パスワードを忘れた? アカウント作成
9077 story

GMailがDomainKeysによる電子署名を開始 78

ストーリー by Oliver
チャレンジャー 部門より

GRA21曰く、"本家によれば、GoogleがYahoo!の提唱しているspam防止技術であるDomainKeysによる署名を開始したとのこと。DomainKeysは主にFrom:詐称を防ぐことが目的の電子署名技術で、特殊なヘッダを埋め込むことでFrom:詐称を防ぐ技術。(詳細
@yahoo.co.jpや@yahoo.comを詐称するspamメールは毎日山のように来るわけですが、少なくとも@gmail.comを詐称するspamメールは今日から正当性を検証することが可能だということです。早速自分宛にメールを出して試してみたところ、たしかにDomainKey-Signature:ヘッダが埋め込まれていました。提唱しているYahoo! Mailよりも早い対応とは、さすがGMailです!"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2004年10月18日 18時34分 (#638412)
    gmail.comから来たメールを、
    以下の手順で手動?verifyしてみようとしたんですが、
    どうしてもVerification Failureになってしまいます。

    (参考にした資料)DomainKeysの仕様ドラフト→DomainKeysのInternet Draft [ietf.org]

    1.引きに行くDNSレコードを確認する
    s=beta; d=gmail.com;
    と書いてあるので、「beta._domainkey.gmail.com TXTレコードを見ろ」という意味
    b=の後にあるのが署名

    2.公開鍵を取ってくる
    $ host -t txt beta._domainkey.gmail.com
    beta._domainkey.gmail.com text "t=y\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4G
    NADCBiQKBgQC69TURXN3oNfz+G/m3g5rt4P6nsKmVgU1D6cw2
    X6BnxKJNlQKm10f8tMx6P6bN7juTR1BeD8ubaGqtzm2rWK4LiMJqhoQcwQziGbK1zp/MkdXZEWM
    CflLY6oUITrivK7JNOLXtZbdxJG2y/RAHGswKKyVhSP9niRsZ
    F/IBr5p8uQIDAQAB"

    3.公開鍵をPEM形式に加工する
    p=の右側を
    fold -w64してから
    -----BEGIN PUBLIC KEY-----
    -----END PUBLIC KEY-----
    を上下につける

    4.署名をBase64でデコードしておく
    DomainKey-Signatureヘッダの、
    b=VpEuQFRF4wodAMbSq8fdcQc+4L5m/INVlfrGGzV5NZjcO8Tr22XlLSbJ9T2yko/H+ysHd7/qW
    0IsEFHQ265XA8kqbfvgz80m6J/bHMxh49h1zrjFXLgFs7PLNAD+92fkJMTpAQVri0vzrLbu9F9/
    xS15U0pcAM6pCdltkupUA0w

    のb=を除いてfold -w 64し、openssl base64 -d -out sig.binでデコード。sig.bin
    に保存しておく。

    ↓こんな感じ
    $ echo -n VpEuQFRF4wodAMbSq8fdcQc+4L5m/INVlfrGGzV5NZjcO8Tr22XlLSbJ9T2yko/H+
    ysHd7/qW0IsEFHQ265XA8kqbfvgz80m6J/bHMxh49h1zrjFXLgFs7PLNAD+92fkJMTpAQVri0vz
    rLbu9F9/xS15U0pcAM6pCdltkupUA0w | fold -w 64 | openssl base64 -d > sig.bin

    5.本文を加工する。
    (1)DomainKey-Signatureに
    h=received:message-id:date:from:reply-to:to:subject:mime-version:content-ty
    pe:content-transfer-encoding;
    とあるので、DomainKey-Signatureヘッダの直後の行から最後の行まで、このヘッダ
    リストにあるものは残し、無いものは消す。
    (2)さらに、c=nofws指定があるので、
    ヘッダのうちラップ改行されている行(先頭が" "で始まる行)をアンラップする
    (つなげる)。
    (3)Internet Draft 18頁のremove all folding white space characters.を実行す
    る。
    (4)最後の改行を消す
    (5)改行コードCR+LFで保存する。gmailtest.txtとしておく。

    6.署名の確認をする
    $ openssl dgst -verify pubkey.txt -sha1 -signature sig.bin gmailtest.txt
    Verification Failure →駄目!

    成功された方がいらしたらお知恵を拝借したいのですが…
    なんとなく5.(3)が怪しいような気がしていますが、
    5.(3)は手動でスペース等を取り除きました。
    • by Anonymous Coward on 2004年10月18日 20時24分 (#638472)
      > (1)DomainKey-Signatureに
      > h=received:message-id:date:from:reply-to:to:subject:
      > mime-version:content-type:content-transfer-encoding;
      > とあるので、DomainKey-Signatureヘッダの直後の行から最後の行まで、このヘッダ
      > リストにあるものは残し、無いものは消す。

      orderはどうしましたか?

      > (2)さらに、c=nofws指定があるので、
      > ヘッダのうちラップ改行されている行(先頭が" "で始まる行)をアンラップする
      > (つなげる)。

      trimしましたか?

      > (4)最後の改行を消す

      なぜ?
      親コメント
      • > (1)DomainKey-Signatureに
        > h=received:message-id:date:from:reply-to:to:subject:
        > mime-version:content-type:content-transfer-encoding;
        > とあるので、DomainKey-Signatureヘッダの直後の行から最後の行まで、このヘッダ
        > リストにあるものは残し、無いものは消す。

        Gmailから直接受けているMTAの後のメールを使って作業しているでしょうから、
        received ヘッダーのうちgmailから離れた後のreceivedを削除しないとダメなはず。
        親コメント
  • Gmailアカウント持っていない自分として「ふーん」とか
    「へぇーそうなんだ」程度でしか反応の返しようがないのですが
    スラドにはGmailのアカウント持ってる人ってどんくらいいるんでしょ。

    #別にニュースとしての価値がない、という意味ではないのでID
  • しつこいようですが (スコア:1, フレームのもと)

    by Anonymous Coward on 2004年10月18日 16時36分 (#638338)
    × SPAM メール
    ○ spam

    # 家に SPAM の缶詰が 2 缶あるので AC
    • by Sakura Avalon (12557) on 2004年10月19日 19時35分 (#639063)
      HotWiredの記事 [goo.ne.jp]ではSPAM博物館の館長さんが「別に弁護士に出てきてもらわなくても、人々は優れた缶詰肉と邪悪な電子メールの区別はつくし、2つを混同しないだろうと考えたのだ。ただし、迷惑メールの呼び名には小文字の『spam』を使ってほしいとだけお願いしている。すべて大文字の『SPAM』は当社の製品の名称だ」と語っています。
      spamメールと呼ばれるようになったきっかけはたしかにモンティパイソンからでしょうし、まさにそこでのSPAMとは缶詰のSPAMを指していたわけですが、「元ネタがSPAMだから迷惑メールはSPAMと表記したって構わない」ではなく「だからこそspamと表記してSPAMと区別する」方が登録商標で規制したりRFCに定義するわけでもない大人の対応じゃないのかと感じます。商標を有しているHormel社 [hormel.com]が落ち着いているのに、1つ2つSPAMと書かれていただけで何かと騒ぎたてるのはむしろ滑稽かもしれません。

      #スパムが「優れた缶詰肉」かについては異論がありますがそれはさておき、焼きそばは野菜と一緒に炒めた本格的なものが好きだけど時々むしょうにインスタントも食べたくなる。スパムもそんな感じのお肉かと。spamメールはそれからすると、食べてもらう(読ませる)気が無いのか?と思うようなのばかりなのがね…時たま爆笑するのは来るけど。
      親コメント
    • 言葉って間違っていても、
      みんながそう使えばそれが正しくなってしまうんですよね。

      > × SPAM メール
      > ○ spam

      って誰が決めたの?
      日本語(言葉)って誰が決めるの?
      • by Endows (8644) on 2004年10月18日 18時15分 (#638403) ホームページ 日記
        親コメント
      • >日本語(言葉)って誰が決めるの?

        JISだと思います。

      • 日本語の問題じゃなくて商標の問題でしょ
        何度言おうが間違いは間違い。
      • by Anonymous Coward
        1.「SPAMとspamは違うでしょ!」とうるさいもの。 -- SPAM
        2.「Spam」 -- 最初はしつこいが後で黙るもの
        3.「spaM」 -- 最初はたいしたことはないが後で多くなるもの
        4.「spam」 -- 大方、ISPのフィルタにかかってこないもの
        5.「SpAm」 -- わけがわからないもの

        # やっぱ違う?
        • by Anonymous Coward
          シュパームでいいじゃないですか。
          GRA21曰く、"本家によれば、ググールがヤフゥーの提唱しているシュパーム防止技術であるドメィンキィーズによる署名を開始したとのこと。ドメィンキィーズは主にフローム詐称を防ぐことが目的の電子署名技術で、特殊なヘダーッを埋め込むことでフローム詐称を防ぐ技術。(詳細)
        • by Anonymous Coward
          > 5.「SpAm」 -- わけがわからないもの

          WikiName なので「あちこちでリンクしているもの」じゃないかな。
      • 「SPAMじゃダメっすよ」もいい加減しつこいが、
        「なんでSPAMじゃダメなんだよ」もしつこい。
        過去ログ読んでスルーしろ。
    • モンティーパイソンのSPAMコントから来ているのでSPAMと書くのが正統派ですね。SPAM SPAM SPAM SPAM....
      • by Anonymous Coward on 2004年10月18日 20時21分 (#638466)
        正統派もへったくれも、

         1)人の商標を勝手に(悪い意味の言葉として)使っておいて
         2)そういう使われ方に関してはしょうがないけど、せめて小文字で書いてくれませんかというお願いを聞いておきながら
         3)商標を元にしてるんだから大文字が正統だ!というのは

        なんつーか、子供の言うことだと思うのですが。

        「人さまには迷惑をかけてはいけません」って、親に習わなかった?
        親コメント
        • by Anonymous Coward on 2004年10月19日 11時57分 (#638884)
          たまたま知った「商標」って単語を叫べば意味があるとか思っている? 少しは商標について勉強した方がいいよ。 色々批判もあるwikipediaだけど、少なくともこの程度の知識でも君には必要だな。 商標 [wikipedia.org]
          親コメント
  • 意味あるの? (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年10月18日 16時41分 (#638345)
    @gmail.com の詐称を防いだところで、どういう意味があるのでしょうか?
    spam 送信者は Gmail のアカウントを使って spam 送信することもできるのですから、本物の Gmail の署名があるからといって、spam でないことにはなりませんよね。

    重要なのは、まともな会社たちが対応することではないでしょうか。
    • Re:意味あるの? (スコア:2, すばらしい洞察)

      by yanagi (6075) on 2004年10月18日 17時03分 (#638361) ホームページ 日記
      メールの正当性を云々していますので、spamメールの話ではなく、
      フィッシングへの対抗技術です。

      そもそもメールが手元に届く時点で、spam対策にはなっていません。
      (中継サーバが検証してドロップするのなら別ですが)
      送信元を詐称していることを検知できるので、
      @GMailを騙った詐欺ができなくなります。
      --
      やなぎ
      字面じゃなく論旨を読もう。モデレートはそれからだ
      親コメント
      • by GRA21 (2062) on 2004年10月18日 17時25分 (#638372) 日記
        spam対策っていうよりはフィッシング詐欺対策ですね。
        よく考えずにタレコんでしまいました…失礼しました。

        From:を詐称してくるspamがあまりに多いので、それの防止
        に役立てられるかと思ったのですが、早計でしたね。

        たとえば自分宛にメールを送って、
        コピーアンドペーストして自前のSMTPサーバーから送れば、
        gmail.comのvalidなDomainKey-Signatureが付いたspamが
        送れてしまいますし。

        ただACさんのコメント [srad.jp]のように、
        多少は意味があるかもしれませんね。

        親コメント
    • by Anonymous Coward on 2004年10月18日 17時27分 (#638373)
      DomainKeys をチェックすれば、Gmail や Yahoo を騙った spam は潰せるって事じゃない?Gmail や Yahoo を実際に経由して送ろうとする spam は、Gmail や Yahoo に文句を言えばいいし、負荷の都合上、あまり大量の負荷をかけて spam を送ろうとする業者がいれば自然とアカウントを潰されるでしょう。十分 spam 対策にも効果が出てくると思う。

      という事は、とりあえず Gmail や Yahoo のメールが届けば、DomainKeys をチェックして妥当じゃないのは全て捨てて良いという事なのかな?DomainKyes をチェックするプログラムってあるの?あれば、うちの Sylpheed でコマンド呼び出し経由で使ってみるんだけど・・・。
      親コメント
    • Re:意味あるの? (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2004年10月18日 17時35分 (#638375)
      まともな会社がspamなど送るものか。
      でも、Googleがおかしな顧客をもつ可能性は当然ある。
      つーか、Googleに金払ってるからってまっとうな香具師とは限らない。

      # 顧客のつながりのつながりのつながりの...は、さらに怪しい。
      親コメント
    • そもそも@gmail.comのアカウントの配布は、取得者がもらった招待権で
      欲しい人がもらっていたのだと思うのですが、いくつかの掲示板などで、
      欲しい人募集的にあったことない人に「あげます」みたいに配っているから
      @gmail.comを使ったspamがでてくるのではないかと。
      もし本物の署名が入ったspamがきたら、紹介者ごとアカウント抹消くらいしないと
      根本的な対策にならないと思いますけど。

      # うーむ、yahoo.co.jp でされたら困るかも。
      # yahooのサーバ経由で出すとフッダが付くのでプロバイダのサーバ使って
      # yahooのアドレスで出してます。
      # まぁ、出すことはほとんどなくてspam受信専用になってきてますけど。
      親コメント
    • by Anonymous Coward
      1.「GMailの詐称」が立証されれば
              ⇒文句を言われたGoogleは「それは私たちの案件ではありません」と言えて、この案件は終了

      2.「詐称」ではなく、Gmailのアカウントから送信されたspamと立証されれば
              ⇒文句を言われたGoogleはそのアカウントを停止すればこの案件については終了
    • by Anonymous Coward
      もう少し首から上も使おうよ。
      詐称防止が施されたアドレスからメールが来る=そのメールは(ほぼ)確実にそのアドレスから送られたもの。
      ならばタレ込んでbanしてもらえばいいだけのこと。
      • by GRA21 (2062) on 2004年10月18日 17時41分 (#638379) 日記
        タレ込んでbanしてもらっても、秘密鍵を変えない限り、 署名済のメールのDomainKey-Signatureは有効です。 ので、一度gmail.com経由で送ったメールをコピペして gmail.com以外のSMTPサーバーから送信するような、 悪意をもったspammerをとめることはできないのです。 DomainKeysのInternet Draft中では、例として毎月秘密鍵 を変える例が出てくるのですが、タレ込みがあるたびに 秘密鍵を変えるわけにはいかないと思います。
        親コメント
        • by GRA21 (2062) on 2004年10月18日 17時58分 (#638387) 日記
          すいませんわかりにくかったのでもうちょっと補足します。

          (1)gmail.comにログインして、From: 私@gmail.com To: 私@プロバイダ.ne.jpのメールを送る。題名・本文は送りたいspamの内容にする。

          (2)私@プロバイダ.ne.jpのメールを受信し、DomainKey-Signature:行以降をコピーする

          (3)ペーストして雛形を作る

          (4)自宅サーバーのLinux(linux.自宅.jp)から
          From: 私@gmail.com To: 私@プロバイダ.ne.jp RCPT TO:たくさんの人 に対してさきほどの雛形を送る

          (5)受信したたくさんの人のMTAは、送られたspamメールを有効な署名付きメールだと認識する

          もし、(5)の段階で受信したたくさんの人のうちの一人がgmail.comにタレ込んで私@gmail.comのアカウントを止めてもらっても、gmail.comの秘密鍵を変えない限り、(4)(5)は反復可能です。

          SPF(Sender ID)と併用すれば、(5)の段階で、linux.自宅.jpがgmail.comのSPFレコードに含まれていないことが検知できるので、受け取りを拒否できますが、そもそもspam防止技術ではないということでしょうね。
          親コメント
          • by Anonymous Coward
            秘密鍵、公開鍵がアカウントごとにあればいいわけだ。
            それくらい、なんとかなる・・・かなぁ。
  • by Anonymous Coward on 2004年10月18日 16時44分 (#638349)
    Gmailって何て発音してます?

    # ↑上で話題が終わってしまっているみたいなので
  • by Anonymous Coward on 2004年10月18日 18時04分 (#638393)
    [OLEXP]入力したメールアドレスが登録済み連絡先に自動変換される [microsoft.com]

    要するに間違いメール発生機能になってます。

    #来た事があるので AC
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...