFC5322.From):"首相官邸" <○○@kantei.go.jp>
といったメールを首相官邸にまったく関係ない example.com の持ち主が送信し、受信した側でSPFをpassさせることはできます。けれど、受信者が見る肝心の "首相官邸" <○○@kantei.go.jp> はSPFでは認証されたものでなく、送信者は嘘なのです。

とあります。
2024.04.11 23:41
pixさん 
SC ダイヤモンドマイスター
(No.12)
スレ主様のおっしゃることがなんとなくわかってきました。
・Envelope-FROMとHeader-FROMが不一致
・Envelope-FROMは攻撃者のメールアドレス
この場合、受信者はEnvelope-FROMの攻撃者のドメインのDNSの
SPFレコードを参照しに行きます。
そして結果としてSPFをパスしてしまいます。
多分、このパターンのことをおっしゃっていると理解しました。

たしかにこのパターンならSPF認証はパスします。
しかし、現在の一般的なメーラは送信元メールサーバのドメインと
Header-FROMのドメインが不一致の場合、受信メールの送信元メールアドレスの
横に、ドメインが一致しないメールサーバから配信された旨の注意メッセージが
表示されます。
そうなるとそもそも視覚的に気づかれてしまうので、なりすましメールとして
SPF以前の問題かと思われます。

大変恐縮ですが、質問をする際には
「攻撃者がエンベロープfromを正当な送信者ドメインに偽装する」
といった何を指し示してしているのか判断が難しい文章ではなく、
具体的な例を挙げていただくと、こちらとしても意図を汲み取りやすく
なります。
2024.04.12 00:05
ねこさんさん  
(No.13)
ご回答ありがとうございます。
質問の件、承知しました。

ちなみに攻撃者がheader-fromだけを正当な送信者に偽装し、エンベロープfromは攻撃者自身のドメインで送信したとすると、spfはmailfromコマンドの引数(エンベロープfromのドメイン)と送信してきたサーバを比較するので検証に成功するが、受信者はheader-fromのドメインにポリシを確認し、dmarcはエンベロープfromとheader-fromのドメインを検証するため失敗し、送信者が表明したルールに従って処理が走る。

この認識も間違えてないでしょうか?
2024.04.12 00:12
pixさん 
SC ダイヤモンドマイスター
(No.14)
>ちなみに攻撃者がheader-fromだけを正当な送信者に偽装し、エンベロープfromは
>攻撃者自身のドメインで送信したとすると、spfはmailfromコマンドの
>引数(エンベロープfromのドメイン)と送信してきたサーバを比較するので検証に
>成功するが、受信者はheader-fromのドメインにポリシを確認し、dmarcは
>エンベロープfromとheader-fromのドメインを検証するため失敗し、送信者が
>表明したルールに従って処理が走る。
多分スレ主様の想定をまとめると
・SPF,DKIMはEnvelope-FROMとHeader-FROMの不一致を検出できない仕様である
・DMARCはEnvelope-FROMとHeader-FROMが不一致を検出することができる
・DMARCはHeader-FROMのドメインのDNSサーバへ確認にいき、検証を行う
いうことになると思われます。
この想定はあっていると考えられます。

苦言を呈すことになり大変恐縮ですが、一点指摘させて頂きます。
スレ主様の書かれる文章は読点が多く一文長いため、状況の理解が難しいです。
もし今後質問するのであれば、
・読点は少なく、複数の文に分割する
・箇条書きで文章を分割する
・可能な限り分かりやすい例を提示する
などを心がけていただくと回答しやすくなります。

私の自論になりますが、他人が理解しやすい文章を書くことが、午後の記述解答での
国語力の向上につながります。
掲示板でのやり取りも、その国語力を向上させる手段として利用するのが
よろしいかとと心得ております。
2024.04.12 00:46
橙色文書さん 
(No.15)
スレ主さんが受験予定者であるかはわかりませんが、最近の傾向からメールが主題として午後問で登場する可能性は極めて低いでしょう。
ただし関連用語が午前Ⅱの新規問題として登場する可能性はあります。
2024.04.16 20:16

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop