侵入テスト担当者は、メールセキュリティを含む組織のセキュリティ体制の脆弱性を特定し、対処する上で重要な役割を担っています。DMARCとその仕組みを理解することで、侵入テスト担当者は組織のメールセキュリティ防御をより適切に評価し、クライアントをメールベースの攻撃から確実に守ることができます。

Global DMARC Adoption Report-2019」の通りです、 69.6%はDMARCを使用していません。現代のペネトレーションテストでは、電子メールのセキュリティはほとんどカバーされておらず、より安全なデジタル環境のためにこれを変える必要があります。

なぜメール認証が重要なのか？

ペネトレーションテストとは、メール送信ドメインを含むシステムのITインフラに対して、許可された模擬攻撃を試み、セキュリティの脆弱性を発見するプロセスである。その理由は大きく3つあります。 メール認証 for penetration testers matters.

不正行為の防止

悪質業者は、メールボックスがデフォルトの強力なセキュリティプロトコルで構築されていないことを利用します。そして、正規の送信元から送られてきたメールであると信じ込ませ、被害者を騙して機密情報を共有させます。一緒に SPF、DKIM、DMARCについてこのような事態を防ぐために、公式ドメインを使ってメールを送信できるのは、許可された団体のみとする。

ブランドイメージの保護

ペネトレーションテスターのためのメール認証の学習ブランド名を狙った攻撃を防ぐことができ、結果としてブランドイメージを守ることができるためです。

メール配信の強化

メールのバウンスバックは、PR、マーケティング、セールスキャンペーンに支障をきたすだけでなく、メール配信率の低下も引き起こします。メール到達率とは、受信者の受信箱にメールを届け、迷惑メールと判定されたり、バウンスバックされたりしない能力のことをいいます。詳しくはこちらメール認証がメールデリバビリティを向上させる方法.

SPF、DKIM、DMARCとは何ですか？

SPF、DKIM、DMARCは、電子メールの送信者の信頼性を確認し、送信元からの電子メールであることを確認するための電子メール認証プロトコルです。これらに準拠していないドメインは、メールがスパムとしてマークされたり、跳ね返ってきたりすることがあります。それだけでなく、脅威者は簡単にそのドメインになりすまし、機密情報の共有や金融取引を求める詐欺的なメッセージを人々に送ることができます。

SPFの効果は？

SPF（Sender Policy Framework）とは、電子メールのメール送信を許可するサーバーのリストを作成し、ドメインのDNSに追加します。リスト外の送信サーバーはフラグが立てられます。

DKIMはどのように機能するのですか？

ディーケーアイエムDKIM（DomainKeys Identified Mail）は、ドメイン所有者がメールヘッダに署名することで、検証プロセスを支援します。DKIMは、デジタル署名を伴うため、暗号の概念に基づいて動作します。公開鍵と秘密鍵のペアを受け取り、前者はオープンアクセスのためにDNSに保存され、後者は送信サーバーに秘密裏に保存されます。

受信側のサーバーは両方の鍵を照合し、照合が成功すればDKIM検証はパスし、そうでなければ失敗する。マッチングが成功すればDKIM検証はパスし、そうでなければ失敗する。 DKIMポリシーがメール配信や迷惑メール対策に与える影響について.

DMARCはどのように機能するのですか？

ディーエムエーアールシーは、Domain-based Message Authentication Reporting and Conformanceの略です。SPFやDKIMと連携して動作する。

DMARCは、SPFおよび/またはDKIMの検証チェックに失敗したお客様のドメインから送信された電子メールの扱い方を、受信者のメールボックスに伝える役割を担っています。以下の3つのうち1つを選択することができます。 DMARCポリシーp=none（認証に失敗したメールに対して何もしない）、p=quarantine（認証に失敗したメールをスパムとしてマークする）、p=reject（認証に失敗したメールをバウンスバックする）です。

ペネトレーションテスターがDMARCの設定ミスを突く方法とは？

侵入テスト担当者として、観測中のドメインのメール認証の脆弱性を検出するために、模擬攻撃を行うことができます。このような進め方が考えられます。

ドメインの取得

侵入テスト担当者のメール認証の第一歩として、メールスプーファーをインストールし、企業になりすましてメールを送信するためのドメインを用意することが挙げられます。ドメインプロバイダーは、要件と予算に合ったものを利用することができます。

ドメインの設定

ドメインを取得したら、それをDNSパネルに追加します。DNS管理」パネルの下にあるものをすべて削除して、攻撃をシミュレートする。続いて、ドメインサービスプロバイダのパネルで、指定されたネームサーバーを置き換える必要があります。この後、侵入テスト担当者向けの電子メール認証の訓練で使用する設定ファイルのAPIキーを入手します。

VPSのセットアップ

なお、VPSのIPの評判が悪いと、メールが届かないので、この手順を繰り返す必要があります。

VPSは多くのリソースを消費しないので、安価なVPSでも適切に動作するインスタンスを得ることができます。ホスト名をドメイン名と正確に設定することを忘れないでください。そうしないと、攻撃をシミュレートすることができません。

以下のコマンドを使用します：

apt-get install git

apt-get update && apt-get install docker-compose

次に、GitHubのリポジトリをコピーし、「Newly Created Directory」で設定を編集し、ドメインとAPIキーを追加する必要があります。

これらの手順が完了したら、「docker-compose up」と入力して数分待つと、Webサーバーが立ち上がります。

フィッシングメールを送信する

最後に、ターゲットにフィッシング・メールを送信し、DMARCの誤設定の概要を把握する。

ペンテストレポート

ペネトレーションテスターのためのメール認証とDMARCの誤設定を悪用する方法について十分に理解したところで、攻撃をシミュレートした後に優れたレポートを作成することが重要である。

ここでは、プロのペンテスト報告書に加えるべき4つのポイントを紹介します。

1.戦略的方向性のためのエグゼクティブサマリー

このパートでは、メール認証の脆弱性がもたらすリスクや影響について、平易な英語（またはその他の言語）でハイレベルな見解を示します。このパートは通常、技術用語にあまり精通していないエグゼクティブ向けです。

2.テクニカルリスクの説明

ITチームがメールシステムの抜け穴にパッチを当てるために、迅速かつインパクトのある動きをするために、リスクの強さを評価する必要があります。

3.脆弱性の潜在的な影響

電子メールセキュリティ関連のリスクは、可能性と潜在的影響の2つに分けられます。これは、修復チームが潜在的な影響度に応じて脆弱性を修正する優先順位を決めるのに役立ちます。

4.複数の修復方法

提案された修復方法が、ドメインやメールアカウントを完全に無効にするだけでないことを確認すること。以下のような方法が含まれます。レコードのルックアップSPFレコードのフラット化、DMARCポリシーの厳格化など。

メールセキュリティのリスクからあなたのドメインを守る

ペネトレーションテスターのためのメール認証の知識は、フィッシングやスパムからデジタル資産を保護するために重要です。SPFおよび/またはDKIMの準拠は、以下の場合に必須です。ディーエムエーアールシー認証チェックに失敗したメールの処理方法を受信側のサーバーに指示するため、デプロイメントが可能です。ポリシーは、なし、隔離、拒否のいずれかを設定することができます。

PowerDMARCは、より安全な電子メール環境に向けたDMARCの旅を開始するための無料トライアルを提供しています。詳しくはこちら.